KVKK Danışmanlığı


6698 sayılı kanunun amacı KVKK kişisel verilerin işlenmesinde gizliliği kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen  tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemesi yönündedir.

KVKK ile İlgili Temel Kavramlar Nelerdir?

Açık Rıza: Belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür irade ile açıklanan rıza.
Anonim hale getirme : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirelemeyecek hale getirilmesi.
İlgili Kişi : Kişisel verisi işlenen gerçek kişi.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen,veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.

KVKK Uyum Süreci Adımları:

  • Stratejik planlama, GAP analizleri, soru formları
  • Farkındalık eğitimleri
  • Veri envanteri hazırlanması ve sorumlulukların belirlenmesi
  • Politika ve prosedürlerin gözden geçirilmesi ve geliştirilmesi
  • Uyum raporunun sunulması
  • Yönetişim, izleme, denetim ve güncellemeler

KVKK DANIŞMANLIĞI NEDİR?

Yakın zamanda kabul edilen 6698 sayılı yasaya göre, kişisel verilerin kullanımından kaynaklanacak olan sorunlar nedeniyle yaşanacak sorunlara ağır cezalar getirildi. İşte bu noktada KVKK danışmanlığı birçok kurum ve birey tarafından önemli hale geliyor.

Peki ama nedir bu KVKK danışmanlığı?

İlgili yasaya göre önemli hale gelen kişisel verilerin korunması kapsamında:

  • Kişisel verilerin yönetilmesi,
  • Saklanması,
  • Korunması,
  • Usulüne uygun bir şekilde silinmesi,
  • KVKK ile ilgili hukuki süreçlerin takip edilmesi,
  • Veri güvenliğinin sağlanması ve

Veri güvenliğinin organizasyonu gibi konularda danışmanlık hizmetinin sağlanması, KVKK danışmanlığı olarak adlandırılır.

Tabi ki yalnızca yukarıda sayılan unsurlarla sınırlı değildir.

KVKK Danışmanlığını Kimler Yapabilir?

Hali hazırda KVKK danışmanı olmak için herhangi bir kıstas belirlenmemiştir. Ancak konu önemli olduğundan, firma bazında bu işle ilgilenecek olanların, bilişim ve hukuk konularına hakim olması gerekir.

KVKK danışmanlığı faaliyetini sürdüren firmalar ayrıca, KVKK rehberine ve kanunun hakim olmalıdır.

Danışmanlık firmaları bilgi güvenliği ile ilgili güncel olanı da takip etmelidir. Yani hizmet vereceği kurumları iyi bir şekilde temsil etmelidir.

KVKK Gereksinimleri Nelerdir?

Kişisel verilerin korunmasını sağlamak için birçok teknolojik donanım ve yazılıma ihtiyaç duyuluyor. Firmaların büyüklüğüne göre kullanılacak ekipman ve yazılım miktarında da farklılık olabilir.

İyi bir danışman sayesinde, kanunun emrettiği ve istediği hususları eksiksiz bir biçimde tamamlayabilirsiniz.

Ayrıca verileri işleyen ve verilerle her yönden ilgilenen, veri sorumlusuna ihtiyaç var.

KVKK gereksinimleri karşılanarak, kanunun firmalardan istediği konular eksiksiz bir biçimde tamamlanabilir.

Bir de kanunun bizden istediği gereksinimler var. Bu gereksinimler:

  • Verilerle ilgili risk analizi yapılması,
  • Firma çalışanlarının kişisel verilerini tehlikeye düşürmemeleri adına gerekli olan eğitimlerin verilmesi,
  • Kişisel veriyle ilgili firma politikalarının hazırlanması,
  • Veri sorumlusu atanması,
  • VERBİS sistemine kayıt olunması,
  • Kişisel verilerin tutulma süreleri ve imha politikaları hakkında plan hazırlanması,
  • Kişisel veri kabul sözleşmesi hazırlanmalı,
  • Bilgi sistemlerinin güvenliği sağlanmalı,
  • Kişisel verilerle ilgili fiziksel güvenlik kuralları belirlenmeli,
  • Bilginin yer aldığı sistemlere uzaktan bağlanacak olan cihazların güvenilir olduğundan emin olunmalı,
  • Kişisel verilerin bulut ortamında saklanması durumunda, bulut ortamını sağlayan sunucunun güvenli olup olmadığının belirlenmesi,
  • Verilerin saklandığı cihazların periyodik olarak bakımlarının yapılması, arıza durumunda tamirlerinin sağlanması ya da yenilerinin temin edilmesi,

Gibi gereksinimlerdir.

KVKK Danışmanlık Hizmeti Zorunlu mu?

Danışmanlık hizmeti almak zorunlu değildir. Firmalar veri güvenliği ile ilgili süreçleri ve yasal prosedürleri tamamen kendi bünyelerinde yapabilirler.

Ancak firmanın yapısal bütünlüğü göz önüne alındığında bu süreç için ilave personel istihdam etmesi gerekecektir. Ayrıca oluşturulacak ekip zaman ve para kaybına neden olacaktır.

Yine de bu yönteme başvuran firmalar vardır ve istedikleri sonucu elde edememişlerdir.

Firmalar, KVKK danışmanlığı hizmeti aldıklarında:

  • Danışmanlık firmasının bilgi birikimi ve deneyimi sayesinde, süreç en az sorunla ilerleyecektir.
  • Veri güvenliği kapsamındaki tüm süreçler, daha kısa sürede tamamlanacaktır.
  • Ayrıca danışmanlık hizmeti aldığınızda, Oryantasyon eğitimlerini de aynı firmadan sağlayabilirsiniz. Böylece süreç hakkında daha fazla bilgiye sahip olan çalışanlarınız olacaktır.

KVKK Süreci Nedir?

Kanunda veri güvenliği sağlaması gereken firmaların izlemesi gereken yollar ayrıntılı bir şekilde anlatılmıştır.

KVKK sürecinden kasıt, veri güvenliğini sağlamak adına firmaların bir takım teknik ve idari tedbirleri almasıdır.

Süreçteki son aşama VERBİS sistemine kayıt olmadır. Bunun için de firmaların veri sorumlusu tayin etmeleri gerekir. VERBİS sistemine kayıt olmak için de bir takım hazırlıkların tamamlanması gerekir. Bu hazırlıklar tamamlandıktan sonra ise artık KVKK sürecindeki tüm aşamalar tamamlanmış demektir.

KVKK Eğitimi Nedir?

ORC Danışmanlık olarak, danışmanlık hizmeti verdiğimiz firmaların ilgili çalışanlarına, KVKK eğitimi veriyoruz.

Eğitimlerimiz firmaların nasıl bir sistem oluşturmaları gerektiği üzerine yoğunlaşıyor. Ayrıca KVKK danışmanlığı kapsamında verdiğimiz eğitimlerde, firmaların nasıl veri sorumlusu tayin edecekleri ve VERBİS sistemine nasıl kayıt olabilecekleri gibi konularda yer alıyor.

Eğitimlerde sorumlu kişilerin neler yapması ve veri güvenliği kapsamında nelere dikkat etmeleri gerektiği de yer alıyor.

ORC Danışmalık tarafından sağlanan KVKK eğitim hakkında daha detaylı bilgileri, https://www.orcdanismanlik.com/ adresinden elde edebilirsiniz.

VERBİS Sistemine Kimler Kayıt Olmak Zorunda?

Çalışan sayısı yıllık 50’den çok olan firmalar, VERBİS sistemine kayıt olmak zorundadır. Ayrıca kanunda yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ya da tüzel kişilerde sisteme kayıt olmalıdır.

Yıllık çalışan sayısı 50’den az olan ve bilançosu 25 milyon TL’den az olan firmalarda yasaya göre sisteme kayıt olmalıdır.

Ayrıca kamu kurum ve kuruluşları da kanuna göre VERBİS sistemine kayıt olmak zorundadır.

Kişisel Verileri Koruma Memuru Ne İş Yapar?

Yasada belirtilen KVKG (Kişisel Verileri Koruma Görevlisi-Data Protection Officer”DPO”), başta veri işleme olmak üzere, birçok görevi yerine getirmekle yükümlüdür.

Kişisel verileri koruma memuru, aşağıdaki işleri yapmakla yükümlüdür:

  • Kişisel veri işleme envanterini hazırlamak,
  • Kişisel verileri güvenli bir şekilde saklamak,
  • Verilerin imhasını sağlamak,
  • VERBİS sistemine kayıt işlemlerini yapmak,
  • Açık rızaların alınması,
  • Kişisel verilerin kanuna uygun bir şekilde toplanması,
  • Kişisel verilerin işlenme şartı ortadan kalktığında silinmesi,
  • Üçüncü kişilerle verilerin usulüne uygun bir şekilde paylaşılması,
  • Kişilerin şikayetlerinin değerlendirilmesi,
  • Kişisel Koruma Kurulu kararlarının takip edilmesi.

KVKK Danışmanlığı Sertifikası

Danışmanlık sertifikasını, hukuk ve bilişim alanında uzman olan herkes alabilir. KVKK danışmanlığı sertifikası, bu konuda yetkilendirilen kurumlar tarafındna verilir.

VERBİS Sistemine Kayıt Olma

KVKK danışmanlığı hizmetimizin belkemiği ve belki de en önemlisi VERBİS sistemine kayıt olma işlemidir.

Sisteme kayıt olmadan önce bir takım hazırlıkların tamamlanmış olması gerekir. İlgili yasaya göre VERBİS sistemine kayıt olmadan önce:

  • Veri envanterlerinin belirlenmiş olması,
  • Güvenlik önlemlerinin tanımlanması ve sağlanması,
  • Verilerin hangi kategoriye girdiğinin belirlenmesi,
  • Veri sorumlusunun belirlenmiş olması,
  • Veri güvenliği ile ilgili öngörülen teknolojik altyapının sağlanmış olması,
  • Verilerin kanuna uygun bir şekilde depolanmasının sağlanması,
  • Verilerin imhası ya da silinmesi ile ilgili gerekli olan protokollerin hazırlanmış olması

Gibi hazırlıkların tamamlanmış olması gerekiyor.

