Kişisel Veri

KVK Kanunu gerekçesine göre:

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veridir. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir.

Genel Olarak Kişisel Veri

Kişisel veri kavramı, kanunda “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır. Buna göre kişisel veri kavramının dört unsuru vardır:

  1. Kimliği belirli veya belirlenebilir
  2. Gerçek kişiye
  3. İlişkin
  4. Her türlü bilgi

Kanunun bu tanımı, Adalet Komisyonu Raporu’nda da sıklıkla atıfta bulunulan Avrupa Birliği Direktifi ile aynı doğrultudadır. Bu bağlamda Madde 29 Çalışma Grubu’nun 4/2007 sayılı görüşünden özetle aşağıdaki açıklamalar kaleme alınmıştır.

“Kimliği belirli veya belirlenebilir”

Bir kişinin “kimliği belirli” kabul edilebilmesi, onun bir topluluk içerisindeyken bu topluluğun diğer üyelerinden ayırt edilebilmesini gerektirir. Bu doğrultuda “kimliği belirlenebilir” ifadesi de kişinin kimliği henüz belirlenmiş olmasa da kimliğinin belirlenmesinin mümkün olması anlamına gelecektir. Anlaşılacağı üzere bu unsurun yerine getirilmesi açısından alt eşik, “kimliği belirlenebilir” olmak durumudur.

Örnek

Basında yer alan dağınık bilgiler

Zamanında kamunun dikkatini çekmiş eski bir ceza davasına ilişkin bilgiler bir mecrada yayınlanmıştır. Yayının içeriğinde dava ile ilgili kişilerin ad, soyad veya doğum tarihi gibi kimliklerini doğrudan belirli kılacak herhangi bir bilgi yer almamaktadır.

Yayında yer alan bilgileri kişisel veri kabul etmek gerekir. Zira bu davanın taraflarının kimlikleri belirlenebilir niteliktedir. İlgili zaman aralığındaki gazetelerde yer alan haberler incelendiğinde bu kişilerin adlarına doğrudan ulaşılabileceği gibi, aynı yöntemle elde edilecek başka bilgiler sayesinde dolaylı olarak da kişilerin kimliği belirli hale gelebilir. Öte yandan bu şekilde eski gazetelerin incelenmesi ve kişilerin kimliklerinin belirli hale gelmesi uzak veya makul olmayan bir olasılık da değildir.

Belirtmek gerekir ki her ne kadar bir kişinin kimliğinin belirli hale gelmesinin en yaygın şekli ad ve soyadının tespit edilmesi olsa da, bir kişinin kimliğinin belirli olması için ad ve soyad bilgisi her zaman gerekmeyebilir. Örneğin internet ortamında, belirli cihazların davranışları ve dolayısıyla bu cihazları kullanan kişilerin davranışları tespit edilebilmektedir. Böylece ad, soyad veya adres gibi bilgilere ihtiyaç duyulmaksızın, kişinin sosyo-ekonomik, psikolojik, felsefi veya diğer bağlamlarda kategorize edilmesi ve internete bağlandığı cihaz aracılığıyla gerçekleştirdiği davranışların ona atfedilmesi mümkündür. Bir kişinin kimliğinin belirli hale gelme ihtimali, artık yalnızca onun ad ve soyadının tespit edilmesi anlamına gelmemektedir. Nitekim Kanun’daki kişisel veri tanımı da bu göz önüne alınarak geniş bir biçimde yapılmıştır.

Kimliği belirlenebilir olma durumu değerlendirilirken veri sorumlusu veya üçüncü kişilerin, ilgili kişinin kimliğini belirlemek yolunda makul çerçevede muhtemel başvurabileceği tüm yollar göz önüne alınmalıdır. Bununla birlikte bu yolların gerektirdiği çaba ve veri sorumlusunun amacı gibi kriterler de değerlendirilebilmelidir.

Örnek

Güvenlik kameraları

Veri sorumluları güvenlik kameraları ile bir alanı gözetlediğinde, kimliği belirli hale gelme olgusunun yalnızca belirli durumlarda ve oldukça düşük yüzdelerde gerçekleştiğini ve bu nedenle bu durumlar gerçekleşmeden önce kişisel veri işlenmediğini savunabilmektedirler. Ancak güvenlik kameraları kurulurken veri sorumlusunun amacı, gerektiği durumda kayıt altına alınan herkesin kimliğinin belirlenebilmesi olduğu için kişisel verilerin işlendiğinin kabul edilmesi gerekir. Bazı kişilerin video kayıtlarında yer alması ancak pratikte kimliğinin belirli hale getirilmemesi bu sonucu değiştirmeyecektir.

