Bugün

Kişisel Verilerin Korunması

6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNUNUN AMACI VE KAPSAMI


AMAÇ
2010 yılında 5982 sayılı Kanunla Anayasanın 20.
maddesine eklenen fıkra ile, herkesin kendisiyle ilgili
kişisel verilerin korunmasını isteme hakkı anayasal
bir hak olarak teminat altına alınmıştır. Bu bağlamda,
bireylerin kendilerini ilgilendiren kişisel veriler üzerinde
hangi hak ve yetkilere sahip olduğu ve kişisel verilerin
hangi hallerde işlenebileceği hükme bağlanırken,
kişisel verilerin korunmasına ilişkin usul ve esasların
kanunla düzenleneceği öngörülmektedir.
Nitekim, Kanunun 1. maddesinde Kanunun amacı
açık bir şekilde belirtilmiştir. Bu hükme göre amaç,
kişisel verilerin işlenmesinde başta özel hayatın gizliliği
olmak üzere kişilerin temel hak ve özgürlüklerini
korumak ve kişisel verileri işleyen gerçek ve tüzel
kişilerin yükümlülükleri ile uyacakları usul ve esasları
düzenlemektir.
Maddenin gerekçesinde de belirtildiği üzere Kanunun
amacı, kişisel verilerin işlenmesinin disiplin altına
alınması ve Anayasada öngörülen başta özel hayatın
gizliliği olmak üzere temel hak ve özgürlüklerin
korunmasıdır. Kanun ile son yıllarda önem kazanan,
kişinin mahremiyetinin korunması ile veri güvenliğinin
sağlanması ve kişisel verileri işleyen gerçek ve tüzel
kişilerin yükümlülükleri ile uyacakları usul ve esasların
düzenlenmesi de bu kapsamda değerlendirilmektedir.


2 Kanunla, kişisel verilerin sınırsız biçimde ve gelişigüzel
toplanmasının, yetkisiz kişilerin erişimine açılmasının,
açıklanması veya amaç dışı ya da kötüye kullanımı
sonucu kişilik haklarının ihlal edilmesinin önüne
geçilmesi amaçlanmaktadır.
Kişisel verilerin hangi kurallara tabi olarak, hangi
şartlarda işlenebileceği hususunu kontrol altına alma
amacını güden Kanun, kişisel verilerin işlenmesine
ilişkin denetim mekanizmaları getirerek, bu verilerin
hukuka aykırı olarak işlenmesini engellemeyi
hedeflemektedir. Ayrıca, kişisel verileri işleyen gerçek
ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve
esasların da düzenlenmesi Kanunun amaçları arasında
yer almaktadır.
Bu maddeye göre Kanunun amacı:
• Kişisel verilerin işlenmesinde, kişilerin temel hak ve
özgürlüklerini korumak,
• Kişisel verileri işleyen gerçek ve tüzel kişilerin
yükümlülükleri ile uyacakları usul ve esasları
düzenlemek (disiplin altına almak),
• Kişilerin mahremiyetini korumak (özel hayatın
gizliliği),
• Kişisel veri güvenliğini sağlamak,
olarak sayılabilir.


