1. KİŞİSEL VERİ 6698 sayılı Kişisel Verilerin Korunması Kanununda (“Kanun”) kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Her türlü bilgi deyimi ile aslında sadece bireyin kesin teşhisini sağlayan ad, soyad, doğum tarihi, doğum yeri gibi bilgiler değil; aynı zamanda bireyin belirlenebilir kılınmasını sağlayan fiziki, ailevi, ekonomik, sosyal ve buna benzer özelliklere ilişkin bilgiler de kastedilmektedir. Kanunda, kişisel veriler sınırlı sayma yoluyla belirlenmediğinden, her somut olayın özelliğine göre kişisel verinin kapsamının genişletilmesi de mümkündür. Bu kapsamda, gerçek bir kişinin motorlu taşıt plakası, mülakat sonuçları, kullandığı elektronik cihazların IP adresleri, ses ve görüntü kayıtları, konum bilgisi, adli sicil kaydı, kredi kartı ekstreleri, sosyal medya beğenileri, parmak izleri vb. bilgiler de kişisel veriolarak tanımlanabilmektedir. ÖRNEK: Bir video gözetim sistemi tarafından yakalanan bireylerin görüntüleri bireylerin tanınabilir olması halinde kişisel veri kapsamında sayılabilir. ÖRNEK: Telefon bankacılığı sisteminde, müşterinin bankaya talimat verdiği ses kaydı kişisel veri olarak kabul edilebilir. ÖRNEK: Bir velayet davasında ailesine ilişkin çocuğa yaptırılan çizim, çocuğun ailesine karşı duygularını göstereceği için kişisel veri kapsamındadır. Diğer yandan, bu çizim aracılığıyla anne ve babanın aile içindeki davranışları da anlaşılabiliyorsa, çizim aynı zamanda anne ve babanın da kişisel verisi sayılır. Kanuna göre bir bilginin kişisel veri sayılması için öncelikle bir gerçek kişiye ait olması gerekmekte olup tüzel kişilere ilişkin veriler kişisel verinin tanımı dışında tutulmaktadır. ÖRNEK: Bir şirketin ticaret unvanı ya da adresi gibi tüzel kişiliğe ilişkin bilgiler (gerçek bir kişiyle ilişkilendirileceği durumlar hariç) kişisel veri sayılmamaktadır. Kişisel veri olabilmesi için bilginin, kimliği belirli ya da belirlenebilir gerçek bir kişiye ilişkin olması gerekmektedir. Belirli olma ifadesi, verinin bir gerçek kişinin doğrudan kimliğini gösterebileceği durumlar; belirlenebilir olma ifadesi ise herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlıyor olması anlamına gelmektedir. ÖRNEK: Ad ve soyad tek başına kişisel veridir ve bir gerçek kişiyi belirleyebilir. Ancak ad ve soyad her zaman bir gerçek kişiyi belirlemek için yeterli olmayabilir, bazı durumlarda bir gerçek kişiyi tespit edebilmesi için ad ve soyadı ile birlikte başka bilgilere de gerek duyulabilir. ÖRNEK: Yaygın olarak kullanılan ad ve soyadı kombinasyonları bakımından ad ve soyad tek başına bir kişiyi belirli kılmayabilir ama bir gerçek kişiyi belirlenebilir kılma özelliğinden dolayı her zaman kişisel veridir. Ad soyad, bazen tek olması halinde doğrudan ilgili kişiyi belirler bazen de birden çok olması halinde dolaylı olarak ilgili kişiyi belirler. Bu durum, ad ve soyadı kişisel veri olmaktan çıkarmaz. Benzer şekilde, bazı durumlarda ise ad ve soyadı belirtilmeden dahi bir kişinin belirlenmesi mümkün 3 olabilmektedir. ÖRNEK: “A Kurumunun B biriminde çalışan, X marka ve kırmızı renkte araca sahip olan, orta yaşta ve kısa boylu bir erkek” ifadesi, bu tanıma uyan tek bir kişi olması durumunda bu kişiyi belirlenebilir kılması nedeniyle kişisel veri sayılır. ÖRNEK: Takma isimler, lakaplar tek başına veya başka kaynaklarla birleştirildiğinde kişiyi tanımlamayı sağlayacak nitelikte ise bu tarz veriler kişisel veri olarak kabul edilir. Ancak, yine de bilginin ait olduğu gerçek kişinin belirlenebilirliğinin tespitinde, her somut olay özelinde, verinin kişiyi tanımlayabilme kabiliyeti dikkate alınarak değerlendirme