TR EN DE

Kişisel Veri Kavramı ve Kapsamı

6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında kişisel veri tanımı, GDPR ile karşılaştırma, özel nitelikli kişisel veriler, Kurul kararları ışığında pratik örnekler ve veri koruma hukukunun temel kavramları.

Summary in English

Overview

This article examines the concept of personal data under Turkish Personal Data Protection Law No. 6698 (KVKK), which came into force on April 7, 2016. Personal data refers to any information relating to an identified or identifiable natural person.

Key Points

  • Definition: Personal data means any information relating to an identified or identifiable natural person. This includes direct identifiers (name, ID number) and indirect identifiers (IP address, location data).
  • Special Categories: Sensitive data such as health information, biometric data, religious beliefs, and criminal records are subject to stricter processing conditions.
  • GDPR Comparison: KVKK is largely aligned with EU GDPR, though it was enacted before GDPR came into force.
  • Data Controller vs. Processor: The law distinguishes between data controllers (who determine purposes and means) and data processors (who process on behalf of controllers).
  • Processing Principles: Data must be processed lawfully, fairly, accurately, for specified purposes, and retained only as long as necessary.
Full article in Turkish below

Überblick

Dieser Artikel untersucht den Begriff der personenbezogenen Daten nach dem türkischen Datenschutzgesetz Nr. 6698 (KVKK), das am 7. April 2016 in Kraft getreten ist. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Kernpunkte

  • Definition: Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören direkte Identifikatoren (Name, ID-Nummer) und indirekte Identifikatoren (IP-Adresse, Standortdaten).
  • Besondere Kategorien: Sensible Daten wie Gesundheitsinformationen, biometrische Daten, religiöse Überzeugungen und Strafregister unterliegen strengeren Verarbeitungsbedingungen.
  • DSGVO-Vergleich: Das KVKK ist weitgehend mit der EU-DSGVO harmonisiert, obwohl es vor Inkrafttreten der DSGVO erlassen wurde.
  • Verantwortlicher vs. Auftragsverarbeiter: Das Gesetz unterscheidet zwischen Verantwortlichen (die Zwecke und Mittel festlegen) und Auftragsverarbeitern (die im Auftrag verarbeiten).
  • Verarbeitungsgrundsätze: Daten müssen rechtmäßig, fair, genau, für festgelegte Zwecke und nur so lange wie nötig aufbewahrt werden.
Vollständiger Artikel auf Türkisch unten

1. Giriş

Kişisel veri kavramı, veri koruma hukukunun temel yapı taşıdır. Bir verinin kişisel veri olup olmadığının tespiti, KVKK kapsamındaki tüm yükümlülüklerin başlangıç noktasını oluşturur. Dijitalleşmenin hız kazandığı günümüzde, veri koruma hukukunun önemi her geçen gün artmakta; şirketler, kamu kurumları ve bireyler için kritik bir uyum alanı haline gelmektedir.

Karşılaştırmalı Hukuk
AB (GDPR): Avrupa Birliği Genel Veri Koruma Tüzüğü (2016/679), 25 Mayıs 2018'de yürürlüğe girmiştir. "Personal data" tanımı KVKK ile büyük ölçüde örtüşmektedir. Extraterritorial uygulama alanı ile AB dışındaki şirketleri de kapsar.

ABD: Federal düzeyde kapsamlı bir veri koruma yasası yoktur. Sektörel yaklaşım benimsenmiştir (HIPAA sağlık, GLBA finans). California'da CCPA/CPRA eyalet düzeyinde GDPR benzeri koruma sağlar.

Almanya: BDSG (Bundesdatenschutzgesetz) ile GDPR'ı tamamlayıcı ulusal düzenlemeler mevcuttur. Veri koruma otoriteleri (Datenschutzbehörden) eyalet düzeyinde yapılandırılmıştır.

Türkiye: 6698 sayılı KVKK, 7 Nisan 2016'da yürürlüğe girmiştir. GDPR'dan önce kabul edilmiş ancak AB müktesebatı ile uyumludur. Kişisel Verileri Koruma Kurumu bağımsız idari otorite olarak görev yapar.

2. Kanunun Amacı ve Kapsamı

6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumayı ve kişisel verileri işleyen gerçek ve tüzel kişilerin uyacakları usul ve esasları düzenlemeyi amaçlamaktadır.

KVKK Madde 1 - Amaç
"Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir."

Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.

KVKK Madde 2 - Kapsam
"Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır."

3. Kişisel Veri Tanımı

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Bu tanımın iki temel unsuru bulunmaktadır: bilginin bir gerçek kişiye ilişkin olması ve bu kişinin belirli ya da belirlenebilir olması.

