Makaleler
Kişisel Verilerin Korunması Hukuku
6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU ÇERÇEVESİNDE "KİŞİSEL VERİ" KAVRAMI
ÖZET
Avrupa'da 1970'li yılların başından itibaren birçok ulusal ve uluslararası düzenlemeye konu olan, Kişisel Verilerin Korunması Hukuku; Türkiye'nin taraf olduğu uluslararası düzenlemelerin dışında, ilk defa, 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu ile Türk hukukunda kanuni bir enstrümanla düzenlemeye kavuşturulmuştur. "Kişisel veri", genel olarak kabul gördüğü şekliyle, "kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi" olarak tanımlanmakla beraber, somut durum çeşitliliğinde, verinin "kişisel veri" niteliğinde olup olmadığının tespitinde zaman zaman zorluklarla karşılaşılabilmektedir. Bir verinin ancak "kişisel veri" olarak nitelendirilmesi halinde, Kişisel Verilerin Korunması Hukuku mevzuatı temelinde korumadan yararlanılabilecek olmasından (yahut tersi durumda – veri sorumluları bakımından- temel ilke ve yükümlülüklere tâbi durumda kalınacak olmasından) dolayı, en başta, ilgili verinin "kişisel veri" niteliğinde olup olmadığının belirlenmesi gerekmektedir.
Anahtar kelimeler: Kişisel Veri, Gerçek Kişi, Avrupa Adalet Divanı, Veri Sorumlusu, Belirlenebilir Olma.
GİRİŞ
6698 sayılı Kişisel Verilerin Korunması Kanunu'nun ("KVVK") 7 Nisan 2016'da yürürlüğe girmesiyle beraber, kişisel verilerin korunması konusu, Türk hukukunda, kanun ile düzenlenerek, sistematize hâle getirilmiştir. Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini koruma amacı taşıyan bu kanuni düzenleme ile, kişisel verileri işleyen ve "veri işleyen" ve/veya "veri sorumlusu" sıfatını haiz olan gerçek ve tüzel kişilerin yükümlülükleri ile işleme faaliyetinde uymaları gereken usul ve esaslar düzenlenirken, kişisel verilerin işlenmesinde uyulması gereken temel ilkeler, işleme şartları ve istisnaları, veri süjesinin hakları, veri sorumluları sicili, Kişisel Verileri Koruma Kurumunun yapısı ve işleyişi, idari para cezaları ve hukuki sorumluluk ile cezai sorumluluk konuları hükme bağlanmıştır.
KVKK'nın yürürlüğe girmesinden sonra, Kişisel Verileri Koruma Kurumu tarafından çıkarılan, (i) Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik, (ii) Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik, (iii) Veri Sorumluları Sicili Hakkında Yönetmelik ve (iv) Kişisel Verileri Koruma Uzmanlığı Yönetmeliği ile Kişisel Verileri Koruma Kurumu tarafından yayınlanan ilke kararlar ve rehberler doğrultusunda, KVKK'nın uygulanırlığı büyük bir ölçüde somutlaştırılmıştır.
Bu çerçevede, "veri sorumlusu" sıfatını haiz kişilerin, ilgili mevzuata uyum sürecinde ve sonraki dönemde mevzuata uygun hareket edebilmek adına üzerinde durulması gereken en temel kavram şüphesiz "kişisel veri" kavramıdır.
Kişisel veri, ulusal, bölgesel ve uluslararası birçok düzenlemede, yeknesak olarak, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmakta ve bu şekilde kabul edilmektedir. Hukuki düzenlemeler ve yargı kararları ışığında, kişisel veri, örnek olarak, şu şekilde sayılabilecektir: kişinin adı, soyadı, doğum tarihi, uyruğu, mesleği, görüntüsü, sesi, vergi numarası, mail adresi, telefon numarası, genetik bilgileri, biyometrik verileri, sosyal güvenlik numarası, bilgisayarının ip adresi vb.
I. KİŞİSEL VERİ KAVRAMI
Kişisel veri kavramı1, KVVK'nın "Tanımlar" başlıklı m.3/f.1 (ç) hükmünde; "Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi" olarak tanımlanmaktadır2.
Bu tanım çerçevesinde "kişisel veri" kavramının unsurları; (i) gerçek kişi, (ii) kimliği belirli veya belirlenebilir kişiyle ilgili olma ve (iii) her türlü bilgi olarak sayılabilir.
