Kişisel verilerin korunması ne demektir?

Kişisel verilerin işlenmesinin disiplin altına alınması ve bu bağlamda Anayasada öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunmasıdır. Verilerin korunması, temelde verilerin değil, bu verilerin ilişkili olduğu kişilerin korunmasını hedef alır. Verilerin korunması kişileri onlar hakkındaki bilgilerin (otomatik olarak ya da otomatik olmayan yollarla) işlenmesinden doğacak zararlardan koruma amacına yönelmiş ve kişisel verilerin korunmasına ilişkin ilkelerde somutlaşmış bir dizi (yasal ya da yasal olmayan) önlemi ifade eder. Bu anlamda kişisel verilerin korunmasının, kişilere ilişkin bilgilerin toplanması, saklanması, kullanılması gibi veri işleme sürecinin bütün aşamalarını kapsar şekilde bireylere kontrol hakkını yeniden kazandırmayı amaçladığı söylenebilir.

Kişisel veri nedir?

Kimliği belirli ya da belirlenebilir nitelikteki gerçek bir kişiye ilişkin her türlü bilgidir. Kişisel veriden söz edebilmek için, verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir.

1. Gerçek kişiye ilişkin olma: Kişisel veri, gerçek kişiye ilişkin olup, tüzel kişilere ilişkin veriler kişisel verinin tanımının dışındadır. Dolayısıyla, bir şirketin ticaret unvanı ya da adresi gibi tüzel kişiliğe ilişkin bilgiler (bir gerçek kişiyle ilişkilendirilebilecekleri durumlar haricinde) kişisel veri sayılmayacaktır.
2. Kişinin belirli veya belirlenebilir olması: Kişisel veri, veri sahibinin doğrudan kimliğini gösterebileceği gibi, o kişinin kimliğini doğrudan göstermemekle birlikte, herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsar.

1. Her türlü bilgi: Her türlü bilgi ifadesi son derece geniş olup, bir gerçek kişinin; adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler, kişisel veri olarak kabul edilmektedir.

Özel nitelikli kişisel veri nedir?

Özel nitelikli kişisel veriler, işlenmeleri halinde sahipleri hakkında ayrımcılık yapılmasına neden olma riski taşıyan verilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Kanunun 6. maddesi gereğince özel nitelikli kişisel veriler; “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri”dir.

Açık rıza nedir?

İlgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanıdır.

Kanuna göre açık rızanın üç unsuru vardır:

1. Belirli bir konuya ilişkin olma: Açık rıza beyanının kapsamı genel nitelikte olmamalı, belirli bir duruma özgülenmiş olmalıdır. Örneğin; veri sorumlusu tarafından “tüm ürün ve hizmetlerimizin sunulması için kişisel verilerinizin işlenmesine açık rıza veriyor musunuz?” biçiminde rıza alınması durumunda, rıza “belirli bir konuya ilişkin” olmayacağı için geçerli bir rıza olarak kabul edilmeyecektir.
2. Bilgilendirmeye dayanma: Elde edilecek kişisel verilerin hangi amaçlarla kullanılacağı açıkça belirtilmeli, kişinin anlamayacağı terim8ler ya da yazılı bilgilendirme yapıldığında okumakta güçlük çekeceği oranda küçük puntolar kullanılmamalıdır.

1. Özgür iradeyle açıklanmış olma: Bir irade beyanı olan “rıza” beyanının kişinin özgürlüğünü etkileyecek hallerden arınmış olması gerekmektedir. Bu doğrultuda, “açık rıza” beyanını veren veri sahibinin iradesini bozacak bir durum mevcut olmamalıdır. Örneğin; veri sorumlusu tarafından veri sahiplerinin rızalarının elde edilmesi, bir ürün veya hizmetin sunulmasının ön şartı olarak ileri sürülmemelidir.

Açık rıza hangi dışında kişisel veri işleme şartları nelerdir?

İlgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi aşağıdaki durumlarda mümkündür:

1. Kanunlarda açıkça öngörülmesi,
2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

ç. Veri sorumlusunun hukuki yükümlülüğünü yerine

getirebilmesi için zorunlu olması,

1. İlgili kişinin kendisi tarafından alenileştirilmiş olması,
2. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

1. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kişisel verinin işlenmesi ne demektir?

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. Örneğin, kişisel verilerin sadece bir Hard Disk’de, CD’de, Server’da depolanması, anılan verilerle başkaca hiçbir işlem yapılmasa da bir veri işleme faaliyetidir.

Veri sorumlusu kimdir?

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir.

Kişisel verilerin işlenmesindeki genel ilkeler nelerdir? Kişisel verilerin işlenmesi ilkeleri her bir kişisel veri işleme faaliyetinin özünde bulunmalı mıdır?

Kişisel verilerin işlenmesinde her zaman Kanunda ortaya konulan genel ilkelere uygun davranılmalıdır. Kişisel verilerin işlenmesinde genel ilkeler:

1. Hukuka ve dürüstlük kurallarına uygunluk,
2. Doğruluk ve güncellik,
3. Belirli, açık ve meşru amaçlar için işlenmek,
4. İşlendikleri amaçla bağlantılık, sınırlılık ve ölçülülük,
5. İlgili mevzuatta öngörülen veya işlendikleri amaç için

gerekli olan süre kadar muhafaza edilme.

Kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.