Örnek

Dinamik IP adresleri

Madde 29 Çalışma Grubu, İnternette Mahremiyet adlı çalışmasında internet protokolü (IP) adreslerinin, kimliği belirlenebilir kişilere ilişkin olduğunu belirtmektedir. Nitekim internet servis sağlayıcıları ve yerel ağ yöneticileri, atadıkları dinamik IP adreslerini ve bunların tarih, zaman, süre bilgilerini düzenli olarak kaydettikleri için, internet kullanıcılarını birbirlerinden ayırt edebilmektedir. Öte yandan Avrupa Adalet Divanı da Breyer kararında dinamik IP adreslerinin dahi birtakım şartlarda kişisel veri kabul edilmesi gerektiğini belirtmiştir.

Örnek

Grafiti nedeniyle verilen zarar

Bir nakliyat şirketine ait yolcu araçlarına sürekli olarak grafiti yapılmakta ve bu şekilde araçlara zarar verilmektedir. Şirket, araçlara verilen zararı takip edebilmek ve grafiti sahiplerine karşı yasal haklarını kullanabilmek için bir kayıt sistemi geliştirir. Bu doğrultuda verilen zararın mahiyeti, grafiti sahibinin imzası ve yazdıkları, resimleriyle birlikte, sisteme kaydedilmektedir.

Kayıt anı itibariyle zarar veren kişilerin kimliği belirli değildir ve hatta belki de hiç belirli hale gelmeyecektir. Ancak kurulan sistemin amacı, bu kişilerin kimliklerinin belirli hale getirilmesidir ve kimliklerinin belirlenebilir olmadığı ihtimalinde sistemin kurulması da bir anlam ifade etmeyecektir. Anlaşılacağı üzere, bu sistemin kurulmasının temelinde veri sorumlusunun, bu kişilerin kimliklerinin belirlenebilir olduğuna yönelik düşüncesi yer almaktadır. Tüm bu nedenlerle kaydedilen bilgileri kişisel veri olarak kabul etmek gerekir.

“Gerçek kişiye”

Kanunun tanımına göre bir verinin “kişisel veri” olarak değerlendirilebilmesi için bu verinin gerçek kişiye ilişkin olması gerekir. Bu doğrultuda, Kanuna göre, tüzel kişilere ilişkin veriler açısından kişisel veriden bahsetmek mümkün görünmemektedir. Tüzel kişilerin kişisel verilerinin korunması hakkına sahip olduğu hakkında Anayasa Mahkemesi’nin 4.12.2014 tarihli kararı için tıklayınız.

“İlişkin”

Genel olarak verinin bir kişiye “ilişkin” olması, onun bu kişi hakkında olması anlamına gelir. Birçok durumda bu bağlantı kolaylıkla kurulabilecektir. Örneğin işçi özlük dosyasında tutulan bilgiler, sağlık kayıtlarında yer alan bilgiler veya bir kimsenin resmi ya da video kaydı için bu bilgilerin ilgili kişiye ilişkin olduğuna şüphe yoktur. Ancak bazı hallerde bağlantı bu örneklerde olduğu kadar açık olmayabilir. Örneğin bilginin ilk derecede bir kişi ile değil bir nesne ile ilgili olması durumunda doğrudan değil dolaylı bir bağlantıdan söz edilecektir.

Örnek

Bir evin satış değeri

Bir evin satış değeri, bir nesne hakkında bilgidir. Belirli bir bölgedeki ev fiyatlarını göstermek için kullanıldığında bu veri Kanunun koruma alanı dışında kalacaktır. Ancak belirli şartlar altında aynı verinin kişisel veri kabul edilmesi de mümkündür. Gerçekten de ev, sahibinin bir malvarlığıdır ve örneğin bu kişinin vergi yükümlülüklerinin sınırının ortaya çıkarılmasında kullanılabilir. Bu bağlamda evin satış değeri bilgisinin kişisel veri olduğu kabul edilecektir.

Bir bilginin bir kişiye “ilişkin” olduğunun kabulü için (i) içerik, (ii) amaç veya (iii) sonuç unsurlarından birinin mevcut olması gerektiği söylenebilir.

İçerik unsuru, “ilişkin” ifadesinin en yaygın ve açık anlamını ifade etmektedir. Bu unsur, bilginin bir kişi hakkında olması halinde mevcuttur ve veri sorumlusu veya üçüncü kişilerin amacına bağlı değildir.

Amaç unsuru, bilginin, bir kişinin durumu veya davranışlarını değerlendirmek, belirli bir şekilde ele almak veya etkilemek amaçlarıyla kullanıldığı veya kullanılma ihtimalinin olduğu hallerde mevcut olacaktır.

Sonuç unsurunun varlığı halinde, içerik ve amaç unsurları somut olayda mevcut olmasa dahi bilginin bir kişiye “ilişkin” olduğunun kabulü mümkün olabilir. Buna göre, bilginin kullanımı belirli bir kişinin hakları ve menfaatlerini etkileyecekse sonuç unsuru mevcuttur. Belirtmek gerekir ki sonucun etki derecesi önem arz etmemektedir. Zira veri işleme sonucu kişinin diğer bireylerden farklı bir muameleye maruz kalacak olması sonuç unsurunun varlığı için yeterlidir.