1) Gerçek Kişiye Ait Bilgiler
Veri koruma hakkının, özel yaşamın gizliliği hakkı temelinde ortaya çıkan ve gelişen niteliği doğrultusunda, bu koruma sadece gerçek kişilere hasredilmiş olup, tüzel kişilere3 ilişkin bilgiler bu Kanun kapsamında kişisel veri olarak kabul edilmeyecek ve bu kapsamda koruma görmeyeceklerdir.
Kural bu olmakla beraber, bazen gerçek kişi adından türeyen tüzel kişi isimleri söz konusu olduğunda ya da gerçek kişi tacirlere ait ticari işletmeler söz konusu olduğunda ya da şirket e-mailinin normal olarak belli bir çalışan tarafından kullanıldığı hallerde bu verilerin kişisel veri niteliğinde olup olmadığı hususu tartışılabilir. Bu noktada, "kapsam", "amaç" ve/veya "sonuç" kriterleri temel alınarak, her bir somut durumun özelinde değerlendirilmesi gerekecek ve bunların KVKK kapsamında koruma göreceği sonucuna varılabilecektir 4.
Gerçek kişilerde, kişilik, çocuğun sağ olarak tamamıyla doğduğu anda başlamaktadır (4721 sayılı Türk Medeni Kanunu m.28). Bu çerçevede açıklığa kavuşturulması gereken mesele ise doğmamış çocuklara ilişkin veriler ile ölmüş kişilere ilişkin verilerin, kişisel veri olarak değerlendirilip değerlendirilemeyeceği hususudur.
Ölmüş insanlara ilişkin bilgiler, Medeni Hukuk'ta ölümle birlikte hak ehliyetinin yitirilmiş olması sebebiyle, kural olarak, kişisel veri olarak nitelendirilemezler5. Ancak bazı durumlarda dolaylı da olsa ölmüş insanlara ilişkin bilgilerin bu çerçevede koruma görmesi gündeme gelebilecektir6.
Ölmüş insanlara ilişkin veriler, bazen yaşayan insanlara ilişkin bilgilere işaret edebilir. Örneğin; hemofili hastalığından ölmüş birine ilişkin bu bilgi, genetik olarak, çocuklarının da aynı hastalığı taşımakta olduğunu göstermektedir. Bu noktada, ölmüş kişiye ilişkin bu veri, diğer kişiyle ilgili olması bağlamında, kişisel veri olarak değerlendirilecek ve dolaylı olarak KVKK kapsamındaki korumadan yararlanacaktır7 .
Yine ölmüş insanlara ilişkin verilerin, kişisel veri niteliğinde olup olmamasından bağımsız olarak, Hasta Hakları Yönetmeliği8 doğrultusunda hasta mahremiyeti ve hekimin sır saklama yükümlülüğü çerçevesinde gizli tutulması gündeme gelecektir9.
Kişinin hatırasına saygı10 yükümlülüğü çerçevesinde de yine ölmüş kişilere ilişkin bilgilerin işlenmesinde hukuki ve cezai yaptırımlarla karşılaşılması söz konusu olabilecektir.
Bilindiği üzere, Medeni Hukuk'ta kişilik doğum ile başlar ve ölüm ile sona erer. Kişi doğum ile hak ehliyetini elde eder ve hukuki anlamda kişiliği başlar. Bu çerçevede doğmamış çocuğa ait, genetik bilgiler, ultrason görüntüsü gibi bilgilerin kişisel veri niteliğinde olup olmadığına ilişkin olarak, Miras Hukuku'nda getirilen çözüme paralel şekilde, doğumla birlikte (hak ehliyetinin kazanılmasıyla) çocuğun bu veriler üzerinde hak sahibi olacağı ve bunların kişisel veri olarak nitelendirileceği, doğuma kadar ise bu verilerin yine kişisel veri olarak nitelendirilmesi ve bunların kullanımına ilişkin rızanın ebeveynler tarafından verilmesi şeklinde bir çözüm tarzının benimsenmesinin isabetli olacağı sonucuna ulaşılabilir.
2) Belirli veya Belirlenebilir Olma
Bir verinin, KVKK çerçevesinde korunabilmesi için bu verinin gerçek kişiye ait olması şartı aranmakla beraber, bu verinin kimliği belirli veya belirlenebilir bir kişiyle doğrudan ya da dolaylı olarak ilişkilendirebiliyor olması gerekmektedir11.
Bir gerçek kişiyle ilişkilendirilemeyen, sadece nesnelere ilişkin ve/veya tüzel kişilere ilişkin bilgiler, doğrudan ya da dolaylı olarak belirli bir gerçek kişiyle ilişkilendirilemedikçe kişisel veri olarak kabul edilmeyecek ve KVKK kapsamında koruma görmeyecektir12.