KAPSAM
1. Kanunun Kapsamı

Kanunun 2. maddesinde, Kanunun kapsamı belirtilmiştir.
Bu maddeye göre Kanun, kişisel verileri işlenen gerçek
kişiler ile bu verileri tamamen veya kısmen otomatik olan
ya da herhangi bir veri kayıt sisteminin parçası olmak
kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel
kişiler hakkında uygulanacaktır.
Kanunda kamu kurumları ile özel kuruluşlar açısından
ayrım yapılmamıştır. Kanunun belirlediği usul ve esaslar
kural olarak tüm kurum ve kuruluşlar için geçerlidir.
Dolayısıyla kamu kurumlarının işlediği kişisel veriler
hakkında da bu Kanun hükümleri uygulanacaktır.
6698 sayılı Kanun kapsamında koruma altına alınan
kişisel veriler sadece gerçek kişilere ait olan kişisel
veriler olup, tüzel kişilere ait olanlar koruma altında
bulunmamaktadır. Fakat tüzel kişiye ait verinin elde
edilmesi, bir veya birden fazla gerçek kişinin kimliğinin
belirlenmesine neden oluyor ise, bu tür verilerin de
Kanunun korumasından yararlanması mümkün olabilir.
Bu durumda da esasen korunan, gerçek kişiye ilişkin
kişisel veriler olmaktadır.
4 Kanunda kişisel verilerin kısmen veya tamamen otomatik
olan ya da herhangi bir veri kayıt sisteminin parçası olmak
kaydıyla otomatik olmayan yollarla işlenmesi bakımından
da herhangi bir fark öngörülmemiştir. Bu doğrultuda
kişisel verilere ulaşımı kolaylaştıracak şekilde, belirli
bir kritere göre yapılandırılmış her türlü sistem Kanun
kapsamında değerlendirilecektir.
Günümüzde kişisel veriler, büyük oranda otomatik
yollarla işlenmektedir. Daha önce otomatik olmayan
yollarla işlenmiş verilerin ise, pek çok yerde hızla
elektronik ortama aktarıldığı görülmektedir. Buna
bağlı olarak, “tamamen veya kısmen otomatik yollarla
işlenen veriler” ve “herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla
işlenen veriler” 6698 sayılı Kanun kapsamında koruma
altına alınmıştır. Dolayısıyla Kanun otomatik olmayan
yollarla işlenen verileri tamamen kapsam dışında
bırakmamaktadır. Burada önemli olan otomatik
olmayan yollarla işlenen verilerin veri kayıt sisteminin
parçası olup olmadığıdır. Örneğin, herhangi bir kritere
bağlı olmaksızın kişilerin ad ve soyadlarının rastgele
bir şekilde kağıtta yer alması hali Kanun kapsamına
girmemekle birlikte, söz konusu isimlerin belirli bir
kritere göre bir kağıda kaydedilmesi halinde, bu veri
kaydı Kanun kapsamında değerlendirilecektir. Bu
çerçevede:


• Kanunda “kısmen veya tamamen otomatik yolla
işleme” ifadesinin ne anlama geldiği açıklığa
kavuşturulmamıştır. 108 sayılı Avrupa Konseyi
Sözleşmesinde ise “otomatik işleme” ifadesinden;
verilerin kaydı, bu verilere mantıksal ve/veya aritmetik
işlemlerin uygulanması, verilerin değiştirilmesi,
silinmesi, geri elde edilmesi veya dağıtılması
işlemlerinin otomatik veya kısmen otomatik
yöntemlerle gerçekleştirilmesinin anlaşılacağı ifade
edilmiştir.
• Herhangi bir veri kayıt sisteminin parçası olmak
kaydıyla otomatik olmayan yollarla işlenen veriler
de 6698 sayılı Kanun kapsamında korunmaktadır.
Veri kayıt sistemi, Kanunun 3. maddesinde “kişisel
verilerin belirli kriterlere göre yapılandırılarak işlendiği
kayıt sistemi” şeklinde tanımlanmıştır. Dolayısıyla
elle işlenen (manuel) verilerin herhangi bir kritere
göre yapılandırılan bir kayıt sistemine dahil edilmesi
durumunda, bu tür verilerle ilgili olarak da 6698 sayılı
Kanun uygulanacaktır.
• Otomatik olmayan yollarla işlenen kişisel veriler, bir veri
kayıt sisteminin parçası değilse Kanun kapsamında
değerlendirilmeyecektir. Fakat bu durum ilgili verilerin
kişisel veri niteliğini etkilemeyeceği için, bu verilere
ilişkin hukuka aykırı eylemler de 5237 sayılı TCK
kapsamında suç teşkil etmeye devam edecektir.

 

2. Kanun Kapsamına
Girmeyen Haller

Kanun sadece gerçek kişilerle ilgili verilere uygulanır.
Tüzel kişilerle ilgili veriler bu Kanun kapsamında değildir.
Çünkü Kanunun 1. maddesinde “kişisel verileri işlenen
gerçek kişiler” ifadesi kullanılmıştır.
Ayrıca, Kanunun kişisel verilerin işlenmesine ilişkin
hükümleri fiziksel olarak kayıt altına alınan ve veri kayıt
sisteminin parçası olmayan kişisel verilere de uygulanmaz.
Nitekim, Kanunun 1. maddesinde “tamamen veya kısmen
otomatik olan ya da herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla
işlenmesi” ifadesi kullanılmıştır.
Öte yandan, Kanunun 28. maddesinde tamamen veya
kısmen kapsam dışı olan haller hükme bağlanmıştır.
Bu maddenin 1. fıkrasında tam istisnalar, 2. fıkrasında
ise kısmi istisnalar düzenlenmiştir. Tam istisna halinde
Kanun hükümleri hiçbir şekilde uygulanmayacaktır.
Kısmi istisna hallerinde ise, Kanunun sadece bazı
hükümleri uygulanmayacaktır.


