KVKK Rehberi: Hangi Bilgiler Kişisel Veri Olarak Kabul Edilir?

Leave a Comment / Kişisel Verilerin Korunması / By

KVKK Rehberi: Hangi Bilgiler Kişisel Veri Olarak Kabul Edilir?

Günümüzün dijital çağında, kişisel verilerin korunması konusu büyük bir hassasiyet ve önem kazanmıştır. Özellikle Kişisel Verilerin Korunması Kanunu (KVKK) ile birlikte, gerçek kişilere ait verilerin işlenmesi, saklanması ve imha edilmesi süreçleri belirli kurallara bağlanmıştır. Bu kurallara uyum sağlamanın ilk adımı ise, hangi bilgilerin “kişisel veri” tanımına girdiğini doğru bir şekilde anlamaktır.

Bu yazımızda, KVKK çerçevesinde kişisel veri kavramını detaylıca inceleyerek, hangi bilgilerin bu kapsama girdiğini ve hangilerinin girmediğini açıklayacağız. Veri sorumluları ve veri sahipleri için temel bir rehber niteliğindeki bu bilgiler, veri koruma süreçlerinizi daha bilinçli yönetmenize yardımcı olacaktır.

Kişisel Veri Nedir? Temel Tanım ve Kapsamı

Kişisel veri, en temel tanımıyla, kimliği belirli yahut belirlenebilir bir gerçek kişiye ait her türlü bilgidir. Bu tanım, Kişisel Verilerin Korunması Kanunu’nun 3. maddesinde de şu şekilde ifade edilmiştir: “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.” Bu hukuki açıklama, bir bilginin kişisel veri sayılabilmesi için öncelikle bir “gerçek kişiye” ait olması gerektiğini vurgular.

Bu nedenle, ölmüş kişilere ait bilgiler, KVKK kapsamında kişisel veri olarak kabul edilmez. Ayrıca, bir bilginin kişisel veri sayılması için doğru olup olmaması önem taşımaz. Yanlış bir bilgi dahi olsa, eğer açıklanması durumunda veri sahibini işaret ediyor ve belirlenebilir kılıyorsa, kişisel veri olarak değerlendirilir.

Belirlenebilirlik İlkesi: Bir Bilgi Ne Zaman Kişisel Veri Halini Alır?

Kişisel veri kavramının kilit unsurlarından biri belirlenebilirlik ilkesidir. Bu ilke, bir veriyi elinde bulunduran kişinin, tüm imkân ve nüfuzunu kullanarak veri sahibinin kimliğine ulaşabilmesi durumunda verinin kişisel veri sayılacağını ifade eder. Bu değerlendirme, veri sahibinin niteliği, veriyi öğrenen kişinin imkânları ve somut olayın özelliklerine göre değişiklik gösterebilir.

Örneğin, Avrupa Birliği çalışmaları ve kararları, IP adreslerinin kişiyi belirlenebilir kıldığı için kişisel veri olduğunu kabul etmektedir. Bir kişinin online gezintileri saptandığında dahi, bu durum kişisel veri olarak değerlendirilebilir. Hatta bazı durumlarda, maddi olguların yanı sıra ahlaki değerler gibi manevi olgular da, tek bir kişiyi işaret ettiğinde kişisel veri olarak kabul edilebilir.

Hangi Bilgiler Kişisel Veri Olarak Kabul Edilir? Örnekler ve Özel Nitelikli Veriler

Gerçek bir kişinin kimliğini doğrudan veya dolaylı olarak belirleyen pek çok bilgi kişisel veri kapsamına girer. Bunlara örnek olarak şunlar verilebilir:

  • Kimlik Bilgileri: Ad, soyad, Türkiye Cumhuriyeti kimlik numarası (TCKN), doğum tarihi, doğum yeri.
  • İletişim Bilgileri: Adres, telefon numarası, e-posta adresi.
  • Demografik ve Sosyoekonomik Bilgiler: Çalışma durumu, ekonomik durum, sosyal yaşantı, ailevi bilgiler.
  • Fiziki Bilgiler: Saç rengi, göz rengi, boy, kilo gibi fiziki görünüşe ilişkin veriler.
  • Diğer Bilgiler: Siyasi, dini veya felsefi düşünceler, çizimler, yazılar, parti/sendika/kulüp/grup üyelikleri.