KVKK Madde 3/1-d - Kişisel Veri Tanımı
"Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder."

3.1. KVKK ve GDPR Karşılaştırması

Özellik KVKK GDPR
Tanım Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi Identified or identifiable natural person'a ilişkin her türlü bilgi
Tüzel kişi verileri Kapsam dışı Kapsam dışı
Ölmüş kişi verileri Kapsam dışı (mirasçı hakları saklı) Kapsam dışı (üye devlet düzenlemesi mümkün)
Pseudonymous veri Açık düzenleme yok Kişisel veri sayılır (Madde 4/5)
Anonim veri Kapsam dışı Kapsam dışı (Recital 26)

3.2. Belirli veya Belirlenebilir Olma

Bir kişinin belirli olması, verinin doğrudan o kişiyi işaret etmesi anlamına gelir. Belirlenebilir olması ise, verinin tek başına veya başka verilerle birleştirildiğinde kişinin tespit edilebilmesini ifade eder.

Kurul Kararı - Belirlenebilirlik Kriteri
Kişisel Verileri Koruma Kurulu'nun 2019/387 sayılı kararında, "araç plakası" tek başına kişiyi doğrudan belirlemese de, ilgili kayıtlarla birleştirildiğinde araç sahibinin tespit edilebilmesi nedeniyle kişisel veri olarak değerlendirilmiştir.

3.3. Kişisel Veri Kategorileri

Kategori Örnekler Özellik
Kimlik Bilgileri Ad, soyad, T.C. kimlik no, doğum tarihi, cinsiyet Doğrudan tanımlayıcı
İletişim Bilgileri Adres, telefon, e-posta Doğrudan/dolaylı tanımlayıcı
Finansal Bilgiler Banka hesabı, kredi kartı, gelir durumu Hassas nitelikli
Görsel/İşitsel Veriler Fotoğraf, video, ses kaydı Biyometrik olabilir
Dijital Tanımlayıcılar IP adresi, çerez, cihaz kimliği, konum Dolaylı tanımlayıcı
Mesleki Bilgiler Özgeçmiş, eğitim, iş deneyimi Profilleme riski

4. Özel Nitelikli Kişisel Veriler

Özel nitelikli kişisel veriler, işlenmeleri halinde kişilerin ayrımcılığa maruz kalmasına veya mağduriyet yaşamasına yol açabilecek hassas verilerdir. KVKK, bu verilerin işlenmesini daha sıkı kurallara bağlamıştır.

KVKK Madde 6 - Özel Nitelikli Kişisel Verilerin İşlenmesi
"Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir."
KVKK Özel Nitelikli Veriler GDPR Special Categories (Madde 9)
Irk, etnik köken Racial or ethnic origin
Siyasi düşünce Political opinions
Felsefi inanç, din, mezhep Religious or philosophical beliefs
Dernek, vakıf, sendika üyeliği Trade union membership
Sağlık verileri Health data
Cinsel hayat Sex life or sexual orientation
Genetik ve biyometrik veriler Genetic and biometric data
Ceza mahkumiyeti, güvenlik tedbirleri Madde 10'da ayrı düzenleme
Kılık ve kıyafet Açık düzenleme yok
Kurul Kararı - Biyometrik Veri
Kurul'un 2020/173 sayılı kararında, işyeri giriş-çıkış kontrolünde parmak izi kullanımının özel nitelikli kişisel veri işleme niteliğinde olduğu ve KVKK m.6 kapsamında değerlendirilmesi gerektiği belirtilmiştir. Kurul, alternatif yöntemlerin (kart, şifre) tercih edilmesini tavsiye etmiştir.

5. Temel Kavramlar

5.1. Veri Sorumlusu

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

KVKK Madde 3/1-ı - Veri Sorumlusu
"Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder."

5.2. Veri İşleyen

Veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Veri işleyen, veri sorumlusunun talimatları doğrultusunda hareket eder.

KVKK Madde 3/1-ğ - Veri İşleyen
"Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder."
Özellik Veri Sorumlusu Veri İşleyen
Karar yetkisi Amaç ve vasıtaları belirler Talimat doğrultusunda işler
VERBİS kaydı Zorunlu (istisnalar hariç) Zorunlu değil
Aydınlatma yükümlülüğü Birincil sorumluluk Yok
İlgili kişi başvuruları Muhatap Veri sorumlusuna yönlendirir
İdari para cezası muhatabı Evet Sınırlı (veri güvenliği)

5.3. İlgili Kişi

İlgili kişi, kişisel verisi işlenen gerçek kişidir. KVKK kapsamında yalnızca gerçek kişiler ilgili kişi olabilir; tüzel kişiler bu kapsamda değildir.

