Kişisel verilerin korunması, günümüzde yalnızca “mahremiyet” veya “gizlilik” başlığı altında değerlendirilebilecek dar bir mesele olmaktan çıkmıştır. Dijitalleşme ile birlikte birey, günlük hayatında farkında olarak veya olmayarak sürekli veri üretmektedir. İnternete bağlanmak, bir uygulama kullanmak, banka işlemi yapmak, alışveriş yapmak, hatta bir binaya girişte kimlik ibraz etmek dahi kişisel veri döngüsünün parçası hâline gelmiştir. Bu tablo, kişisel veriyi sıradan bir bilgi olmaktan çıkarıp bireyin temel hak ve özgürlükleriyle doğrudan ilişkili bir hukuk konusu hâline getirmiştir.
Klasik anlamda özel hayatın korunmasına ilişkin normlar, uzun süre “gizli alanın ihlali” fikri üzerinden şekillenmiştir. Oysa dijital dünyada ihlal, her zaman kapalı bir alana izinsiz girilmesi şeklinde gerçekleşmez. Çoğu zaman sorun, verinin toplanması, sınıflandırılması, uzun süre saklanması, üçüncü kişilere aktarılması veya profil oluşturma amacıyla işlenmesiyle ortaya çıkar. Bu nedenle modern hukuk, “özel hayat” kavramının yanında, kişisel veriyi bağımsız bir koruma nesnesi olarak ele almak zorunda kalmıştır.
Türk hukukunda bu yaklaşımın anayasal temeli, Anayasa’nın 20. maddesinde yer alan kişisel verilerin korunmasına ilişkin güvencedir. Anayasa düzeyinde kişisel verilerin korunmasının açıkça tanınmış olması, bu alanın sıradan bir düzenleme konusu değil; temel hak çerçevesinde ele alınması gereken bir hak alanı olduğunu ortaya koyar. Bu anayasal çerçeve, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) normatif zeminini de belirler.
6698 sayılı KVKK ise kişisel verilerin korunmasını, yalnızca “yasaklar” üzerinden değil; haklar ve yükümlülükler dengesi içinde kurar. Kanun bir yandan veri işleyen aktörlere (özellikle veri sorumlularına) aydınlatma, veri güvenliği ve hukuka uygun işleme gibi yükümlülükler yüklerken; diğer yandan veri sahibine (ilgili kişiye) verisinin akıbetini öğrenme, düzelttirme, sildirme ve itiraz etme gibi etkin haklar tanır. Böylece kişisel verilerin korunması, yalnızca ihlal olduktan sonra devreye giren bir “tazmin/ceza” mekanizması değil; ihlali önlemeyi hedefleyen bir “uyum ve denetim” sistematiği hâline gelir.
Kişisel verilerin korunması, teknik tedbirlerden ibaret görülürse eksik kalır. Şifreleme, erişim kontrolü veya log tutma gibi önlemler elbette önemlidir; ancak KVKK’nın asıl iddiası, veri işleme faaliyetinin baştan itibaren hukuka uygun kurgulanmasıdır. Bu nedenle kişisel verilerin korunması alanı, teknolojiyle iç içe olsa da nihayetinde hukukçunun bakışını ve normatif değerlendirmesini zorunlu kılar.
Kişisel Veri Nedir: Nerede Başlar, Nerede Biter?
Kişisel verilerin korunması alanında yapılacak her hukuki değerlendirme, öncelikle “kişisel veri” kavramının doğru anlaşılmasını gerektirir. Zira hangi bilginin kişisel veri sayıldığı, hangi işlemlerin KVKK kapsamına girdiğini ve hangi yükümlülüklerin doğduğunu doğrudan belirler. 6698 sayılı KVKK, kişisel veriyi “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlamıştır. Bu tanım, ilk bakışta sade görünse de uygulamada oldukça geniş bir alanı kapsar.
Kişisel veri kavramının merkezinde “belirlenebilirlik” ölçütü yer alır. Bir bilginin tek başına bir kişiyi doğrudan tanımlaması şart değildir. Ad, soyad veya T.C. kimlik numarası gibi doğrudan tanımlayıcı verilerin yanında; başka verilerle bir araya geldiğinde kişiyi belirlenebilir kılan bilgiler de kişisel veri kabul edilir. Bu yaklaşım, kişisel verinin yalnızca açık kimlik bilgileriyle sınırlı olmadığını; dolaylı tanımlamaya imkân veren her türlü bilginin koruma alanına girdiğini gösterir.