Kişinin belirlenebilirliği somut durumun özelliklerine göre farklılıklar gösterebilir. Kişi, adı ve soyadıyla ve/veya kimlik/pasaport numarasıyla doğrudan belirlenebilir olduğu gibi, içinde bulunduğu somut durumun özelliklerine göre bu kişiye ilişkin meslek bilgisi, yaş bilgisi, göz rengi verisi, boyu, ağırlığı ve sair bilgiler veya bu bilgilerin kombinasyonu da bu kişinin belirlenebilir olmasını mümkün kılan veriler olabilir13.
3) Her Türlü Bilgi
"Her türlü bilgi" kavramı, lafzından da anlaşılacağı üzere, geniş yorumlanmaya müsait bir ifadedir. Bir verinin kişisel veri olarak nitelendirilip nitelendirilmemesi noktasında, bu verinin hangi formda olduğunun herhangi bir önemi bulunmadığı gibi veri içeren ifadenin nesnelliği/öznelliği ve/veya doğruluğu/yanlışlığı ve/veya gizliliği de önem arz etmemektedir.
Verinin niteliği de "kişisel veri" tanımlamasında herhangi bir fark oluşturmamaktadır. KVKK'nın 3. maddesinin gerekçesinde, sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgilerin değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgilerin de kişisel veri olarak kabul edileceği açıkça belirtilmiştir14.
II. KİŞİSEL VERİ KAVRAMININ DEĞERLENDİRİLMESİNDE AVRUPA ADALET DİVANI'NIN GÜNCEL KARARLARI
1) Dinamik IP Adreslerinin Kişisel Veri Olarak Korunması
Avrupa Adalet Divanı, 19 Ekim 2016 tarihli Patrick Breyer v. Almanya Kararı'nda15, veri sorumlusunun IP adresini sahibi olduğu kişi ile ilişkilendirebilecek araçlara sahip olmadığı hallerde bile dinamik IP adreslerinin kişisel veri olarak değerlendirilmesi gerektiği sonucuna ulaşmıştır.
Alman Federal Yüksek Mahkemesi (Bundesgerichtshof), davacı Breyer'in Almanya Adalet ve Tüketicinin Korunması Bakanlığının (Bundesministerium für Justiz und Verbraucherschutz) websitesini ziyaretine ilişkin olarak IP adresinin kaydının silinmesi talebine binaen önüne gelen davada, website sahibinin/ işleten, ziyaretçinin belirlenebilirliği noktasında üçüncü kişinin (somut durumda internet servis sağlayıcısının) elindeki ek veriye ihtiyaç duyması halinde IP adreslerinin kişisel veri olarak nitelendirilip nitelendirilemeyeceği hususunda Avrupa Adalet Divanının görüşüne başvurmuştur.
Avrupa Adalet Divanı, Kararı'nda, website sahibinin (somut durumda Almanya Adalet ve Tüketicinin Korunması Bakanlığının) elindeki dinamik IP adresi verisinin kişisel veri olduğunu ifade etmiştir. Bir verinin kişisel veri olarak değerlendirilebilmesi için doğrudan ya da dolaylı olarak bir kişiyle ilişkilendirilebilmesi gerekliliğine işaret eden Mahkeme, website operatörünün elindeki IP adresinin mutlak olarak kişisel veri olarak değerlendirilemeyeceğini belirterek, her bir somut durumun kendi içerisinde değerlendirilmesi gerekliliğine, bu çerçevede dinamik IP adresi ile kişisel veri sahibinin belirlenebilmesi bağlamında internet servis sağlayıcısı tarafından tutulan ilave bilgilerin birleştirilebilmesi imkânının dikkate alınması hususuna önem atfetmiştir.
2) Sınav Kağıdının Kişisel Veri Olarak Korunması
Avrupa Adalet Divanı, 20 Aralık 2017 tarihli Peter Nowak v. Data Protection Commissioner Kararı'nda16, mesleki bir sınavda sınav kağıdına yazılan cevaplar kişisel veri olarak değerlendirilmiş ve kişisel verilerin korunması mevzuatı çerçevesinde kişisel veri sahibinin talebinin yerine getirilmesi gerektiği sonucuna ulaşılmıştır.