a. Tamamen Kanun Kapsamı
Dışında Tutulan Haller

Kanunun 28. maddesinin 1. fıkrasında, Kanunun
kapsamına girmeyen haller tek tek sayılmıştır. Bunlar:
• Kişisel verilerin, üçüncü kişilere verilmemek ve veri
güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla
gerçek kişiler tarafından tamamen kendisiyle veya
aynı konutta yaşayan aile fertleriyle ilgili faaliyetler
kapsamında işlenmesi,
• Kişisel verilerin resmi istatistik ile anonim hâle
getirilmek suretiyle araştırma, planlama ve istatistik
gibi amaçlarla işlenmesi,
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu
güvenliğini, kamu düzenini, ekonomik güvenliği,
özel hayatın gizliliğini veya kişilik haklarını ihlal
etmemek ya da suç teşkil etmemek kaydıyla, sanat,
tarih, edebiyat veya bilimsel amaçlarla ya da ifade
özgürlüğü kapsamında işlenmesi,
• Kişisel verilerin millî savunmayı, millî güvenliği,
kamu güvenliğini, kamu düzenini veya ekonomik
güvenliği sağlamaya yönelik olarak kanunla
görev ve yetki verilmiş kamu kurum ve kuruluşları
tarafından yürütülen önleyici, koruyucu ve istihbari
faaliyetler kapsamında işlenmesi,


• Kişisel verilerin soruşturma, kovuşturma, yargılama
veya infaz işlemlerine ilişkin olarak yargı makamları
veya infaz mercileri tarafından işlenmesidir.
Kişisel verilerin kendisiyle veya aynı konutta yaşayan
aile fertleriyle ilgili faaliyetler kapsamında işlenmesi:
Kişisel verilerin, üçüncü kişilere verilmemek ve veri
güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla
gerçek kişiler tarafından tamamen kendisiyle veya
aynı konutta yaşayan aile fertleriyle ilgili faaliyetler
kapsamında işlenmesi durumunda Kanun hükümleri
uygulanmaz.
Bu fıkra kapsamında; aynı konutta yaşayan aile
fertlerinin aile içinde verilerinin işlenmesi noktasında
istisna söz konusudur. Örneğin, doğum günü gibi
özel günlerde aile içerisinde çekilen fotoğraflar bu
Kanun kapsamında değildir. Ancak bu verilerin
üçüncü kişilerle paylaşılması veya alenileştirilmesi
halinde, örneğin doğum gününde çekilen fotoğrafların
aleni olacak şekilde sosyal medyada paylaşılması
durumunda istisnadan söz edilemeyecektir.


Kişisel verilerin resmi istatistik ile anonim hale
getirilmek suretiyle araştırma, planlama ve istatistik
gibi amaçlarla işlenmesi :
Kişisel verilerin resmi istatistik ile anonim hâle
getirilmek suretiyle araştırma, planlama ve istatistik
gibi amaçlarla işlenmesi durumunda Kanun hükümleri
uygulanmaz. Buna göre kişisel verilerin resmi istatistik
kapsamında işlenmesi durumunda kanun hükümleri
uygulanmayacaktır.
Öte yandan araştırma, planlama ve istatistik gibi
amaçlarla kişisel veri toplanması sonrasında verilerin
anonim hale getirilmesi de istisna kapsamındadır.
Örneğin, bir kamuoyu araştırma kuruluşu tarafından
yapılan ankette yer alan kişisel verilerin sonradan
anonim hale getirilmesi.
“Araştırma, planlama ve istatistik gibi” düzenlemesindeki
“gibi” sözcüğü, bu sayılanların örnek olduğunu
belirtmektedir. Dolayısıyla benzer yöntemlerin de istisna
kapsamında yer alabileceği söylenebilir. Burada önemli
olan, bu bilgilerin anonim hale getirilmiş olmasıdır.


Anonim hale getirmek ise; kişisel verilerin, başka verilerle
eşleştirilerek dahi hiç bir surette kimliği belirli veya
belirlenebilir bir gerçek kişi ile ilişkilendirilemeyecek
hale getirilmesini ifade eder.
Kişisel verilerin sanat, tarih, edebiyat veya bilimsel
amaçlarla ya da ifade özgürlüğü kapsamında
işlenmesi:
Kişisel verilerin millî savunmayı, millî güvenliği, kamu
güvenliğini, kamu düzenini, ekonomik güvenliği, özel
hayatın gizliliğini veya kişilik haklarını ihlal etmemek
ya da suç teşkil etmemek kaydıyla, sanat, tarih,
edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü
kapsamında işlenmesi durumunda bu Kanun
hükümleri uygulanmaz. Örneğin, halk tarafından
bilinen bir sanatçının edebi amaçlarla biyografisinin
yazılması, bu faaliyet alanı ile sınırlı olmak kaydıyla
Kanun kapsamına girmemektedir.