5.4. Açık Rıza

Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.

KVKK Madde 3/1-a - Açık Rıza
"Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder."
Açık Rızanın Unsurları
1. Belirli bir konuya ilişkin olma: Genel ve belirsiz rıza geçersizdir. Hangi verilerin, hangi amaçla işleneceği açıkça belirtilmelidir.

2. Bilgilendirilmeye dayanma: İlgili kişi, rıza vermeden önce yeterli düzeyde bilgilendirilmiş olmalıdır.

3. Özgür iradeyle açıklanma: Rıza herhangi bir baskı, zorlama veya yanıltma olmaksızın verilmelidir.

6. Kişisel Veri İşleme Kavramı

Kişisel verilerin işlenmesi, kişisel veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder. Bu tanım oldukça geniş tutulmuş olup, verinin yaşam döngüsündeki tüm aşamaları kapsar.

KVKK Madde 3/1-e - Kişisel Verilerin İşlenmesi
"Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder."
İşleme Türü Açıklama Örnek
Elde etme Verinin ilk kez toplanması Müşteri formu doldurma
Kaydetme Verinin sisteme yazılması Veritabanına kayıt
Depolama Verinin saklanması Sunucu, bulut depolama
Değiştirme Veri içeriğinin güncellenmesi Adres değişikliği
Aktarma Verinin üçüncü kişiye iletilmesi Tedarikçiye veri paylaşımı
Silme Verinin geri getirilemez şekilde yok edilmesi Veritabanından kalıcı silme

7. Genel İlkeler

KVKK'nın 4. maddesi, kişisel verilerin işlenmesinde uyulması gereken temel ilkeleri düzenler. Bu ilkeler, tüm veri işleme faaliyetlerinin hukuki çerçevesini belirler.

KVKK Madde 4 - Genel İlkeler
Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
  1. Hukuka ve dürüstlük kurallarına uygun olma
  2. Doğru ve gerektiğinde güncel olma
  3. Belirli, açık ve meşru amaçlar için işlenme
  4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
  5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
KVKK İlkesi GDPR Karşılığı Pratik Uygulama
Hukuka ve dürüstlük kurallarına uygunluk Lawfulness, fairness, transparency Hukuki işleme şartlarından birinin varlığı
Doğruluk ve güncellik Accuracy Periyodik veri doğrulama süreçleri
Amaç sınırlılığı Purpose limitation Aydınlatma metninde amaç beyanı
Veri minimizasyonu Data minimisation Yalnızca gerekli verilerin toplanması
Saklama süresi sınırlılığı Storage limitation Veri saklama ve imha politikası
Kurul Kararı - Ölçülülük İlkesi
Kurul'un 2019/81 sayılı kararında, bir bankanın kredi başvurusunda eşin gelir bilgisini talep etmesinin ölçülülük ilkesine aykırı olduğuna karar verilmiştir. Kurul, yalnızca başvuru sahibinin kendi mali durumunun değerlendirilmesi gerektiğini vurgulamıştır.

8. Sonuç

Kişisel veri kavramının doğru anlaşılması, KVKK kapsamındaki tüm yükümlülüklerin yerine getirilmesi için zorunlu bir başlangıç noktasıdır. Bir verinin kişisel veri niteliği taşıyıp taşımadığının belirlenmesi, veri işleme faaliyetlerinin hukuka uygun şekilde yürütülmesi ve gerekli teknik ve idari tedbirlerin alınması açısından kritik bir değerlendirmedir.

Veri koruma hukuku, dijital dönüşümün hız kazandığı günümüzde dinamik bir şekilde gelişmektedir. KVKK ve GDPR başta olmak üzere global düzenlemeler, bireylerin kişisel verilerinin korunması hakkını güvence altına almayı amaçlamaktadır. Bu serinin devamında, kişisel verilerin işlenme şartları, aydınlatma yükümlülüğü, ilgili kişi hakları ve veri güvenliği konuları detaylı olarak ele alınacaktır.

KVKK Makale Serisi 1 / 15
Kişisel Verilerin İşlenme Şartları

Bu çalışma yalnızca bilgilendirme amacıyla hazırlanmış olup hukuki tavsiye niteliği taşımaz. Mevzuat ve içtihatlarda meydana gelebilecek değişiklikler nedeniyle içerik zamanla geçerliliğini yitirebilir. İçeriğin somut olaylara uygulanması veya bu içeriğe dayanılarak alınan kararlar nedeniyle doğabilecek sonuçlardan sorumluluk kabul edilmez.