Yukarıda saydığımız ve kanunun belirttiği diğer tüm hazırlıkların tamamlanmasından sonra, VERBİS sistemine kayıt işlemlerini, https://www.kvkk.gov.tr/ sitesi üzerinden gerçekleştirebilirsiniz.

Ayrıca https://verbis.kvkk.gov.tr/UploadedFiles/VER%C4%B0%20SORUMLULARI%20S%C4%B0C%C4%B0L%C4%B0%20B%C4%B0LG%C4%B0%20S%C4%B0STEM%C4%B0%20KLAVUZU%20VERS%C4%B0YON%201.0.pdfadresinden VERBİS ile ilgili tüm detayları öğrenebilirsiniz.

ORC Danışmanlık KVKK Danışmanlık Hizmetleri

KVKK danışmanlığı ve diğer ilgili konular hakkında bizleri arayarak, tüm soru ve görüşlerinizi bildirebilirsiniz.

KVKK Uygulamasında ve Uyum Sürecinde Ortaya Çıkan Soru ve Sorunlar 
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 24.03.2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmesiyle birlikte Kişisel Verileri Koruma Hukuku günlük hayatımızın birçok noktasında karşımıza çıkmaya başladı. Ülkemizde Kişisel Verileri Koruma Hukukunun birincil kaynağı niteliğinde olan 6698 sayılı Kanun ve bunun yanı sıra yönetmelikler, tebliğler ve Kişisel Verileri Koruma Kurulu’nun kararları bulunmakla birlikte, uygulamada hala birçok sorun yaşanmakta ve çok sayıda soruya yanıt aranmaktadır. Bunlar özellikle özel sektör bakımından ticari hayatın hukuka uygun işlemesi ama bir yandan da ticaretin engellenmemesi açısından hayati önemi haizdir.  
İşte bu yazıda “KVKK uygulamasında ve uyum sürecinde ortaya çıkan sorunları” ele almaya ve aslında bu işle ilgilenen hemen hemen herkesin kafasında olan soruları yüksek sesle dile getirmeye çalışacağım.  
Her şeyden önce belirtmeliyim ki, 6698 sayılı Kanun, 2016 yılında yürürlüğe girmiş olup uygulama açısından henüz tam oturmamıştır. Kanun’un eleştirildiği ve uygulama açısından yetersiz kaldığı birçok husus bulunmaktadır. Bu hususların bir kısmı Kurul kararlarıyla netleştirilmiş olsa da uygulama açısından halen giderilmesi gereken birçok eksiklik bulunmaktadır. Aşağıda tespit ettiğim sorunlara ana başlıklar çerçevesinde değinecek ve bazılarına getirilebildiğim çözüm önerilerini açıklayacağım. Ancak bunlar kesin çözümler olmayıp, bu konudaki tartışmaların başlaması için birer öneri niteliğindedir. 
1. VERBİS Sicil Yönetmeliği Kapsamında Uygulamadaki Soru ve Sorunlar
VERBİS Sicil Yönetmeliği’nin 13. maddesinde “Veri sorumluları, sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, VERBİS üzerinden yedi gün içerisinde Kurum’a bildirir.” düzenlemesi yer almaktadır. Buna göre veri sorumlusu sıfatını haiz kişilere veya kurumlara kayıtlarda değişiklik olması halinde söz konusu değişikliği 7 gün içerisinde Kurum’a bildirme yükümlülüğü getirilmiştir. Ancak buradaki 7 günlük sürenin hangi andan itibaren başlayacağı belirsizdir. 
VERBİS Sicil Yönetmeliği’nde düzenlenen 7 günlük sürenin, değişiklik olduğunun öğrenilmesinden itibaren mi yoksa değişikliğin oluştuğu andan itibaren mi işlemeye başlayacağı söz konusu düzenlemede belirtilmemiştir. Uygulamada gördüğüm örneklere göre kişisel verilerdeki olası değişikliklerin her zaman hemen ve kolayca tespit edilmesi mümkün değildir. Değişikliğin tespit edilmesi halinde ise 7 günlük sürenin değişikliğin meydana geldiği anda başlatılması halinde ise Kurul’a bildirim için 7 günlük sürenin kısa olduğunu düşünmekteyim. Bu nedenle kişisel verilerin veri sorumlusu tarafından organizasyonel bir yapı içerisinde düzenli aralıklarla güncelliğinin, doğruluğunun kontrol edilmesi ve 7 günlük sürenin de bu kontroller sonucunda kişisel verideki değişikliğin tespit edilmesinden itibaren başlaması gerektiğini düşünmekteyim.  
Bu husustaki değerlendirme, GDPR’da verilerin doğruluk ve güncelliğinin tespiti açısından yapılan değerlendirmeyle kıyas yapılarak geliştirebilir. GDPR, “Kişisel Verilerin Doğru ve Gerektiğinde Güncel Tutulma İlkesine” yer verdiği 5/1-d maddesinde, güncel olmayan verileri işlediğini anlayan veri sorumlusunun ne yapması gerektiği hususunu da açıklamıştır. Buna göre, veri sorumlusu aslında güncel olmayan hatalı verileri işlediğini herhangi şekilde anlarsa bu gibi verilerin, işleneceği amaçlarla ilgili olarak bir gecikmeye mahal vermeksizin silinmesini veya düzeltilmesini sağlamak için gerekli her türlü makul adımı atmalıdır.  
GDPR’da bu kapsamda yapılan yorumu VERBİS Sicil Yönetmeliği ile getirilen 7 günlük sürenin başlangıç aşaması açısından da kıyas yoluyla değerlendirebiliriz. Buna göre veri sorumlusunun 7 günlük süre zarfında değişikliği Kurul’a bildirmesi; bir gecikmeye mahal vermeksizin silinmesini veya düzeltilmesini sağlamak için gerekli bir adım olarak değerlendirilip, 7 günlük sürenin başlangıcı olarak da veri sorumlusunun üzerinde değişiklik meydana gelen verileri işlediğini herhangi şekilde öğrenme anını esas alabiliriz.  
Bununla birlikte veri sorumlusunun olumsuz sonuçlarla karşılaşmaması ve ilgili kişinin hak ihlali iddialarına maruz kalmaması için veri sorumlusunun organizasyonel bir yapıda verileri kontrol etmesi gerektiğini tekrar belirtmeliyim. Bu kapsamda yeni veri işleme süreçlerinin ortaya çıkması halinde nasıl hareket edileceğine, kimin hangi sürede nasıl bildirimde bulunacağına dair politikalar ve prosedürler oluşturulmalı, bu konuda görevlendirmeler yapılmalı ve bir ihlal durumunun olmaması için bu yapılanlar doğrultusunda ilgili kişilerin işlemde bulunması sağlanmalıdır. 
2. Açık Rıza Alınırken Rıza Karşılığı Ek Avantajlar Sağlanabilir mi?
GDPR, Direktif ve 6698 sayılı Kanun’da açıkça belirtildiği üzere açık rıza beyanı ilgili kişinin özgür iradesinin ürünü olmalıdır. Özgür iradeyle açıklanmış olan bir beyan, kişinin kendi kararını özgürce verebilmesi ve bunu dışarıya özgür bir şekilde açıklayabilmesi anlamına gelir. Veri sorumlusunun “açık rıza verilmesi halinde hizmetin yerine getirileceği dayatması” yapması açık rızanın özgür iradeyle açıklanmış olma özelliğini zedelediği için bu şekilde alınan rızaların hukuka uygun olmadığı kabul edilmektedir. Ancak tam tersi yönde, söz konusu işlemin yerine getirilmesi hususunda bir dayatma olarak değil de kişinin açık rıza vermesiyle kendisine artı bir menfaat kazandırılacağı yönünde bir uygulamayla alınan açık rızanın geçerli olup olmadığı tartışmalıdır.  
Kanaatimce rıza karşılığı ek avantaj getirilmesi kişinin özgür iradesini zedelemez. İşlemin gerçekleştirilmesi hususunda dayatmada bulunulması kişinin açık rıza vermezse yapmak istediği işin yapılmayacağını, söz konusu işlemin yapılması için kişisel verilerinin işlenmesine açık rıza vermesini zorunlu kılar niteliktedir. Bu nedenle kişinin özgür iradesinin ortadan kalkması sonucu doğmaktadır. Ancak ek avantaj getirilmesi söz konusu işlemi etkilememekte sadece kişinin rızasını almak üzere teşvik edilmesini sağlamaktadır.  Veri sorumlusunun yerine getirdiği faaliyet çerçevesinde veri ilgilisini zorlamaya varmayacak derecede etkilemeye çalışması gibi durumların özgür iradeyi sakatlayan durumlar olarak algılanmaması gerektiğini düşünüyorum. Zira böyle bir kabulde özgür iradeyle açıklanmış olma kavramı çok geniş yorumlanmış ve ticaret faaliyetler de kötü etkilenmiş olacaktır. Üstelik yalnızca ticari faaliyet yürüten veri sorumlusu için değil bundan faydalanacak olan veri ilgilisi üzerinde de olumsuz etkilerinin olması mümkündür2. 
Bu soru en çok sadakat kart (loyalty card) özelinde gündeme gelmektedir. Ticaret şirketleri, müşterilerini kendilerine çekebilmek ve bağlı kalmalarını sağlamak için müşterilerinin bazı kişisel verilerini almakta ve bunun karşılığında müşterilerine indirim yaparak ya da çeşitli hediyeler vererek avantajlar sağlamaktadır. İşte tam da bu noktada yukarıda ifade etmiş olduğum görüş devreye girmektedir. Sadakat kartı çıkaran şirket, kişisel verilerini vermek ve kartı almak istemeyen müşterilerine ürün ya da hizmet satmaktan kaçınmamakta, yalnızca bunlara avantaj sağlamamaktadır. Dolayısıyla aslında burada iradenin etkilenmesi değil, karşılıklı bir sözleşme söz konusudur ve bu sözleşmenin ifası gereği karşılıklı edimler yerine getirilmektedir. Bence burada dikkat edilmesi gereken husus, müşteriye dilediği zaman bu sözleşmeyi kolayca sona erdirme hakkının verilmesi ve bu irade beyanı gerçekleştiğinde veri sorumlusunun müşterinin bu kapsamda alınan kişisel verilerini gerçekten silmesidir. www.orcdanismanlik.com