Bu noktada uygulamada en çok tartışma yaratan alanlardan biri, teknik ve dijital verilerdir. IP adresleri, log kayıtları, konum bilgileri, cihaz kimlikleri, çerez verileri ve kullanıcı davranışlarına ilişkin kayıtlar çoğu zaman “teknik veri” olarak görülmekte; kişisel veri niteliği göz ardı edilmektedir. Oysa bu tür veriler, belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilebildiği ölçüde KVKK kapsamında kişisel veri sayılır. Özellikle internet ortamında tutulan kayıtlar bakımından, verinin tek başına değil; hangi bağlamda ve hangi diğer verilerle birlikte kullanıldığı önem taşır.
KVKK’nın koruma alanı yalnızca gerçek kişilere ilişkindir. Tüzel kişilere ait bilgiler, kural olarak kişisel veri kapsamında değerlendirilmez. Ancak bir tüzel kişiye ait verinin aynı zamanda gerçek kişiyi belirlenebilir kılması hâlinde, bu veri de dolaylı biçimde KVKK koruması altına girebilir. Örneğin küçük ölçekli bir işletmede işletme adına kayıtlı bir telefon numarasının fiilen belirli bir gerçek kişiyi işaret etmesi, kişisel veri tartışmasını gündeme getirebilir.
Kişisel verinin sınırlarının doğru çizilmesi, kişisel verilerin korunması rejiminin en kritik aşamalarından biridir. Aksi hâlde veri sorumluları, hangi veriler için hangi yükümlülüklerin doğduğunu tespit edemez; veri sahipleri ise hangi bilgilerin korunması gerektiği konusunda belirsizlik yaşar. Bu nedenle kişisel veri kavramı, dar yorumlanarak koruma alanı daraltılmamalı; ancak her bilginin otomatik olarak kişisel veri sayıldığı varsayımıyla da ölçüsüz bir genişletmeye gidilmemelidir.
Uygulamada sağlıklı bir yaklaşım, verinin niteliğini, kullanım amacını ve diğer verilerle kurduğu ilişkiyi birlikte değerlendirmektir. Bu değerlendirme yapılmadan “bu kişisel veridir” veya “kişisel veri değildir” şeklinde kesin yargılara varmak, hem KVKK sistematiğiyle hem de temel hakların korunması anlayışıyla bağdaşmaz.
Kişisel Verinin Hukuki Niteliği
Kişisel verilerin korunması hukukunun doğru anlaşılabilmesi için, kişisel verinin hukuki niteliğinin net biçimde ortaya konulması gerekir. Kişisel veri, ne klasik anlamda bir eşya ne de serbestçe tasarruf edilebilen sıradan bir bilgidir. Kişisel veri, doğrudan doğruya gerçek kişinin temel hak ve özgürlükleriyle bağlantılı, kişiye sıkı sıkıya bağlı bir hukuki değerdir.
Bu nedenle kişisel veri üzerinde mutlak bir mülkiyet hakkından söz edilmesi mümkün değildir. Bir verinin belirli bir gerçek kişiye ilişkin olması, o verinin sınırsız biçimde kullanılabileceği veya devredilebileceği anlamına gelmez. Aksine, kişisel veriye ilişkin her türlü işlem, hukuki bir sebebe dayanmak ve ölçülülük ilkesine uygun olmak zorundadır. KVKK’nın temel yaklaşımı da bu noktada ortaya çıkar: Kişisel veri, ekonomik bir değer üretse dahi, öncelikle bir kişilik hakkı unsurudur.
Kişisel verinin hukuki niteliği, onu işleyenler bakımından da özel bir sorumluluk rejimini beraberinde getirir. Veri sorumlusu veya veri işleyen, kişisel veri üzerinde dilediği gibi tasarrufta bulunabilen bir “hak sahibi” değildir. Aksine, veri sorumlusu, kendisine emanet edilen bir değeri hukuka uygun şekilde işlemekle yükümlü olan konumdadır. Bu yaklaşım, KVKK’nın veri sorumlularına yüklediği aydınlatma, güvenlik ve sınırlı işleme yükümlülüklerinin temelini oluşturur.
Kişisel verinin hukuki niteliğinin bu şekilde konumlandırılması, kişisel verilerin korunmasını yalnızca idari veya cezai yaptırımlar üzerinden değil; aynı zamanda özel hukuk ve anayasal haklar perspektifinden de ele almayı zorunlu kılar. Kişisel veriye yönelik hukuka aykırı bir müdahale, çoğu zaman yalnızca KVKK ihlali değil; aynı zamanda kişilik haklarının ihlali anlamına da gelir. Bu durum, tazminat sorumluluğu ve diğer özel hukuk sonuçlarını gündeme getirebilir.