Kişisel verilerin millî savunmayı, millî güvenliği,
kamu güvenliğini, kamu düzenini veya ekonomik
güvenliği sağlamaya yönelik olarak kanunla görev ve
yetki verilmiş kamu kurum ve kuruluşları tarafından
yürütülen önleyici, koruyucu ve istihbari faaliyetler
kapsamında işlenmesi:
Kişisel verilerin millî savunmayı, millî güvenliği, kamu
güvenliğini, kamu düzenini veya ekonomik güvenliği
sağlamaya yönelik olarak kanunla görev ve yetki verilmiş
kamu kurum ve kuruluşları tarafından yürütülen önleyici,
koruyucu ve istihbarı faaliyetler kapsamında işlenmesi
durumunda bu Kanun hükümleri uygulanmaz. Buna
göre istihbarat birimlerinin milli savunmayı, kamu
güvenliğini, milli güvenliği, kamu düzenini ve ekonomik
güvenliği sağlamaya yönelik faaliyetler kapsamında
işlediği veriler Kanun kapsamı dışında tutulmaktadır.
Aynı şekilde, belirtilen amaçlarla suç gelirlerinin
aklanması, terörizmin finansmanının önlenmesi ve
mali suçların araştırılması konusunda yetkili birimler
tarafından yürütülen faaliyetler kapsamında işlenen
veriler de bu istisna kapsamındadır.

 

Kişisel verilerin yargı ve infaz mercileri tarafından
işlenmesi:

Kişisel verilerin soruşturma, kovuşturma, yargılama
veya infaz işlemlerine ilişkin olarak yargı makamları
veya infaz mercileri tarafından işlenmesi durumunda
bu Kanun hükümleri uygulanmaz.


b. Kısmen Kanun Kapsamı
Dışında Tutulan Haller

Kanunun 28. maddesinin 2. fıkrasında sadece
belli durum ve şartlarda Kanunun bazı maddeleri
kapsamına girmeyen haller düzenlenmiştir. Buna
göre; Kanunun amacına ve temel ilkelerine uygun ve
orantılı olmak kaydıyla, veri sorumlusunun aydınlatma
yükümlülüğünü düzenleyen 10. madde, zararın
giderilmesini talep etme hakkı hariç ilgili kişinin
haklarını düzenleyen 11. madde ve Veri Sorumluları
Siciline kayıt yükümlülüğünü düzenleyen 16. madde
hükümleri aşağıdaki faaliyet alanları ile sınırlı olmak
üzere uygulanmaz:
• Kişisel veri işlemenin suç işlenmesinin önlenmesi
veya suç soruşturması için gerekli olması. (Örneğin,
bir polisin bir suçla ilgili şüphelinin kişisel verilerini
işlemesi bu kapsamda değerlendirilebilecektir.
Çünkü polisin hangi kişisel verilerini işlediği veya
hangi amaçlarla işlediğini şüpheliye anlatması
halinde, şüphelinin ilgili verileri yok etmesi veya
silmesi riski doğacaktır.)
• İlgili kişinin kendisi tarafından alenileştirilmiş kişisel
verilerin işlenmesi. (Örneğin, kişinin herkesin
erişimine açık bir şekilde sosyal medya hesabında

kişisel verisini paylaşması halinde verinin
işlenmesi.) Bu hükmün uygulanabilmesi için kişisel
verilerin ilgili kişi tarafından alenileştirme iradesinin
ortaya konulması ve farklı amaçlar doğrultusunda
kullanılmaması gerekir.
• Kişisel veri işlemenin kanunun verdiği yetkiye
dayanılarak görevli ve yetkili kamu kurum ve
kuruluşları ile kamu kurumu niteliğindeki meslek
kuruluşlarınca, denetleme veya düzenleme
görevlerinin yürütülmesi ile disiplin soruşturma
veya kovuşturması için gerekli olması.
• Kişisel veri işlemenin bütçe, vergi ve mali
konulara ilişkin olarak Devletin ekonomik ve
mali çıkarlarının korunması için gerekli olması.
Kanunda belirtildiği gibi 10., 11. ve 16. maddelerin
uygulanmaması için maddede belirtilen hallerden
birinin gerçekleşmesi gerekir. Ancak belirtmek
gerekir ki, veri işlemenin her halükarda Kanunun
amacına, temel ilkelerine uygun ve orantılı olması
gerekir.