İnternetin günlük yaşantımızda kapladığı yerin her geçen gün artması ve kullanıcılar olarak sıklıkla kullandığımız yazılımlara ücretsiz biçimde erişmenin rahatlığına alışmamız sebebi ile kişisel verilerin korunması alanı giderek önem kazanmaktadır. Zira internetteki birçok hizmetin ücretsiz olarak sunulması ancak kullanıcıların yani bizlerin kişisel verilerinin, ürünün sahibi tarafından toplanması ve işlenmesi yoluyla gelir elde edilmesi ile mümkün olmaktadır. Her ne kadar burada iki tarafın da kabul ettiği bir anlaşma var gibi gözükse de aslında kullanıcıların kişisel verilerinin işlenmesine yönelik faaliyetlerden ciddi oranda zarar görmelerinin mümkün olması ve çoğunlukla kullanıcıların bu zararı öngöremeyecek olmaları sebebiyle kişisel verilerin işlenmesinin hukuk düzeni tarafından düzenlenmesi gerekmektedir. Bu bağlamda karşımıza çıkan en bilindik düzenleme, internetin küresel yapısının da etkisi ile oldukça geniş bir kapsama sahip olan GDPR'dir. Ülkemizde ise 6698 Sayılı Kişisel Verilerin Korunması Hakkındaki Kanun, bu alanı düzenlemekte ve vatandaşlarımızın kişisel verilerini korumaktadır. Bu iki düzenlemenin farkları ile beraber irdelenmesi, özellikle küresel boyutta veri işleme faaliyeti yapmak isteyen gerçek ve tüzel kişilere yol göstermesi bakımından önem arz etmektedir. Anahtar Kelimeler: kişisel verilerin korunması, veri işlemenin düzenlenmesi, GDPR, Kişisel Verilerin Korunması Kanunu, özel hayatın gizliliği hakkı

KVKK Danışmanlığı

KVKK

6698 SAYILI KANUN

nternetin hayatımızda her geçen gün daha fazla yer kaplaması ile beraber internet kullanıcılarının kişisel verileri işlenerek kar sağlanabilir hale gelmiştir. Daha önceleri edinmesi zor veya maliyetli olan kişisel verileri toplamayı ve işlemeyi kolaylaştıran araçların sayısının artması ile bu araçlar ucuz ve kolay biçimde elde edilebilir hale gelmişlerdir. Bunun doğal bir sonucu olarak bahse konu verilerin Türk vatandaşlarının kişilik haklarına zarar vermek için kullanılması da kolaylaşmıştır. Tüm dünyada olduğu gibi ülkemizde de kişilik haklarına zarar verme ihtimali olan gelişmeler ile bu gelişmelere karşı kişileri korumaya yönelik fikir ve önlemler eş zamanlı olarak ortaya çıkmıştır.1 Türkiye, Avrupa Konseyi, Birleşmiş Milletler (BM) ve Ekonomik Kalkınma ve İşbirliği Örgütü (OECD) de dahil olmak üzere çok sayıda uluslararası örgüte üyedir. Bu nedenle kişisel verilerin korunması için bir kanun çıkarılması yönünde ihtiyacın ortaya çıkmasında teknolojik gereksinimlerin yanı sıra uluslararası iş birliklerinin sürdürülmek istenmesinin de etkisi büyüktür. Zira gerek Avrupa Konseyi gerekse OECD, kişisel verilerin korunması konusunda düzenlemeler getirmiş ancak Türkiye bu uluslararası sözleşmelere imza atmasına karşın, bunları onaylayarak iç hukukunda yürürlüğe sokmamıştır.2 Türkiye tarafından imzalanmasına rağmen iç hukukumuzda uygulama alanı bulmayan kişisel verilerin korunmasına ilişkin düzenlemeler şu şekildedir: • 1981 – Kişisel Verilerin Otomatik İşlenmesine Karşı Bireylerin Korunması Sözleşmesi, • 2001 – Kişisel Verilerin Otomatik İşlenmesine Karşı Bireylerin Korunması Sözleşmesine Ek Denetleyici Makamlar ve Sınıraşan Veri Aktarımına İlişkin Protokol Bu durum 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) yürürlüğe girmesinden önce uluslararası arenada büyük bir eksiklik olarak nitelendirilmiş ve hatta Türkiye bu eksiklik sebebi ile bazı iş birliği fırsatlarından mahrum olmuştur. Örneğin 6698 sayılı KVKK öncesinde kişisel veriler korunmadığı gerekçesiyle Türkiye ile Avrupa Polis Teşkilatı (EUROPOL) ile operasyonel iş birliği anlaşması imzalanamamaktaydı. Benzer şekilde Türkiye, kişisel verilerin korunmasına yönelik bir düzenleme olmaması sebebiyle çalıntı araçlar, pasaportlar, tutuklama kararları ve istenmeyen kişiler ile ilgili bilgiler içeren Schengen Bilgi Sistemi (SIS) gibi imkanlardan da faydalanamamıştır.3 Ülkemizde kişilerin verilerinin korunması yönündeki ihtiyacın başkaca bir yönü, Avrupa Birliği uyum sürecidir. Gerçekten; Birlik, kişisel verilerin korunması hakkında düzenlemeler ile bireylerin kişilik haklarını korumayı hedeflemektedir. Nitekim bu düzenlemeler üye ülkelerin mevzuatlarında da yer edinmektedir. Bunun doğal bir sonucu olarak Türkiye gibi aday ülke statüsünde olan ülkelerden de AB uyum süreci kapsamında kişisel verilerin korunması için düzenlemeler yapılması beklenmektedir. Üstelik AB mevzuatındaki birtakım maddeler, kişisel verilere ilişkin yeterli korumanın sağlanmadığı ülkelere veri aktarımını yasaklamak suretiyle Türkiye’nin e-ticaret anlamında Avrupa pazarında faaliyet göstermesini de engellemekteydi.4 Bu nedenle AB’nin kişisel verilerin işlenmesi alanında küresel bir etkiye de yol açan düzenlemesi olan GDPR’nin ve mevzuatımızda yürürlükte olan Kişisel Verilerin Korunması Kanunu’nun karşılaştırmalı bir incelemesi her iki düzenlemenin de uygulama alanında faaliyet göstermesi olası global teşebbüslere faydalı olacağı açıktır. 