Özellikle hassas kabul edilen bazı veriler ise özel nitelikli kişisel veri olarak adlandırılır ve KVKK kapsamında daha sıkı koruma altına alınmıştır. Bu tür verilere örnek olarak kişilerin kılık kıyafeti, dini inancı, etnik kökeni, sağlık bilgileri ve cinsel hayata ilişkin verileri gösterilebilir. Bu verilerin işlenmesi için özel şartlar aranır.

Kişisel Veri Sayılmayan Durumlar: Anonimleştirme ve Diğer İstisnalar

Her bilgi kişisel veri değildir. Özellikle öğrenildiğinde veya açıklandığında kime ait olduğu belirlenemeyen veriler, kişisel veri kapsamında değerlendirilmez. Örneğin, son iki rakamı silinmiş bir telefon numarası veya kimlik numarası gibi bilgiler, kişiyi tespit etme imkânı sağlamadığı için kişisel veri sayılmaz.

Benzer şekilde, tamamen anonimleştirilmiş veriler de kişisel veri değildir. Anonimleştirme, kişisel verinin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Anonimleştirilmiş veri, sahibinin belirlenememesi nedeniyle KVKK’nın koruma kapsamının dışındadır.

Şirket Verileri Kişisel Veri Midir?

Kişisel Verilerin Korunması Kanunu, gerçek kişilere ait verileri korumayı amaçlar. Bu nedenle, şirket verileri KVKK kapsamında kişisel veri değildir. Bir şirketin ticari unvanı, adresi, vergi numarası veya finansal bilgileri gibi verilerin elde edilmesi, toplanması veya saklanması, KVKK’ya dayalı bir şikayet konusu yapılamaz.

Ancak bu durum, şirket verilerinin tamamen korumasız olduğu anlamına gelmez. Şirketlere ilişkin veriler, somut olayın özelliklerine göre Türk Ticaret Kanunu, Fikri Mülkiyet mevzuatı, Sözleşmeler Hukuku veya Sermaye Piyasası Kanunu gibi çeşitli diğer kanun hükümleri çerçevesinde korunmaktadır. Ayrıca, ticari sırların korunmasına yönelik kanun taslakları da bulunmaktadır.

Yasal Dayanaklar

Kişisel veri kavramı ve korunması esasen aşağıdaki yasal düzenlemelerle yakından ilişkilidir:

  • Kişisel Verilerin Korunması Kanunu (KVKK)
  • Türk Ticaret Kanunu (TTK)
  • Fikri Mülkiyet Mevzuatı
  • Sözleşmeler Hukuku
  • Sermaye Piyasası Kanunu

Özet: Kişisel Veri Kavramına Dair Anahtar Noktalar

  • Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü bilgidir.
  • KVKK, ölmüş kişilerin verilerini kişisel veri olarak kabul etmez.
  • Bir bilginin kişisel veri sayılması için doğru olması şart değildir; belirlenebilir kılması yeterlidir.
  • Belirlenebilirlik ilkesi, veriyi elinde bulunduranın imkanları ve somut olaya göre değerlendirilir (örn. IP adresleri).
  • Kılık kıyafet, dini inanç, sağlık gibi veriler özel nitelikli kişisel veridir ve özel koruma altındadır.
  • Anonimleştirilmiş veya belirlenemeyen veriler (örn. sonu silinmiş telefon numarası) kişisel veri değildir.
  • Şirket verileri KVKK kapsamında kişisel veri sayılmaz; başka yasalarla korunur.

Sonuç

Kişisel verilerin doğru bir şekilde tanımlanması, hem bireylerin mahremiyet haklarının korunması hem de veri sorumlusu kurumların yasal yükümlülüklerini yerine getirmesi açısından hayati önem taşır. Kişisel veri kavramının doğru tespiti, KVKK’ya uyum sağlamanın temelini oluşturur. Bu karmaşık alanda doğru adımları atmak ve olası ihlallerden korunmak için EkşiLegal gibi konusunda uzman hukuk bürolarından profesyonel danışmanlık almak büyük önem taşımaktadır. Unutmayın, veri koruma kültürünü benimsemek, günümüz iş dünyasında rekabet avantajı sağlayan temel bir gerekliliktir.

Leave a Comment

Your email address will not be published. Required fields are marked *