Divan, sınav kağıdının kişisel veri sayılabilmesi için dava konusu somut durumda mevcut olan iki olgu üzerinden inceleme yapmıştır. Bunlardan ilki, sınav kağıdının üzerinde yer alan kişinin adı ve kimlik bilgileri iken, ikincisi sınav kağıdına yazılan cevaplar ve sınavı değerlendiren kişinin yorumlarıdır.
Divan, Direktif metninde geçen "her türlü veri" ibaresinden yola çıkarak, sınav kağıdında yazılı olan ve gerçek kişiyle bağdaştırılabilecek olan verilerin kişisel veri olarak değerlendirilmesi gerektiği kabulünden hareketle, sınav kağıdında yer alan cevapları ve sınavı değerlendiren kişinin yorumlarını bu kapsamda değerlendirmiştir. Zira, Direktif'teki amaç, kişisel veri kavramını geniş bir perspektifte değerlendirmek olduğundan, sadece genel nitelikli kişisel veri veya özel nitelikli kişisel veriler değil; kişisel veri olma potansiyeli olan objektif ve sübjektif her türlü bilgi kişisel veri kapsamı dahilindedir. Bu nedenle, kişilerin sınav kağıdına yazmış oldukları cevaplar, kendileriyle ilgili bilgi ihtiva ettiği ve kendileriyle ilişkilendirilebildiği ölçüde kişisel veri olarak nitelendirilmelidir.
Sınavı inceleyen kişinin sorulara verilen cevaplara ilişkin yorumları da kişisel veri kapsamında değerlendirilecek olmakla beraber, sınava giren kişinin, Kişisel Verilerin Korunması Hukuku temelinde, sınav kağıdında yer alan kendisine ilişkin bilgilere ulaşması ve düzeltilmesini isteme hakkına engel teşkil etmemelidir. Zira, sınava giren kişinin, söz konusu sınav kağıdında kendisi ile ilgili yanlış bilgi teşkil eden hususların düzeltilmesinde hukuki menfaati bulunmaktadır.
SONUÇ
Çalışmamızın en başında da ifade edildiği üzere, Kişisel Verilerin Korunması Hukuku mevzuatı temelinde hak ve sorumlulukların belirlenebilmesi, talepte bulunulabilmesi ve mevzuata uyum çalışmalarının yerine getirilebilmesi bakımından, en başta yapılması gereken, verinin "kişisel veri" niteliğinde olup olmadığının tespit edilmesidir.
Kişisel veriler üzerindeki hakkın, özel yaşamın gizliliği hakkı temelinde ortaya çıktığı ve geliştiği dikkate alındığında, her ne kadar İtalya, Avusturya, Danimarka gibi bazı Avrupa ülkelerinde tüzel kişilere ait veriler, kişisel verilerin korunması mevzuatı kapsamında değerlendirilse de, gerek 25 Mayıs 2018 tarihinde Avrupa Birliği'nde yürürlüğe girecek olan Genel Veri Koruma Tüzüğü gerekse 7 Nisan 2016'da Türkiye'de yürürlüğe giren KVKK çerçevesinde, bu koruma sadece gerçek kişilere hasredilmiş olup, tüzel kişilere17 ilişkin bilgiler bu kapsamda değerlendirilmemektedir.
Bu bağlamda, gerçek kişiyle ilişkilendirilebilen her türlü bilgi; - sınırlı sayıda (numerus clausus) olmamak üzere-, vergi numarası, görüntüsü, sesi, fiziki özellikleri, genetik bilgileri, bilgisayar IP adresi, sınav kağıdındaki cevapları, sosyal medya sitelerindeki paylaşımları, somut durumun özelliklerine göre değerlendirilerek, "kişisel veri" olarak nitelendirilebilecek ve KVKK ve ilgili yasal mevzuat kapsamında öngörülen ilke ve yükümlülüklere uyulması gerekliliği ile bu mevzuat temelindeki haklardan yararlanılması imkanına sahip olunması gündeme gelecektir.
İşbu yazı hakkında herhangi bir sorunuz ve/veya yorumunuz olması halinde, bizimle her zaman iletişime geçebilirsiniz.
Yazar : Hatice Zümbül
Email : hatice.zumbul@zumbul.av.tr
(İlgili makale daha önce Mondaq'ta yayımlanmıştır.)
Footnotes
1. Çalışma içeriğinde ayrı bir başlık açılmayacak olması sebebiyle, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 6. maddesinde, "Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri" olarak tanımlanan "özel nitelikli kişisel veri" kavramının detaylarına işbu çalışmada yer verilmeyecektir.