yapılmalıdır.2. GENEL (TEMEL) İLKELER Kişisel verilerin işlenmesinde uyulması gereken genel ilkeler, Kanunun 4. maddesinde belirtilmiştir. Bu ilkeler; • Hukuka ve dürüstlük kurallarına uygun olma • Doğru ve gerektiğinde güncel olma • Belirli, açık ve meşru amaçlar için işlenme • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sıralanmıştır. Veri işleme faaliyeti hangi hukuki sebebe/işleme şartına dayanırsa dayansın tüm veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir. a) HUKUKA VE DÜRÜSTLÜK KURALLARINA UYGUN OLMA Bu ilke; kişisel verilerin işlenmesinde, kanunlarla ve diğer hukuki düzenlemelerle getirilen ilkelere uygun hareket etmeyi, ayrıca veriler işlenirken ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate almayı ifade eder. 5 NOT: Hukuka uygunluk, veri işlemenin, kişisel verilerin korunması kanununa veya diğer mevzuata aykırı olmamasıdır. NOT: Dürüstlük, ilgili kişinin kişisel verisinin ilgili kişiye karşı haksızlığa yol açacak şekilde kullanılmaması, ilgili kişinin makul beklentisinin karşılanması ve kişisel veriyi toplama amacının aşılmamasıdır. b) DOĞRU VE GEREKTİĞİNDE GÜNCEL OLMA Bu ilke; verinin, hakkında bilgi verdiği konuyu doğru anlatabilmesini ifade eder. Bu açıdan doğru ve güncel olma ilkesi ilgili kişilerin verilerin düzeltilmesini talep etme hakkı ile de uyumludur. ÖRNEK: Asgari Geçim İndirimi (AGİ) hesaplanırken çocuk sayısının ve eşin çalışma durumunun güncel olması AGİ’nin doğru hesaplanması ve kişinin ekonomik çıkarları açısından önemlidir. c) BELİRLİ, AÇIK VE MEŞRU AMAÇLAR İÇİN İŞLENME Bu ilke, veri sorumlusunun veri işleme amacını açık ve anlaşılır olarak belirlemesini ve bu amacın meşru olmasını zorunlu kılmaktadır. Veri sorumlularının, ilgili kişiye belirttikleri amaçlar dışında başka amaçlarla veriyi işlemeleri halinde, bu fiillerinden dolayı sorumlulukları doğacaktır. Amacın meşru olması; işlenen kişisel verinin, veri sorumlusunun yaptığı iş veya sunduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir. ÖRNEK: Bir e-ticaret sitesinin, alışveriş yapan kişinin ad, soyad ve kargo gönderimi için adres bilgilerini işlemesi meşru amaç kapsamındayken, anne kızlık soyadı veya kan grubu bilgisini işlemesi meşru amaç kapsamında değerlendirilemeyecektir. d) İŞLENDİKLERİ AMAÇLA BAĞLANTILI, SINIRLI VE ÖLÇÜLÜ OLMA Bu ilke, işlenen verilerin belirlenen amaçların gerçekleştirilmesine elverişli olmasını, amacın 7 gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını ifade eder. ÖRNEK: Kredi kartı başvurusunda bulunan kişiden, sosyal hayatındaki tercihlerine yönelik bilgi talep edilmesi ölçülülük ilkesine aykırılık oluşturur. Amaç için gerekli olanın dışında veri işlenmesi, amaçla sınırlı veri işlenmesi ilkesine aykırılık oluşturmaktadır. ÖRNEK: Bir vakıf üniversitesi tarafından düzenlenen sempozyuma katılım için e-posta adresini bildiren kişiye, bu üniversite tarafından e-posta ile reklam gönderilmesi, amaçla sınırlı olma ilkesine aykırılık oluşturur. e) İLGİLİ MEVZUATTA ÖNGÖRÜLEN VEYA İŞLENDİKLERİ AMAÇ İÇİN GEREKLİ OLAN SÜRE KADAR MUHAFAZA EDİLME Bu ilkeye göre veri sorumluları, ilgili mevzuatta verilerin saklanması için öngörülen bir süre varsa bu süreye uyacak; böyle bir süre yoksa verileri, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza edebileceklerdir. ÖRNEK: Bir benzin istasyonunun belirli bir sürede belirli miktarda benzin alan kişilere ödül vereceği bir kampanyada, kampanyaya katılım için topladığı isim ve araç plaka bilgilerini başka herhangi bir işleme şartı yok ise kampanya bitiminde silmesi gerekir. Kişisel veriler, belirlenen süre dolduktan, amaç gerçekleştikten ya da veri işleme şartı ortadan kalktıktan sonra gelecekte kullanma ihtimalinin varlığına dayanarak saklanamazlar. 