Öte yandan kişisel verinin hukuki niteliği, mutlak bir dokunulmazlık da ifade etmez. Hukuk düzeni, belirli şartlar altında kişisel verilerin işlenmesine izin verir. Ancak bu izin, sınırsız bir yetki anlamına gelmez. Kişisel verinin işlenmesi, her zaman belirli bir amaca dayanmalı, gerekli olmalı ve bu amaçla sınırlı kalmalıdır. Bu çerçevede kişisel verilerin korunması, yasaklayıcı bir sistemden ziyade, ölçülü ve denetlenebilir bir kullanım rejimi kurmayı hedefler.
Bu hukuki nitelik, kişisel verilerin korunmasını teknolojiye bırakılabilecek tali bir alan olmaktan çıkarır ve doğrudan hukukçunun değerlendirmesini zorunlu kılar. Zira hangi verinin hangi şartlarda işlenebileceği sorusu, teknikten önce hukuki bir sorudur.
Veri İşlemek Ne Demektir?
Kişisel verilerin korunması hukukunda en sık yapılan hatalardan biri, “veri işleme” kavramının dar yorumlanmasıdır. Uygulamada veri işleme çoğu zaman yalnızca verinin aktif olarak kullanılması veya paylaşılması şeklinde algılanmaktadır. Oysa 6698 sayılı KVKK, veri işleme kavramını son derece geniş tutmuş ve kişisel veriyle temas edilen hemen her faaliyeti bu kapsamda değerlendirmiştir.
KVKK’ya göre veri işleme; kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, sınıflandırılması ya da kullanılmasının engellenmesi gibi işlemlerin tamamını ifade eder. Bu tanım, kişisel veriyle ilgili pasif görünen faaliyetlerin dahi hukuki sonuç doğurabileceğini ortaya koyar. Örneğin bir verinin “ileride lazım olur” düşüncesiyle saklanması dahi veri işleme faaliyeti olarak kabul edilir.
Bu geniş yaklaşımın temel gerekçesi, kişisel verinin yalnızca kullanıldığı anda değil; tutulduğu, sınıflandırıldığı ve erişime açık hâlde muhafaza edildiği sürece de birey bakımından risk oluşturabilmesidir. Dolayısıyla kişisel verilerin korunması, yalnızca verinin kötüye kullanılmasını değil; gereksiz yere tutulmasını ve kontrolsüz biçimde çoğaltılmasını da engellemeyi amaçlar.
Veri işleme faaliyetleri, otomatik olan ve otomatik olmayan yöntemlerle gerçekleştirilebilir. Bir yazılım aracılığıyla yapılan kayıtlar, veri tabanlarında tutulan bilgiler veya algoritmalarla işlenen veriler otomatik işleme örnekleridir. Buna karşılık fiziki dosyalarda tutulan kayıtlar veya manuel sistemler de belirli bir veri kayıt sisteminin parçasıysa KVKK kapsamına girer. Bu durum, kişisel verilerin korunmasının yalnızca dijital ortamlara özgü olmadığını açıkça göstermektedir.
Uygulamada en çok gözden kaçan nokta, veri işlemenin her aşamasının hukuki bir sebebe dayanması gerektiğidir. Kişisel veri ilk aşamada hukuka uygun şekilde elde edilmiş olsa bile, daha sonra farklı bir amaçla kullanılması veya gereğinden uzun süre saklanması yeni bir veri işleme faaliyeti olarak değerlendirilir. Bu nedenle veri sorumluları açısından veri yaşam döngüsünün tamamı, baştan sona hukuki denetime tabidir.
Bu çerçevede veri işleme kavramının doğru anlaşılması, kişisel verilerin korunması rejiminin etkin uygulanmasının ön koşuludur. Veri işleme faaliyetini yalnızca “kullanım” ile sınırlı görmek, KVKK’nın öngördüğü koruma sistemini işlevsiz hâle getirir ve ihlalleri kaçınılmaz kılar.
Açık Rıza Nedir? Hukuken Yeterli midir?