2. Avrupa Birliği'nin mehaz 95/46/EC sayılı Veri Koruma Direktifi'nin "Tanımlar" başlıklı m.2(a) hükmünde de kişisel veri ("personal data"); belirli veya belirlenebilir gerçek kişiye (veri süjesine) ilişkin her türlü bilgi olarak ifade edilmekte, devamında, "belirlenebilir kişi ("identifiable person")", özellikle bir kimlik numarasına ya da kişinin fiziksel, psikolojik, mental, ekonomik, kültürel ya da sosyal kimliği özelinde bir ya da daha fazla etkene ilişkin olarak kısmen ya da tamamen belirlenebilirliği olarak tanımlanmaktadır.
3. Avrupa İnsan Hakları Sözleşmesi'nin "Özel Hayata ve Aile Hayatına Saygı" başlıklı 8. maddesi bağlamında, tüzel kişiler de koruma görmektedir. Ayrıntılı bilgi için Bkz. Handbook on European Data Protection Law, European Union Agency for Fundamental Rights, 2014, s.37.; Avrupa İnsan Hakları Sözleşmesi, http://www.echr.coe.int/Documents/Convention_TUR.pdf ; 25 Mayıs 2018 tarihinde yürürlüğe girecek olan AB Genel Veri Koruma Tüzüğü'nün ("GDPR"), "Giriş" kısmının 14. paragrafında, 95/46/EC sayılı Veri Koruma Direktifi'nden farklı olarak, Tüzük'ün tüzel kişilere ait verilerin işlenmesinde uygulanmayacağı açıkça düzenlenmiştir.
4. Article 29 Working Party, Opinion 4/2007 on the concept of personal data, Adopted on 20th June, 01248/07/EN WP 136, s. 23- 24,http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_en.pdf
5. AB Genel Veri Koruma Tüzüğü'nün ("GDPR"), "Giriş" kısmının 27. paragrafında ise üye devletlere bu hususta bir serbestlik tanınmış ve ölmüş kişilere ait verilerin kişisel veri korumasından yararlanmasına olanak veren düzenlemelerin yapılabileceği öngörülmüştür.
6. Ayrıntılı bilgi için Bkz. Article 29 Working Party, Opinion 4/2007 on the concept of personal data, s. 22.
7. Ayrıntılı bilgi için Bkz. Article 29 Working Party, Opinion 4/2007 on the concept of personal data, s. 22.
8. Hasta Hakları Yönetmeliği http://www.mevzuat.gov.tr/Metin.Aspx?MevzuatKod=7.5.4847&MevzuatIliski=0&sourceXmlSearch=hasta%20haklar%C4%B1
9. Ayrıca Bkz. 20 Ekim 2016 tarihli ve 29863 sayılı Resmi Gazete'de yayımlanan, "Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik" http://www.resmigazete.gov.tr/eskiler/2016/10/20161020-1.htm
10. "Kişinin hatırasına hakaret suçu, 5237 sayılı Türk Ceza Kanunu m. 130/f.1'de "Bir kimsenin öldükten sonra hatırasına en az üç kişiyle ihtilat ederek hakaret eden kişi, üç aydan iki yıla kadar hapis veya adlî para cezası ile cezalandırılır. Ceza, hakaretin alenen işlenmesi halinde, altıda biri oranında artırılır."
11. Ayrıntılı Bilgi için Bkz. Handbook on European Data Protection Law, European Union Agency for Fundamental Rights, 2014, s.39 vd.
12. Ayrıntılı bilgi için Bkz. Article 29 Working Party, Opinion 4/2007 on the concept of personal data, Adopted on 20th June, 01248/07/EN WP 136, s.8-12, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_en.pdf
13. Article 29 Working Party, Opinion 4/2007 on the concept of personal data, Adopted on 20th June, 01248/07/EN WP 136, s.13,http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_en.pdf
14. KVKK Genel Gerekçe, http://www2.tbmm.gov.tr/d26/1/1-0541.pdf
15. Karar metni için Bkz. http://www.alstonprivacy.com/wp-content/uploads/2016/10/ECJ_Breyer_Judgment.pdf
16. Karar metni için Bkz. http://curia.europa.eu/juris/document/document.jsf?text=&docid=198059&pageIndex=0&doclang=EN&mode=req&dir=&occ=first∂=1&cid=45295
17. Avrupa İnsan Hakları Sözleşmesi'nin "Özel Hayata ve Aile Hayatına Saygı" başlıklı 8. maddesi bağlamında, tüzel kişiler de koruma görmektedir.