I. BÖLÜM: KİŞİSEL VERİLERİN KORUNMASINA GENEL BİR BAKIŞ A. KİŞİSEL VERİLERİN KORUNMASININ TARİHSEL GELİŞİMİ 1. Türk Hukukunda Kişisel Verilerin Korunmasına Yönelik Düzenlemeler Hukukumuzda 6698 Sayılı KVKK’nın getirdiği yenilikleri ve bu yeniliklerin Avrupa'daki düzenlemeler ile benzerliklerini ve farklılıklarını incelemeden evvel, mevzuatımızda önceden beri var olan kişisel verilerin korunması düzenlemelerinin ve bunların tarihsel gelişiminin incelenmesi faydalı olacaktır. Her ne kadar kişisel verileri toplanması, saklanması ve işlenmesi günümüzde yeni yeni önem kazanmakta gibi gözükse de mevzuatımızda bu alanı düzenleyen hükümler KVKK’dan çok daha eskiye dayanmaktadır. Zira kişisel verilerin korunması, hukuk devletlerinde korunması mecburi olan bazı değerlerle yakından ilişkilidir. Gerçekten; kişinin şerefinin, onurunun, hayat alanının, resminin, sesinin ve kişiye ait başka bir takım hassas verilerin kişilik hakkını oluşturan değerlerden sayıldığı açıktır. Bu bağlamda, mevzuatımızda kişilik hakkını koruyan diğer hükümlerin incelenmesi, KVKK’ya zemin hazırlayan hukuki ortamın görülmesi bakımından önem arz etmektedir. a. 1982 Anayasası’nda Kişilik Hakkı ve Kişisel Veriler Anayasa, normlar hiyerarşisinin tepesinde yer aldığından doğaldır ki kişisel verilerin korunması alanındaki tüm diğer düzenlemelerin hukuki altyapısını oluşturmaktadır. 1982 Anayasasında; özel hayatın gizliliği hakkını düzenleyen 20. Madde başta olmak üzere konut dokunulmazlığını düzenleyen 21. Madde, haberleşmenin gizliliğini düzenleyen 22. Madde, dini ve vicdani kanaatleri açıklamaya zorlanamama hakkını düzenleyen 24. Madde ve düşünce ve kanaatleri açıklamaya zorlanamama hakkını düzenleyen 25. Madde kişisel verilerin 4 korunmasına yönelik düzenlemeler barındırmaktadırlar.5 Bu bağlamda özel hayatın gizliliği hakkını düzenleyen 20. madde ön plana çıkmaktadır. Bu maddeye göre: “Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz. Millî güvenlik, kamu düzeni, suç işlenmesinin önlenmesi, genel sağlık ve genel ahlâkın korunması veya başkalarının hak ve özgürlüklerinin korunması sebeplerinden biri veya birkaçına bağlı olarak, usulüne göre verilmiş hâkim kararı olmadıkça; yine bu sebeplere bağlı olarak gecikmesinde sakınca bulunan hallerde de kanunla yetkili kılınmış merciin yazılı emri bulunmadıkça; kimsenin üstü, özel kâğıtları ve eşyası aranamaz ve bunlara el konulamaz. Yetkili merciin kararı yirmidört saat içinde görevli hâkimin onayına sunulur. Hâkim, kararını el koymadan itibaren kırksekiz saat içinde açıklar; aksi halde, el koyma kendiliğinden kalkar.” Maddenin ilk fıkrası ile tüm vatandaşların kişilik hakkı kapsamında özel hayatının ve aile hayatının gizliliği güvence altına alınmıştır. Bahse konu hüküm, kişilik ve gizlilik haklarının hangi unsurları kapsadığını sınırlı sayıda saymamıştır. Bunun temelinde vatandaşların günlük hayattaki ihtiyaçlarının değişmesi ve/veya teknolojinin gelişmesi sonucunda kişilik hakkı kavramının ihtiva ettiği değerlerin değişecek olması yatmaktadır. Bu yüzden çerçeve hüküm olarak nitelendirilebilecek bu fıkra ile hem özel hayatın gizliliğini yakından ilgilendiren hem de gitgide daha fazla ekonomik değere haiz olmaya başlayan kişisel verilerimizin de korunduğu pek tabii söylenebilir. 2010 yılına gelindiğinde ise kişisel verilerin korunması alanında özel düzenlemelere ihtiyaç olacağı daha net bir biçimde görülmüştür. Yapılan Anayasa değişikliği ile 20. maddeye 3. bir fıkra eklenmiştir. Eklenen fıkraya göre göre; “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” Anayasa değişikliği teklifinde bu fıkra için gösterilen gerekçede;“Anayasada kişisel verilerin korunmasına yönelik dolaylı hükümler bulunmakla birlikte yeterli değildir. Mukayeseli hukukta ve tarafı olduğumuz uluslararası belgelerde de kişisel verilerin korunması önemle vurgulanmaktadır. Maddeyle, herkesin, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkı, anayasal bir hak olarak teminat altına alınmaktadır. Bu bağlamda, bireylerin kendilerini ilgilendiren kişisel veriler üzerinde hangi hak ve yetkilere sahip olduğu ve kişisel verilerin hangi hallerde işlenebileceği hükme bağlanırken, kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceği öngörülmektedir.” İfadesine yer verilmiştir. 20. maddeye 2010 yılında eklenen bu fıkra ile hem kişisel verilerin korunması hakkı açık biçimde anayasada yer bulmuş hem de kişisel verilerin korunmasına ilişkin esaslar kanun ile belirlenir hükmüne yer verilmek suretiyle KVKK’nın hukuki temeli atılmıştır. 6 b. 4721 Sayılı Türk Medeni Kanunu’nda Kişilik Hakkı Kişisel verilerin korunmasını isteme hakkı, Anayasanın kişinin hak ve ödevlerini düzenleyen ikinci bölümünde ele alınmıştır. Bu sebeple bu hakkın kişilik hakkının bir uzantısı olduğunu söylemek yanlış olmayacaktır. Buradan hareketle Türk Medeni Kanunu’nun kişilik hakkını koruyan hükümleri, kişisel verilerin korunması için uygulama alanı bulacaktır. 7 Kişiliğin saldırılardan korunmasına yönelik düzenlemelere 4721 Sayılı Türk Medeni Kanunu’nun (TMK) 24. ve 25. maddeleri ile yer verilmiştir. 24. Maddeye göre: “Hukuka aykırı olarak kişilik hakkına saldırılan kimse, hâkimden, saldırıda bulunanlara karşı korunmasını isteyebilir. Kişilik hakkı zedelenen kimsenin rızası, daha üstün nitelikte özel veya kamusal yarar ya da kanunun verdiği yetkinin kullanılması sebeplerinden biriyle haklı kılınmadıkça, kişilik haklarına yapılan her saldırı hukuka aykırıdır.” Ve 25. Maddeye göre:“Davacı, hâkimden saldırı tehlikesinin önlenmesini, sürmekte olan saldırıya son verilmesini, sona ermiş olsa bile etkileri devam eden saldırının hukuka aykırılığının tespitini isteyebilir. Davacı bunlarla birlikte, düzeltmenin veya kararın üçüncü kişilere bildirilmesi ya da yayımlanması isteminde de bulunabilir. Davacının, maddî ve manevî tazminat istemleri ile hukuka aykırı saldırı dolayısıyla elde edilmiş olan kazancın vekâletsiz iş görme hükümlerine göre kendisine verilmesine ilişkin istemde bulunma hakkı saklıdır. Manevî tazminat istemi, karşı tarafça kabul edilmiş olmadıkça devredilemez; mirasbırakan tarafından ileri sürülmüş olmadıkça mirasçılara geçmez.” Kişisel verilerinin gizliliğini ihlal edildiğini veya hukuka aykırı biçimde işlendiğini iddia eden kişi, 24 ve 25. Maddeler kapsamında dava açarak ihlalin tespitini, önlenmesini, durdurulmasını veya ihlal sebebi ile uğradığı zararların tazminini talep edebilir.8 Burada altı çizilmesi gerekli bir husus, 24. Maddede belirtilen hukuka uygunluk nedenleridir. Buna göre kişinin rızasının ya da daha üstün bir faydanın bulunması veya kanunun tanıdığı yetkinin kullanılması hallerinde kişilik haklarına bir saldırı olduğundan bahsedilemez. Bu düzenleme, KVKK ile getirilen kişisel verilerin işlenmesi şartlarına da paralel niteliktedir. TMK, kişisel verilerin korunmasına ilişkin belirli bir seviyede koruma sağlamaktadır. Ancak Anayasa ile benzer şekilde, kişilik hakkının hangi değerleri koruduğuna ilişkin keskin sınırlar çizmekten kaçındığından ve kişisel verilerin korunmasına yönelik özel hükümlere yer vermediğinden tek başına yeterli bir koruma mekanizması değildir. Diğer bir deyişle TMK’da yer alan düzenlemeler, kişisel verilerin korunması alanının kendine özgü niteliği itibariyle kişisel verileri etkin biçimde korumak için yeterli değildirler.9 Tüm bunlara ek olarak, TMK kapsamında getirilen korumaların tamamı, kişisel verilerin gizliliği ihlal edildikten sonra yapılabilecek işlemlerden ibarettir. Bu düzenlemelerin kişisel verilerin korunmasını teşvik edici veya ihlalleri önleyici bir işlevi de bulunmamaktadır.6098 Sayılı Türk Borçlar Kanunu’nda Kişilik Hakkı TMK’ya paralel olarak, 6098 Sayılı Türk Borçlar Kanunu’nda da kişilik hakkının korunmasına yönelik hükümlere yer verilmiş olup, bu hükümler kişisel verilerin korunması bağlamında da uygulama alanı bulacaktır. Kişilik hakkının korunması bakımından Türk Borçlar Kanunu’nun (TBK) 27., 49. ve 58. Maddeleri öne çıkmaktadır. TBK’nın 27. Maddesi; kişilik haklarına aykırı biçimde yapılan sözleşmelerin kesin hükümsüz olduğunu düzenlemektedir. Kanaatimizce bu hüküm, KVKK’da karşımıza çıkan rızanın geçerli olabilmesinin bazı şartlara bağlanması suretiyle rızaya rağmen kişinin verilerini korumaya yönelik düzenleme ile aynı doğrultudadır. TBK’nın 49. Maddesi haksız fiil neticesinde ortaya çıkan zararların tazminine ilişkindir. Gerçekten, kişisel verilerin hukuka aykırı olarak işlenmesi bir haksız fiil niteliğinde olduğundan kişinin bu işlemler neticesinde uğradığı zararın tazminini isteme hakkı TBK ile