9 3. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI Kişisel verilerin hukuka uygun olarak işlenebilmesi için Kanunun 5. maddesinde sayılan veri işleme şartlarından en az birinin mevcut olması gerekmektedir. Bu şartlar: a) İLGİLİ KİŞİNİN AÇIK RIZASI İlgili kişinin açık rızası; belirli bir konuya ilişkin olmalı, bilgilendirmeye dayanmalı ve özgürce verilmiş olmalıdır. NOT: Açık rızanın alınmış olması kişisel verilerin Kanun’un 4. maddesinde sıralanan genel ilkelere aykırı işlenebileceği anlamına gelmemektedir. b) KANUNLARDA AÇIKÇA ÖNGÖRÜLMESİ Kişisel veri işlenmesi ile ilgili olarak herhangi bir kanunda açık bir hüküm varsa bu açık hükme istinaden kişisel verilerin işlenmesi mümkündür. ÖRNEK: İş Kanunu gereğince çalışana ait özlük bilgilerinin tutulması. ÖRNEK: Bankacılık Kanunu m. 42 uyarınca bankalar nezdinde tutulan müşteri bilgilerinin işlenmesi. ÖRNEK: 6698 sayılı Kanunun 16.maddesinde düzenlenen Veri Sorumluları Siciline kayıt yükümlülüğü kapsamında veri sorumlularının VERBİS’e bilgi girişi yapması. ÖRNEK: Gelir Vergisi Kanununun 70. maddesi gereği, gayrimenkulünü kiraya verenlerin, vermek zorunda olduğu yıllık beyanname kapsamında kendisine ait kişisel verilerin Maliye Bakanlığının ilgili birimlerince işlenmesi. c) FİİLİ İMKÂNSIZLIK NEDENİYLE RIZASINI AÇIKLAYAMAYACAK DURUMDA BULUNAN VEYA RIZASINA HUKUKİ GEÇERLİLİK TANINMAYAN KİŞİNİN KENDİSİNİN YA DA BİR BAŞKASININ HAYATI VEYA BEDEN BÜTÜNLÜĞÜNÜN KORUNMASI İÇİN ZORUNLU OLMASI Kişisel verisi işlenecek kişinin herhangi bir fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olması veya rızasına hukuki geçerlilik tanınmayan kişinin kendisi veya başkasının hayatı ve 11 beden bütünlüğünün korunması için zorunlu olması halinde kişisel verilerin işlenmesi mümkündür. ÖRNEK: Bilinci yerinde olmayan bir kişinin beden bütünlüğünün korunması amacıyla tıbbi müdahale yapılması gereken durumlarda; yakınlarına haber vermek, yetkili sağlık kurumları tarafından tutulan kayıtlar üzerinden hasta geçmişini öğrenerek gerekli müdahaleyi yapmak gibi amaçlarla kişinin adı, soyadı, kimlik numarası, telefon numarası vb. kişisel verilerinin işlenmesi bu kapsamdadır. ÖRNEK: Hürriyeti kısıtlanan bir kişinin kurtarılması amacıyla, kendisinin ya da şüphelinin cep telefonu sinyali, kredi kartı kullanım ve işlem hareketleri, araç takip sistemi bilgileri, MOBESE kayıtları vb. kişisel verilerinin ilgili birimlerce işlenerek yer tespitini yapılması. ÖRNEK: Dağda mahsur kalan bir kişinin kurtarılması amacıyla, cep telefonu sinyali, GPS ve mobil trafik verisinin işlenerek yerinin belirlenmesi. d) BİR SÖZLEŞMENİN KURULMASI VEYA İFASIYLA DOĞRUDAN DOĞRUYA İLGİLİ OLMASI KAYDIYLA, SÖZLEŞMENİN TARAFLARINA AİT KİŞİSEL VERİLERİN İŞLENMESİNİN GEREKLİ OLMASI Bu veri işleme şartına dayanarak kişisel veri işlenebilmesi için işlemenin gerçekten bu amaca hizmet ediyor olması ve bu amaçla sınırlı olarak gerçekleştiriliyor olması gereklidir. Ayrıca, işlenen kişisel verilerin sadece sözleşmenin taraflarına ait olması ve sözleşme çerçevesiyle sınırlı olmak kaydıyla kişisel veri işlenmesinin gerektiği de unutulmamalıdır. ÖRNEK: Bir emlakçının, kira sözleşmesi ile ilgili olarak ev sahibi ve kiracı arasında imzalanan sözleşme kapsamında tarafların kimlik numarası, banka hesap numarası, adres, imza ve telefon gibi kişisel verilerini işlemesi, dosyasında muhafaza etmesi. ÖRNEK: Bir satıcının müşterisine sattığı bir malı teslim etmek amacıyla müşterisinin adresini taşıma VB.