Örnek

Taksi konumlarının takip edilmesi

Bir taksi şirketi, araçlarının konumunun gerçek zamanlı olarak belirlenmesine imkan sağlayan bir sistem kurar. Veri işlemenin amacı, taksi çağıran kişiye, ona en yakın araç yönlendirilerek müşterilere daha iyi hizmet sunmak ve yakıt tasarrufu yapmaktır. Amaçlar içerisinde taksi sürücülerinin performanslarının ölçülmesi yer almamaktadır.

Her ne kadar buradaki verilerin taksi sürücülerine değil, taksi araçlarına ilişkin olduğu savunulabilecek olsa da sistem, sürücülerin performanslarının ölçülmesine ve hız limitlerine uyup uymadıklarının belirlenmesi gibi onun üzerinde önemli etkiler doğurabilecek bilgilere erişilmesine imkan sağlamaktadır. Bu nedenle yukarıda bahsedilen sonuç unsurunun varlığı kabul edilmeli ve elde edilen veriler kişisel veri olarak değerlendirilmelidir.

Son olarak bu açıklamalar ışığında belirtilmelidir ki bir bilginin, her bir unsur açısından farklı kişilere “ilişkin” olması da mümkündür. Örneğin bilgi (i) açıkça A kişisi hakkında olduğundan içerik unsuru yönünden A’ya ilişkin, (ii) B kişisine farklı muamele edilmesi amacı taşıdığından amaç unsuru yönünden B’ye ilişkin ve (iii) C kişisinin hak ve menfaatleri üzerinde etki doğuracağından sonuç unsuru yönünden C’ye ilişkin olabilir.

“Her türlü bilgi”

Öncelikle belirtilmelidir ki Kanundaki “her türlü bilgi” ifadesi, kanunkoyucunun, kişisel veri kavramının sınırlarını olabildiğince geniş tutmak yönündeki iradesini ortaya koymaktadır.

Bilginin mahiyeti açısından bakıldığında, kişisel veri kavramı, bir kişi hakkındaki her türlü bilgiyi, objektif veya sübjektif niteliğine bakılmaksızın içerecektir. Kişinin sağlık durumu gibi objektif bilgiler ve kişi hakkındaki görüşler gibi sübjektif bilgilerin tamamı kişisel veri kabul edilebilecektir.

Bilginin “kişisel veri” niteliğinde olması için doğru veya ispatlanmış olması da gerekmez. Nitekim Kanun da kişisel verilerin eksik ve yanlış olabileceğini öngörmüş ve ilgili kişinin haklarını sayarken böylesi bilgilerin düzeltilmesini isteme hakkını tanımıştır.

Bilginin içeriği açısından bakıldığında, kişisel veri kavramı, herhangi bir bilgi sağlayan her türlü veriyi içerecektir. Burada “kişisel” ifadesinin, verinin kapsamına özel hayatın gizliliği bağlamında bir sınırlandırma getirmediği belirtilmelidir. Zira Kanunun amaç başlıklı ilk maddesine “başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak” ifadeleri kullanılmaktadır. Anlaşılacağı üzere özel hayatın gizliliği vurgulanmış olsa da korunan menfaat bununla sınırlı değildir. Bu yönden bakıldığında, kişinin herkes tarafından bilinen bir bilgisi de kişisel veri kabul edilmelidir.

Bilginin biçimi açısından bakıldığında, bir bilginin kişisel veri kabul edilip edilmeyeceğine karar verilirken hangi biçimde olduğu (alfabetik, sayısal, görsel, duysal gibi) veya hangi mecrada bulunduğu (elektronik veya fiziksel ortamda) önem arz etmeyecektir. Bu bağlamda ses kayıtları ve resimler diğer unsurları da içerdikleri sürece kişisel veri olarak kabul edilecektir.

Örnek

Telefon bankacılığı

Müşterinin bankayı telefon ile arayarak sesli talimat vermesi ve bunların kaydedilmesi halinde, ilgili ses kayıtları kişisel veri olarak değerlendirilebilir.

Örnek

Güvenlik kameraları

Güvenlik kameralarının kaydettiği görüntülerde kişilerin belirlenebilir olması halinde, video kayıtları kişisel veri niteliğinde olacaktır.

Örnek

Bir çocuğun çizimleri

Bir velayet davasında nöropsikiyatrik teste tabi tutulması için çocuğa, ailesine ilişkin bir çizim yaptırılmıştır. Bu çizim çocuğun ailesindeki bireylere ilişkin hissiyatını ve de genel olarak ruh halini göstereceği için kişisel veri olarak kabul edilebilir. Öte yandan, aynı çizim anne ve babanın davranışları ile ilgili bilgileri de ortaya çıkarabileceğinden, çocuğun çizimi, somut olayın şartlarına bağlı olarak ve belirli bir ölçüde, anne ve babasının da kişisel verisi sayılabilir.

Aylık Özet Bülteni
Kişisel verilerin korunmasına ilişkin yerel ve global gelişmeleri her ay derliyor ve özetleyerek sizlere gönderiyoruz.
Gizlilik Politikamız için tıklayınız.