düzenlenmiştir.11 Son olarak TBK 58. Madde ise; kişilik hakkı zarara uğrayan kimsenin uğradığı zararlarının tazminini talep etmesine ilişkindir. Özellikle internet ortamında kişilik haklarının ihlalinin ve kişinin şerefine yahut özel hayatına karşı suçların işlenmesinin daha kolay olduğu göz önünde bulundurulduğunda 58. Maddenin her geçen gün daha sık uygulandığını söylemek yanlış olmayacaktır. Borçlar Kanunu da Medeni Kanun gibi kişisel verilerin korunmasını ayrıca ve detaylı biçimde düzenlemek yerine, hak ihlali gerçekleştikten sonra uygulanabilecek genel hükümlere yer verdiğinden kişisel verilerin korunması bağlamında yeterli değildir. d. 5237 Sayılı Türk Ceza Kanunu’nda Kişilik Hakkı Özel hayatın gizliliği hakkının ihlali neticesinde oluşan suçların tanımları, 5237 Sayılı Türk Ceza Kanunu’nun (TCK) 132. ve devam maddeleriyle yapılmış ve bu suçların oluşması halinde verilecek cezalar belirlenmiştir. KVKK perspektifinden bakıldığında üzerinde durulması gereken Türk Ceza Kanunu Maddeleri; özel hayatın gizliliğini ihlal suçunu düzenleyen m.134, kişisel verilerin kaydedilmesi suçunu düzenleyen m.135, verileri hukuka aykırı olarak verme veya ele geçirme suçunu düzenleyen m.136 ve verileri yok etmeme suçunu düzenleyen m.138’dir. Nitekim bu suçların maddi unsurunu oluşturan fiiller aynı zamanda KVKK’yı da ihlal etmektedirler. Özel hayatın gizliliğini ihlal suçunu tanımlayan m.134’e göre; “Kişilerin özel hayatının gizliliğini ihlal eden kimse, bir yıldan üç yıla kadar hapis cezası ile cezalandırılır. Gizliliğin görüntü veya seslerin kayda alınması suretiyle ihlal edilmesi halinde, verilecek ceza bir kat artırılır. Kişilerin özel hayatına ilişkin görüntü veya sesleri hukuka aykırı olarak ifşa eden kimse iki yıldan beş yıla kadar hapis cezası ile cezalandırılır. İfşa edilen bu verilerin basın ve yayın yoluyla yayımlanması halinde de aynı cezaya hükmolunur.” Görüldüğü üzere KVKK kapsamında ihlal olarak nitelendirilebilecek olan özel hayata ilişkin görüntü veya ses kaydı ile bu kayıtların alenileştirilmesi eylemleri, aynı zamanda TCK m.134 kapsamında suç teşkil etmektedir. Veri kaydına ilişkin bir düğer suç ise TCK’nın 135. Maddesi ile düzenlenen kişisel verilerin kaydedilmesi suçudur ve bu suç; TCK’daki KVKK ile en yakından ilişkili olan suçtur. 135. maddenin birinci fıkrasına göre: “Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.” Yine KVKK’ya paralel olarak, aynı maddenin 2. Fıkrası ile KVKK’nın özel nitelikli kişisel veri saydığı bilgilerin kaydedilmesi de cezayı artırıcı sebep olarak belirlenmiştir: “Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.” Ancak m.135’in birinci fıkrasında kişisel verinin tanımının yapılmaksızın kaydedilmelerinin yasaklanması, maddenin suçta ve cezada kanunilik ilkesine aykırı olduğundan hareketle eleştirilmesine sebep olmuştur.12 Ancak bu hususta Yargıtay’ın, TCK’nın 135. Maddesinin gerekçesinde yer alan “Gerçek kişiyle ilgili her türlü bilgi, kişisel veri olarak kabul edilmelidir. Söz konusu suç tanımında kişisel verilerin bilgisayar ortamında veya kağıt üzerinde kayda alınması arasında bir ayırım gözetilmemiştir” hükmüne uygun olarak içtihatlar oluşturduğunu görmekteyiz. Nitekim Yargıtay Ceza Genel Kurulu, 2012/1510E. ve 2014/331K. sayılı kararında da; “TCK'nun 135 ve 136. maddelerindeki kişisel verilerin korunmasına ilişkin düzenlemelerde sadece sır niteliğinde kişisel verilerin korunacağına ilişkin bir hükmün bulunmaması ve aksine 135. maddenin gerekçesinde gerçek kişiyle ilgili her türlü bilginin kişisel veri olarak kabul edilmesi gerektiğinin belirtilmesi karşısında, her türlü kişisel verinin hukuka aykırı olarak başkasına verilmesi, yayılması ve ele geçirilmesi fiillerinin kanunun 136. maddesindeki suçu oluşturduğu kabul edilmelidir.” şeklinde değerlendirmede bulunarak gerçek kişiye ait her türlü bilginin kişisel veri sayılacağını kabul etmiştir. TCK ile kişisel verilerin kaydedilmesinin yanı sıra, hukuka aykırı olarak ele geçirilmesi ve üçüncü kişiler ile paylaşılması da suç olarak tanımlanmıştır. Verileri hukuka aykırı olarak verme veya ele geçirme kenar başlıklı TCK’nın 136. maddesine göre: “Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.” Bu maddeye göre suç oluşabilmesi için, kişinin verileri yetkisiz olarak ele geçirmiş olması gereklidir. Bu konuda bir banka çalışanının müşterilerin bilgilerini kendi e-posta adresine göndermesine yönelik Yargıtay 12. Ceza Dairesi’nin 2015/4348E. ve 2015/4865K. sayılı kararı emsal teşkil etmektedir. Bu karara göre; “…sanığın çalıştığı bankada yetkisiz üçüncü kişi konumunda bulunmadığı, kendisine verilen yetki kapsamında, şahsi mail hesabına gönderdiği bilgilere erişebildiği gibi, sanık dışında diğer çalışanlar tarafından da, bu bilgiler şahsi mail hesabına gönderilerek kullanıldığı ve sanığın bu bilgileri başka bankalara dağıttığına ilişkin dosya kapsamından hiçbir delil bulunmadığı anlaşılmakla, sanık hakkında beraat kararı verilmesinde isabetsizlik görülmemiştir.” 136. maddeyi önemli kılan bir nokta; kişinin özel hayatının gizliliğinin yanı sıra kişisel verilerinin yayılması sebebi ile toplum içinde itibarını kaybetme, şantaja maruz kalma gibi daha büyük tehlikelere karşı da kişiyi korumaya yönelik bir düzenleme olmasıdır.13 Öyle ki, Yargıtay Ceza Genel Kurulu bir şikayete delil oluşturması bakımından dahi kişisel verilerin ele geçirilmesinin hukuka uygun olduğunu kabul etmemektedir. Gerçekten, Yargıtay Ceza Genel Kurulu tarafından verilen 2012/1514E. ve 2014/312K. sayılı karara göre; “Kendisi ve eşi de memur olan sanığın, yapacakları şikayete konu olmak üzere eşi ile aynı işyerinde ebe olarak çalışan katılanın doğum belgesini hastaneden alarak, il sağlık müdürlüğüne verdikleri şikayet dilekçesinin ekinde sunmaları şeklinde gerçekleşen somut olayda, katılana ait doğum belgesinin kişisel veri olması, memur olarak çalışan sanığın başkasına ait bilgileri içeren bir belgeyi velevki yapacağı şikayet başvurusuna konu olsa dahi almasının hukuka aykırı olacağını bilebilecek durumda bulunması, suça konu doğum belgesini şikayet dilekçesine eklemek suretiyle burada yer alan ve kişisel veri niteliğinde bulunan bilgilerin katılanın rızası dışında başkalarınca öğrenilmesine neden olunması hususları birlikte değerlendirildiğinde, sanığın eylemi TCK’nun 136. maddesinde düzenlenen kişisel verileri hukuka aykırı olarak ele geçirme ve yayma suçunu oluşturmaktadır.” Benzer şekilde, şayet bilgiler elde edildiği anda veri sahibinin rızası olmuş olsa bile daha sonra rızanın ortadan kalkması halinde bilgilerin yayılmaya devam etmesi de TCK m. 136. Bakımından suç olarak kabul edilmektedir. Buna ilişkin olarak Yargıtay 12. Ceza Dairesi’nin 2017/150E. ve 2017/6231K. sayılı içtihadında, ayrıldığı sevgilisinin fotoğrafını Facebook profilinden silmeyen sanık hakkında; “İddiaya konu sanıkla mağdur arasındaki ilişkinin varlığını ve boyutunu gösteren fotoğrafların, daha önce mağdurun rızasına uygun olarak facebook adlı sosyal paylaşım sitesinde yayımlanmış olması karşısında, bu fotoğraflar, mağdurun özel yaşam alanına ilişkin ve özel hayatının gizliliğini ihlal edecek nitelikte görüntüler olarak kabul edilemeyeceğinden, sanığın, mağdura ait kişisel veri niteliğindeki fotoğrafları, mağdurun rızasına aykırı şekilde yayımlamaya devam etmesi biçiminde sübut bulan eyleminden dolayı TCK'nın 136/1. maddesindeki verileri hukuka aykırı olarak verme veya ele geçirme suçundan mahkumiyet kararı verilmesi gerektiği gözetilmeksizin,yasal ve yeterli olmayan yazılı gerekçelerle sanık hakkında CMK'nın 223/2- a maddesi gereğince beraat kararı verilmesi kanuna aykırı olup…” Şeklinde tespitte bulunulmuştur. İçtihat olarak yerleşmiş olan bu uygulama, çalışmanın devamında irdeleyeceğimiz verilerin işlenmesi yönündeki açık rızanın her zaman geri çekilebileceği yönündeki KVKK düzenlemesine de paraleldir. Ancak 136. maddenin lafzı; maddenin içeriğinde “yayma” eylemine yer verilmişken, madde kenar başlığında bu eyleme yer verilmemesi ve madde içeriğinde “kişisel veri” ibaresine yer verilmişken kenar başlığında “veri” kavramının kullanılmış olmasının tutarsızlıklara sebebiyet verdiği noktasında eleştirilmektedir.14 Son olarak TCK m. 138 ile verileri yok etmeme suçu tanımlanmıştır: “Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.” Verileri yok etmeme suçu, özellikle son yıllarda dijital izlerimizin artması ile gündeme gelen ve bu çalışmanın da konusunu oluşturan GDPR’de “Unutulma Hakkı” olarak yer bulan hakkın TCK’daki izdüşümü olarak değerlendirilebilir. Buna ek olarak, verilerin zamanında silinmemesi/yok edilmemesi yine KVKK anlamında da ihlal teşkil etmektedir. Yukarıda sayılan kanunlara ek olarak; İş Kanunu’ndaki işçinin özlük dosyası hakkındaki hükümler, Banka Kartları ve Kredi Kartları Kanunu’nda yer alan özellikle bilgileri saklamaya yönelik hükümler de kişisel verilerin korunması anlamında ikincil mevzuat olarak kabul edilebilir. Yine Adli Sicil Kanun’unda ve Türk Ticaret Kanunu’nda da kişisel verilerin korunması yönünde bazı düzenlemelere yer verilmiştir.15 Görüldüğü üzere KVKK’nın yürürlüğe girmesinden önce de hukukumuzda kişilik haklarının ve devamında kişisel verilerin korunması için düzenlemeler bulunmaktaydı. Bu düzenlemeler, KVKK ile aynı anda uygulanmaya da devam edecekler.e. 5809 Sayılı Elektronik Haberleşme Kanunu 2008 yılında yürürlüğe giren Elektronik Haberleşme Kanunu’nu; elektronik haberleşme hizmeti sunan işletmelere 4. maddesi ile bilgi güvenliği ve haberleşme gizliliğinin korunması sorumluluğunu yüklemiş ve 12. maddesi ile kişisel veri gizliliğinin korunmasına yönelik ek yükümlülükler getirilebileceğini ifade etmiştir. Aynı kanunun kişisel verilerin işlenmesi ve korunması kenar başlıklı 51. Maddesinde kişisel verilerin işlenmesinde uyulacak ilkeler sayılmıştır. Bu ilkeler, KVKK’daki ilkeler ile aynı olup, çalışmanın devamında detaylı biçimde inceleneceklerdir. Yine 51. Madde, verilerin yurt dışına aktarımı, işlemenin hukuka uygunluğu gibi daha sonra KVKK’da da yer bulan birçok hükme yer vermiştir. f. 6698 Sayılı Kişisel Verilerin Korunması Kanunu 6698 Sayılı KVKK’nın ikinci maddesine göre Kanun; kişisel verileri işlenen gerçek kişileri ve bu verileri işleyen gerçek ve tüzel kişilere uygulanır. Aynı maddeye göre KVKK’nın uygulanması için kişisel verileri işleme faaliyetlerinin kısmen veya otomatik olması yahut otomatik olmasa bile bir veri kayıt sisteminin parçası olması gereklidir. Zıt kanaati ile ifade etmek gerekirse KVKK, otomatik olmayan ve herhangi bir veri kayıt sisteminin parçası olmayan yollarla işlenen kişisel veriler ve bu verileri işleyenler bakımından uygulama alanı bulmayacaktır. 2. Avrupa Birliği’nde Kişisel Kişisel Verilerin Korunmasına Yönelik Düzenlemeler Veri gizliliğinin ortaya çıkışının, kanunlarda da yer edinmesinden çok önce iş dünyasında olduğu bilinmektedir. Örneğin avukat-müvekkil gizliliği ya da hukukumuzdaki ismi ile avukatın sır saklama yükümlülüğünün, avukat ile müvekkili arasında bir sözleşme olarak başladığı ve daha sonra kanunlaştığı düşünülmektedir. Böylelikle müvekkilin yasal yaptırımlardan korkmaksızın avukatı tarafından bilgilengüvencesinde olması da sağlık verilerinin korunmasına ilişkin yasalardan onlarca yıl önce ortaya çıkmıştır.16 Bu çalışma kapsamında GDPR’nin incelenmesine geçilmeden önce GDPR’den önce Birlik hukukunda kişisel verilerin korunmasını amaçlayan düzenlemelerin incelenmesi, hem GDPR’ye ihtiyaç duyulmasının sebeplerinin hem de GDPR’de yer alan düzenlemelerin temellerinin anlaşılması bakımından önem arz etmektedir. a. Avrupa İnsan Hakları Sözleşmesi Avrupa Konseyi, İkinci Dünya Savaşı'ndan sonra Avrupa'daki ülkeleri hukukun, demokrasinin, insan haklarının ve sosyal gelişimin öne çıkarıldığı bir amaç etrafında toplamak üzere kurulmuştur. Bu amaca yönelik olarak 1950 yılında kabul edilen Avrupa İnsan Hakları Sözleşmesi (AİHS), 1953 yılında yürürlüğe girmiştir.17 AİHS hükümleri, taraf devletler için bağlayıcı niteliktedirler. Avrupa Konseyi ülkelerinin tamamı günümüze dek ya AİHS’i kendi ulusal hukuklarının bir parçası haline getirmiş ya da sözleşmeyi ulusal hukuklarında etki gösterecek biçimde tanımışlardır. Başka bir ifadeyle günümüzde sözleşmeye uygun hareket etme yükümlülüğü altındadırlar. Taraf devletler, yetkilerini ve güçlerini kullanırken sözleşme ile sağlanmış haklara saygı göstermek zorundadırlar. Buna ulusal güvenlik sebebiyle kullanılan yetkiler de dahildir. Nitekim Avrupa İnsan Hakları Mahkemesinin (AİHM) bazı emsal kararları, devletlerin hassas ulusal güvenlik meselelerini korumak üzere icra ettikleri bazı faaliyetlerini de kapsamaktadır. 18 Kişisel verilerin korunması hakkı, kaynağını AİHS’in 8. maddesi ile düzenlen aile ve özel yaşamına saygı duyulmasını isteme hakkından almaktadır.19 Bunun bir sonucu olarak AİHM, kişisel verilerin gizliliğinin ihlali iddiasıyla önüne gelen uyuşmazlıkları, AİHS’in 8. maddesine göre çözümlenmektedir. Mahkeme, öncelikle 8. Maddede düzenlenen “özel alan” kavramını somutlaştırmakta ve aynı maddenin ikinci fıkrası kapsamında bu alana yapılan müdahaleleri incelemektedir. Başka bir ifade ile AİHM, 8. Maddenin birinci fıkrası ile öngörülen özel alanının sınırlarını, maddenin ikinci fıkrasını yorumlamak suretiyle çizmekte ve buradan hareketle somut olayda özel alana yapılan müdahalenin meşruluk kazanıp kazanmadığını değerlendirmektedir.20 AİHM bu yöntem ile iletişimin dinlenmesi, özel veya kamu kuruluşları tarafından gerçekleştirilen çeşitli izleme yöntemleri, kamu otoriteleri tarafından kişisel verilerin depolanması da dahil olmak üzere veri güvenliğini ilgilendiren birçok duruma ilişkin karar vermiştir. Belirtmek gerekir ki özel hayatın gizliliğine saygı duyulmasını isteme hakkı, mutlak bir hak değildir. Zira bu hakkın kullanımı ifade özgürlüğü veya bilgiye erişim hakkı gibi diğer bazı hakların kullanılmasına engel olabilir. Bu sebeple mahkeme somut olayda yarışan haklar arasında bir denge bulmayı amaçlamaktadır. Buna ek olarak AİHM’in verdiği kararlarda devletlere yalnızca bu hakkı ihlal edebilecek davranışlardan kaçınmak yükümlülüğü vermediğini, aynı zamanda bazı durumlarda bu hakkı güvence altına almak üzere aktif çaba gösterme görevi yüklediğini de görmekteyiz. 21 Avrupa İnsan Hakları Sözleşmesinde yer alan düzenlemenin yoruma açık olmasından bahisle, kimilerince kötüye kullanılabileceği de dile getirilmiştir. Yukarıda ifade edildiği üzere hakkın kullanımı bazı diğer haklarının kısıtlanması anlamına gelmektedir. Bu durum hakkın kötüye kullanımının önünü açtığı gibi, yine 8. maddeye dayanarak yapılacak yasal veya idari düzenlemeler neticesinde bazı kurum veya kuruluşlara adaletsiz yükler getirilmesi veya bu maddeye dayalı kapsamlı davalar açmak yoluyla AİHM’in devletler üzerinde sahip olduğu gücü kullanarak devletlerin egemenliğinin sınırlanması gibi problemlerin ortaya çıkabileceği söylenmiştir. Ne var ki düzenlemenin, her iki cepheden de eleştiriler almasına rağmen bugüne dek tüm tarafların çıkarlarını gözetecek şekilde dengede kaldığı da söylenebilir. Bu yüzdendir ki AİHS’nin özel hayatın gizliliği hakkına ilişkin ortaya koyduğu emsal, modern yasal düzenlemelerimizi dahi etkileyecek kadar uzun bir süredir etkisini sürdürmektedir.22 b. Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi (108 No’lu Sözleşme) Bugün 108 numaralı sözleşme olarak da bilinen Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi; 1960'lardan sonra teknolojide yaşanan gelişmeler neticesinde ülkelerin ve uluslararası kuruluşların kişisel verilerin gizliliği ve korunması kavramlarıyla tanışmaları neticesinde ortaya çıkmıştır. Avrupa Konseyi, 108 No’lu sözleşmeyi 1985 yılında kabul etmiştir. Bu sözleşme, özel olarak kişisel verilerin toplanması ve işlenmesine karşı yapılan bağlayıcı nitelikteki ilk uluslararası sözleşmedir. Aynı zamanda ilk kez bu sözleşme ile kişilerin ırkı, siyasi görüşü, dini ve adli kayıtları gibi hassas verilerinin işlenmesi hukuka aykırı kabul edilmiştir. Bu sözleşme gerek özel sektör tarafından toplanan gerekse yargı ve kolluk unsurları gibi kamu araçlarınca toplanan ve işlenen tüm verileri kapsamaktadır. 108 No’lu sözleşme vatandaşları yetkisiz veri toplanması ve işlenmesi gibi kötüye kullanımlara karşı korumakta ve sınır dışına veri aktarımını düzenlemektedir. 108 No’lu sözleşme kişisel veriyi; kimliği belirli veya belirlenebilir bir kişiye ait olan veri olarak tanımlandığından doğru biçimde anonimleştirilmiş edilmiş veriler, 108 No’lu sözleşme kapsamında değillerdir. 23 108 No’lu sözleşmenin kişilerin verilerin hukuka aykırı bir şekilde toplanması ve işlenmesi neticesinde zarara uğramasını engellemek için asgari bazı standartlar koyduğunu söylemek yanlış olmayacaktır. Sözleşmenin diğer bir görevi, kişisel verilerin sınır ötesi akışının düzenlenmiş olmasıdır. Bu sözleşmenin yapılması ile aynı tarihlerde OECD, Özel Yaşamın Korunması Ve Kişisel Verilerin Sınır Ötesi Akışına İlişkin Rehber İlkeleri yayınlamıştır. Avrupa Konseyi'nin ve OECD’nin çalışmaları, birçok Avrupa ülkesinin harekete geçmesine ve kişilerin veri güvenliği hakları ile kamu otoriteleri ve işverenler gibi veri toplama ve işleme ihtiyacı duyanların bu ihtiyaçları arasında dengeleyici ulusal düzenlemeler yapmalarına sebep olmuştur.24 108 No’lu sözleşme, kendisinden sonra gelecek olan Avrupa Birliği 95/46/EC Kişisel Verilerin İşlenmesi Ve Bu Tür Verilerin Serbest Dolaşımına Dair Bireylerin Korunması Direktifin’in temelini oluşturmuştur. c. 95/46/EC Kişisel Verilerin İşlenmesi Ve Bu Tür Verilerin Serbest Dolaşımına Dair Bireylerin Korunması Direktifi 1990'ların başında Birlik içerisinde kişisel verilerin işlenmesine dair düzenlemelerin birbirleri ile uyumlu olması için Avrupa Birliği çapında bir çalışma başlatılmıştır. 108 No’lu sözleşmeyi temel alan bu çalışma neticesinde Direktif, üye devletlerin ulusal yasama işlemleri yoluyla uygulanmak üzere 1995 yılında kabul edilmiştir. Bu direktif bireylerin kişisel verilerinin işlenmesi faaliyetlerine karşı korunmasının ve bu verilerin Avrupa Birliği içerisindeki akışının düzenlenmesini kapsamaktadır.26 Direktif, ilerleyen süreçte kişisel verilerin korunmasına ilişkin Avrupa standardının oluşmasında büyük rol oynadığından, mercek altına alınmasında fayda vardır.27 Direktif’in temelinde yatan ana kavram; kişisel verilerin işlenmesidir. Kendisinden önce gelen düzenlemeler genelde kişisel verilerin depolanmasına yönelik kurallar getirmişken Direktif, depolamadan daha geniş bir işleme kavramını benimsemiştir. Direktif’e göre kişisel verilerin depolanması, veri işlemenin yalnızca bir çeşidi olarak görülmüştür. 28 d. Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine Ek Denetleyici Makamlar Ve Sınıraşan Veri Akışına İlişkin Protokol (181 Sayılı Ek Protokol) 108 No’lu sözleşmenin kabul edilişinden sonra yaşanan teknolojik gelişmelerin beraberinde getirdiği sosyolojik değişiklikler 108 No’lu Sözleşme’nin gözden geçirilmesi ihtiyacını doğurmuştur. 1990'larda internetin ortaya çıkması ve ardından Web 2.0 ile bilginin evrensel ölçekte paylaşılması ve aktarılmasının mümkün kılındığı interaktif bir ortam sağlanması neticesinde kişisel verilerin gizliliği ve korunması konularında bazı yeni ihtiyaçlar doğmuştur. Google ve Wikipedia gibi bilginin paylaşılmasına olanak sağlayan araçlar ile ortaya çıkan bu ihtiyaç; yer belirleme teknolojileri, güvenlik kameraları, nesnelerin interneti ve biyometrik verileri gibi hayatımıza giren yeni teknolojik kavramlar ile de katlanarak artmaktadır. 29 Yeni ihtiyaçlar doğrultusunda sözleşmenin uyarlanması 2001 yılında Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine Ek Denetleyici Makamlar Ve Sınıraşan Veri Akışına İlişkin Protokol (181 Sayılı Ek Protokol) ile gerçekleşmiştir. Protokolün amacı sözleşme ile belirlenmiş prensiplerin uygulanabilirliğini arttırmak ve bazen düzenlemeler eklemektir.30 108 No’lu sözleşme de Direktif de kabul edilişlerinin üzerinden sırasıyla 30 ve 20 yıldan fazla zaman geçmiş olmasına rağmen ortak amaçları olan Avrupa Birliği üye devletlerindeki kişisel verilerin korunması düzenlemelerinde tutarlılığı ve uyumluluğu yakalama hedefine ulaşamamışlardır. Bunun üzerine Avrupa Komisyonu; Avrupa Birliği'nin veri korunmasına ilişkin sistemini reform etmiştir. Bu reform neticesinde işbu çalışmanın temel konusu olan GDPR ortaya çıkmıştır. e. 2002/58/EC Sayılı Elektronik Haberleşme ve Gizlilik Direktifi E-Gizlilik Direktifi olarak da bilinen 2002/58/EC Sayılı Elektronik Haberleşme ve Gizlilik Direktifi, Birlik’te yürürlükte olan veri gizliliği hükümlerine ek olarak, elektronik haberleşme alanında gizliliği düzenlememektedir.31 GDPR’nin 95. Maddesi ile, elektronik haberleşme alanında gösterdiği faaliyetler sebebi ile 2002/58/EC Sayılı Direktif’e tabi olan ve bu konuda yükümlülük altında bulunan gerçek ve tüzel kişilere ek yükümlülük getirmeyeceği düzenlenmiştir. f. General Data Protection Regulation GDPR’nin kapsamını düzenleyen ikinci maddesine göre; GDPR, kişisel verilerin tamamen ya da kısmen otomatik araçlarla yahut dosyalama sisteminin parçasını oluşturan veya bir dosyalama sisteminin parçası olması amaçlanan araçlarla işlenmesine uygulanır. İkinci maddenin devamında, GDPR’nin uygulama alanı bulmayacağı istisnai haller sayılmıştır. GDPR; birlik hukuku kapsamına girmeyen faaliyetlerde, üye devletler tarafından Avrupa Birliği Anlaşması’na uygun olarak dış güvenlik politikasına ilişkin hükümler uygulanırken, tamamen kişisel veya ev faaliyet esnasında bir gerçek kişi tarafından, kamu güvenliğine yönelik tehditlere karşı güvence sağlanması ve bu tehditlerin önemlisi de dahil olmak üzere suçların önlenmesi, soruşturulması, tespiti ve kovuşturulması ya da cezaların infaz edilmesi ile ilgili olarak yetkili makamlar tarafından kişisel verilerin işlenmesi durumlarında uygulanmaz. İkinci madde ile düzenlenen durumlar GDPR’nin maddi kapsamını belirlerken, GDPR’nin bölgesel kapsamı 3. Madde ile belirlenmiştir. Buna göre GDPR, işleme faaliyetinin Birlik içerisinde gerçekleşip gerçekleşmemesine bakılmaksızın Birlik içerisindeki bir kontrolör veya işleyicinin işletmesinin faaliyetleri bağlamında kişisel verilerin işlenmesi halinde uygulanır. Devamla yine 3. maddeye göre GDPR işleme faaliyetlerinin; • Veri sahibine ödeme yapılıp yapılmadığına bakılmaksızın, Birlik içerisindeki veri sahibine mal veya hizmet sunulması veya • Veri sahibinin davranışları Birlik içerisinde gerçekleştiği ölçüde davranışlarının izlenmesi Hususlarından herhangi biriyle alakalı olması durumunda, Birlik içerisinde bulunan veri sahiplerinin kişisel verilerinin Birlik içerisinde olmayan bir kontrolör veya işleyici tarafından işlenmesinde de uygulanacaktır. Görüldüğü üzere GDPR; Avrupa Birliği tabanlı kontrolör ve işleyicilere uygulandığı gibi, Avrupa Birliği içerisinde yer alan veri sahibinden mal veya hizmet sunulması yahut veri sahibinin davranışların izlenmesi durumlarında, veri işleme işleminin nerede gerçekleştiğine bakılmaksızın, uygulanmaktadır. Diğer bir deyişle GDPR, genişletilmiş bir bölgesel kapsam benimsemiştir.32 Yine dikkat edilmesi gereken diğer bir nokta, her ne kadar GDPR’nin yalnızca Avrupa Birliği vatandaşlarına uygulandığı ile ilgili bazı yanlış algılar olsa da GDPR, Birlik içerisinde yaşayan ancak vatandaş olmayan göçmenler, çalışma ve turist vizesi ile Birlik sınırları içerisinde bulunanlar, yaşama izni olanlar gibi Birlik içerisinde yer alan tüm kişileri kapsamaktadır. Buna ek olarak kişisel verisi Avrupa Birliği sınırları içerisinde depolanan yahut işlenen kişiler, Avrupa Birliği vatandaşı olmasalar veya Avrupa Birliği sınırları içerisinde yaşamasalar dahi GDPR’nin korumasından faydalanabileceklerdir. Zira Birlik içerisinde yer alan kurum ve kuruluşlar, yürüttükleri veri işleme faaliyetleri bakımından veri sahibinin nerede olduğuna bakılmaksızın GDPR ile bağlılardır.33 B. KİŞİSEL VERİLERİN KORUNMASI HUKUKUNDA TANIMLAR 1. KVKK’da Yer Alan Tanımlar a. Açık Rıza Kavramı Rıza ve açık rıza, KVKK’nın birçok noktasında işleme faaliyetinin gerçekleştirilebilmesi için hukuka uygunluk şartı olarak öngörüldüğünden üzerinde durulması gereken kavramlardandır. Kanun, açık rızayı “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlamıştır. Buna göre, ilgili kişinin rızasının açık rıza sayılabilmesi için gerekli şartlar; • Rızanın belirli bir konuya ilişkin olarak verilmesi • Bilgilendirmenin usulüne uygun biçimde yapılması ve • Rızanın özgür irade ile alınmasıdır. Çalışmanın devamında da sıklıkla değinileceği üzere, kişisel verilerin korunmasına yönelik düzenlemelerin amacı kişinin verileri üzerindeki hakimiyetini kuvvetlendirmek ve kişisel veri işleme faaliyetleri hakkındaki şeffaflığı artırmaktır.34 Bu bağlamda kişinin verdiği rızanın gelecekteki tüm işleme faaliyetlerini kapsayan, genel nitelikli bir rıza olması kabul edilemez.35 Açık rızanın geçerli olabilmesi için, kişinin verdiği rızanın hangi işleme faaliyetlerine ilişkin olarak rıza gösterdiğinin net biçimde anlaşılması gerekir. Yine kişinin verileri üzerinde hakimiyet sahibi olabilmesi için işleme faaliyetlerine rıza vermeden evvel kişisel verilerinin hangi amaçla, ne kadar süre ile, hangi nitelik ile işleneceği ve hangi amaçlarla kullanılacağı konusunda bilgilendirilmesi gerekir.36 Nitekim KVKK, bilgilendirme konusuna verdiği önemi 10. Madde ile veri sorumlusuna aydınlatma yükümlülüğü getirmek suretiyle vurgulamış ve veri sorumlusunu bu hususta doğrudan sorumlu kılmıştır.37 Son olarak kişinin iradesini sakatlayacak cebir, tehdit, hata ve hile gibi durumların varlığında verilen rızanın açık rıza niteliğinde olduğundan bahsetmek mümkün olmayacaktır. Zira açık rızanın özgür irade ile verilmiş olması gerekliliği düzenlenmiştir. Tarafların eşit durumda olmadıkları (Örneğin işçi-işveren ilişkisi gibi), yahut bir ürün veya hizmetin sunulması için rızanın ön şart olduğu hallerde verilen rızanın özgür iradeye dayandığı kabul edilemez.38 b. Anonim Hale Getirme Kavramı Kişisel verilerin işlenmesi, şüphesiz günlük yaşantımıza dahi etki eden büyük faydalar sağlamaktadır. Kişisel verilerin korunmasına yönelik düzenlemeler, işte bu faydalar ve kişilerin temel hal ve özgürlükleri arasında bir denge bulmayı amaçlar. Bu çerçevede, kişisel verilerin anonim hale getirilerek işlenmesi verilerinden faydalanmasını engellemeden gizliliği koruduğu için bu dengenin sağlanmasında büyük önem arz etmektedir.39 Anonim hale getirme kavramı; KVKK’da “Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi” şeklinde tanımlanmıştır. Görüldüğü üzere ana kriter, anonimleştirilen kişisel verilerin bir kişi ile ilişkilendirilip ilişkilendirilemeyeceği hususudur.40 Bu noktada anonim hale getirme işleminin, kişinin adı yerine takma isim kullanılması veya her bir kişi için numara belirlenmesinden ibaret bir faaliyet olmadığı vurgulanmalıdır. Zira zaman zaman kişilere takma ad veya numara atanmış olsa bile kişinin kimliğinin tespiti mümkün olabilmektedir. Bu sebeple de veri, kişisel veri niteliğini kaybetmemektedir. Anonim hale getirme kavramından anlamamız gereken şey; hiçbir surette kişinin kimliğini açık etmeyecek şekilde verilerin saklanmasıdır.41 Verilerin yanlış biçimde anonim hale getirilmesi sebebi ile kişilerin kimlik bilgilerinin tespit edilebilmesi konusunda Netflix’in yakın zamanda yaptığı hata örnek olarak gösterilebilir. İnternet medya devi, kullanıcılarının verilerini anonim hale getirdiğini iddia etmiş ve ardından bu verileri halka açık şekilde paylaşmıştır. Ancak paylaşılan verinin büyüklüğü sebebiyle, kişilerin kimlikleri uzmanlar tarafından saptanabilmiştir.42 Bu gibi örnekler bizlere anonim hale getirme işleminin veri güvenliği bakımından önemli olduğu kadar, teknik olarak zor bir işlem olduğunu da göstermektedir. Anonimleştirme, yukarıda izah edilen fayda/gizlilik dengesinin sağlanması bakımından güçlü bir silah olduğundan hem anonimleştirme işleminin güvenilirliğinin artırılması hem de anonimleştirme sürecine olan güvenin korunması için disiplinlerarası bir yaklaşım benimsenmeli ve hukuki altyapı, teknik metotlar ile desteklenmelidir.43 c. İlgili Kişi Kavramı Kanun, “ilgili kişi”yi “Kişisel verisi işlenen gerçek kişi” olarak tanımlamıştır. Kanun’un lafzında da açıkça görüldüğü üzere, kişisel veri kavramı hukukumuzda yalnızca gerçek kişilerin verilerini kapsamaktadır. Diğer bir deyişle tüzel kişilerin ilgili kişi sıfatına haiz olmaları mümkün değildir. Eğer bir veri, tüzel kişiye ait olmasına rağmen herhangi bir gerçek kişinin kimliğinin belirlenebilmesi sonucunu doğuruyorsa bahse konu veri kişisel veri niteliğinde kabul edilir. Fakat bu durum, biraz önce ifade ettiğimiz tüzel kişilerin ilgili kişi olamayacağı kuralının istisnası değildir. Zira bu halde ilgili kişi veriye sahip olan tüzel kişi değil, veri aracılığı ile kimliği belirlenebilen gerçek kişidir.44 Kişisel verilerin çoğunlukla kişinin manevi varlığı ile ilgili olması ve tüzel kişilerin manevi tazminat talep etme haklarının tartışmalı olması sebepleri ile tüzel kişiler kapsam dışında bırakılmıştır. Bu yüzden verilerinin hukuka aykırı biçimde kişilik haklarını ihlal edecek şekilde depolanması ve işlenmesi sonucunda zarara uğrayan tüzel kişiler, önceki bölümde bahsedilen ikincil kanun hükümleri çerçevesinde haklarını arayacaklardır. Gerçek kişi sınırlaması, kişisel verilerin korunmasının, Türk Medeni Kanunu’na uygun olarak sağ ve tam doğum ile başladığı ve kişinin ölümü ile son bulduğu anlamına gelmektedir.45 Türk Medeni Kanunu’na göre kişinin ölümü ile kişiliği de son bulacağından, ölülerin de ilgili kişi olarak değerlendirilmeleri mümkün değildir. TMK’ya göre kişiliğin sağ ve tam doğum ile kazanılması, bazı durumlarda ilgili kişinin kim olduğuna ilişkin belirsizlik oluşturabilmektedir. Örneğin bebeğin doğumundan önce bebeğe ilişkin elde edilmiş tıbbi verileri ile ultrason gibi yöntemlerle elde edilmiş görüntüleri Kanun’a göre kişisel veri kapsamında değerlendirilebilir mi? Şayet bunların kişisel veri olduklarını kabul edersek, o halde ilgili kişi tam ve sağ doğumdan itibaren kişiliğini kazanan bebek mi olacaktır? Yoksa veriler elde edildiğinde bebek ilgili kişi sıfatına haiz olamadığından, bu verilerin korunması bakımından ilgili kişi bebeğin annesi mi kabul edilecektir? Her ne kadar çocukların kişisel verilerinin korunacağı konusunda herhangi bir muallak bulunmasa da açıklanan durumda ilgili kişinin kim olacağı hakkında mevzuatımızda bir netlik yoktur. d. Kişisel Veri Kavramı KVKK’nın 3. Maddesinin 1. Fıkrasının d bendine göre “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi” kişisel veri niteliğindedir. Yukarıda da izah edildiği üzere bu madde ile Kanun’da kişisel veri kavramının kapsamı, gerçek kişiler ile sınırlandırıldığından Kanun, tüzel kişilerin verileri bakımından uygulama alanı bulmaz. Konu bakımından ise bir verinin kişisel veri sayılabilmesi için ilgili kişiyi belirlenebilir kılması gerekmektedir. KVKK, kişiye ait hangi bilgilerin kişisel veri niteliğinde olduğunun sınırlı sayıda sayılmayıp, kişinin kimliğini belirlenebilir kılan her türlü bilgiyi kişisel veri olarak kabul ederek, bir verinin kişisel veri niteliğinde olup olmadığının somut olaya göre değerlendirilmesini Kanun uygulayıcıya bırakılmıştır.46 Bazı durumlarda bir veri; tek başına kişinin kimliğini belirlenebilir kılmazken, birtakım ek bilgiler ile kişinin kimliğinin ifşa edilmesine sebep olabilir. Bu durumda verinin kişisel veri niteliğinde olup olmayacağı tartışmalıdır. 47 Her ne kadar bazı belirsizliklere yol açsa da kişisel verilere ilişkin toplama, depolama ve işleme faaliyetlerinin tamamına yakınının bilişim teknolojileri kullanılarak icra edildiği ve bu teknolojilerin çok hızlı bir biçimde geliştiği düşünüldüğünde, KVKK’da kişisel veri kalemlerinin tek tek sayılmasındansa bu şekilde çerçeve hüküm kurulması kanaatimizce yerinde olmuştur. e. Kişisel Verilerin İşlenmesi Kişisel verilerin işlenmesi kavramı; KVKK’nın m 3./1-e ile tanımlanmıştır. Buna göre: “Kişisel verilerin işlenmesi; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi kapsar.” Kişisel veri kavramının tanımına benzer şekilde, kişisel verilerin işlenmesi kavramı da sınırlı sayıda işlemlerin yazılması yoluyla tanımlanmak yerine her somut olayda baştan değerlendirilmek üzere geniş ve yoruma açık olarak yapılmıştır. Bu sebeple kişisel verilerin ilk elde edilmesinden başlayarak veriler üzerinde gerçekleşen tüm işlemler “kişisel verilerin işlenmesi” olarak değerlendirilir. Tanımda açıkça belirtildiği gibi; verilerin yalnızca kaydedilmesi dahi kişisel verilerin işlenmesi olarak değerlendirilir. Bu nedenle kişisel verilerin sadece depolanması, bu veriler herhangi bir işleme tabi tutulmasalar da bir veri işleme faaliyetidir. 48 Kanundaki tanımda kişisel verilerin işlenmesi konusunda otomatik yollarla işleme ve otomatik olmayan yollarla işleme olmak üzere ikili bir ayrıma gidildiği görülmektedir. Kanun metninde otomatik yollarla kişisel verilerin işlenmesi kavramının tanımı yapılmamış olmasına karşın Kanun’un gerekçesine bakıldığında otomatik yollarla işleme kavramının, “verilerin bilişim sistemleri aracılığıyla işlenmesini” ifade ettiği görülebilir. Kanun otomatik yollarla yapılan tüm işlemeleri kapsamaktayken, verilerin otomatik olmayan yollarla işlenmesini yalnızca bu faaliyetlerin bir veri kayıt sistemi aracılığıyla yapılması hallerinde kapsar. Burada veri kayıt sistemi, elektronik veya fiziki ortamda oluşturulan ve verilerin sınıflandırılabildiği her türlü sistemi kapsar. Örneğin bir kâğıtta kişilerin isim ve soy isimlerinin yazılı olması tek başına kanun kapsamında değerlendirilmezken, kâğıttaki bu listenin herhangi bir kıstas göz önünde bulundurularak hazırlandığı tespit edilirse o zaman kanun kapsamına girecektir.49 Verinin yalnızca depolanmasının dahi veri işleme sayılması, sayılan işleme faaliyetlerinin sınırlayıcı olmadığının açıkça belirtilmesi ve veri üzerinde gerçekleştirilecek her türlü faaliyetin veri işleme kavramına dâhil edilmesi, kavramın kapsamını oldukça geniş tutmaktadır. Kişisel veri kavramına benzer şekilde, kanun uygulayıcılara büyük sorumluluk düşmekteyse de teknolojinin gelişme hızı ve her geçen gün veri işlemenin yeni yollarının keşfedildiği göz önünde bulundurulduğunda bu tanımın da çerçeve olarak yapılması yerindedir.