Kişisel verilerin korunması denildiğinde uygulamada ilk akla gelen kavram çoğu zaman “açık rıza” olmaktadır. Oysa 6698 sayılı KVKK’nın sistematiği incelendiğinde, açık rızanın veri işleme rejiminin merkezi değil; istisnai bir hukuki dayanak olarak kurgulandığı görülür. Buna rağmen uygulamada açık rıza, neredeyse her veri işleme faaliyetinin vazgeçilmez şartı gibi ele alınmakta ve bu durum ciddi hukuki sorunlara yol açmaktadır.
Açık rıza, ilgili kişinin belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan irade beyanını ifade eder. Bu tanım, açık rızanın geçerli olabilmesi için üç temel unsurun birlikte bulunmasını zorunlu kılar: rızanın belirli bir işleme yönelik olması, yeterli aydınlatmaya dayanması ve herhangi bir baskı veya zorlamadan uzak şekilde verilmesi. Bu unsurlardan birinin eksikliği, rızayı hukuken geçersiz hâle getirir.
KVKK’nın yaklaşımı, kişisel verilerin işlenmesini mümkün olduğunca açık rızaya dayandırmak yerine, kanunda öngörülen diğer hukuki sebepler çerçevesinde yürütmeyi amaçlar. Kanuni yükümlülüklerin yerine getirilmesi, bir sözleşmenin kurulması veya ifası, veri sorumlusunun meşru menfaati gibi hukuki sebepler, çoğu durumda açık rıza aranmaksızın veri işlenmesine imkân tanır. Bu yapı, açık rızanın “kolaycı” bir çözüm olarak her yerde kullanılmasını bilinçli biçimde sınırlar.
Uygulamada sıkça karşılaşılan hatalardan biri, açık rızanın aydınlatma yükümlülüğü ile karıştırılmasıdır. Aydınlatma, veri sorumlusunun yerine getirmesi gereken bağımsız bir yükümlülüktür; açık rıza ise ancak bu aydınlatmadan sonra ve ayrıca alınabilir. Aydınlatma yapılmadan alınan rıza, şeklen mevcut olsa dahi hukuken geçerli sayılmaz. Bu nedenle “rıza aldık” savunması, çoğu zaman veri sorumlularını sorumluluktan kurtarmaz.
Bir diğer sorun alanı, açık rızanın özgür iradeyle verilip verilmediğidir. İşçi-işveren ilişkileri, kamu hizmetlerinden yararlanma süreçleri veya hizmetin rızaya bağlandığı durumlar, rızanın gerçekten serbestçe verilip verilmediğinin sorgulanmasını gerektirir. Bu gibi ilişkilerde açık rıza, çoğu zaman hukuki dayanak olmaktan ziyade şekli bir formaliteye dönüşmektedir.
Bu çerçevede açık rıza, kişisel verilerin korunması sisteminin merkezinde yer alan mutlak bir anahtar değil; dikkatli ve sınırlı kullanılmadığında sistemi zayıflatan bir araç hâline gelebilir. Sağlıklı bir veri işleme rejimi, açık rızayı istisnai bir hukuki dayanak olarak konumlandırmalı; esas olarak kanunun öngördüğü diğer hukuki sebepler üzerinden kurgulanmalıdır.
Aydınlatma Yükümlülüğü ve Şeffaflık İlkesi
Kişisel verilerin korunması hukukunda aydınlatma yükümlülüğü, çoğu zaman açık rızanın gölgesinde kalan; ancak sistematik açıdan ondan çok daha merkezi bir role sahip olan bir yükümlülüktür. 6698 sayılı KVKK, veri işlemenin hukuka uygunluğunu yalnızca rızaya değil, ilgili kişinin veri işleme sürecine ilişkin olarak bilgilendirilmesine de bağlamıştır. Bu yönüyle aydınlatma yükümlülüğü, şeffaflık ilkesinin somutlaşmış hâlidir.
KVKK uyarınca veri sorumlusu; kişisel verilerin hangi amaçla işleneceği, hangi hukuki sebebe dayanıldığı, verilerin kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve ilgili kişinin sahip olduğu haklar konusunda veri sahibini bilgilendirmekle yükümlüdür. Bu bilgilendirme, ilgili kişinin veri işleme sürecini anlamasını ve haklarını bilinçli şekilde kullanabilmesini sağlamayı amaçlar.
Uygulamada sıkça yapılan hatalardan biri, aydınlatma yükümlülüğünün şekli bir metin sunulmasıyla yerine getirildiğinin varsayılmasıdır. Oysa aydınlatma, yalnızca bir metnin varlığıyla değil; bu metnin açık, anlaşılır ve somut olmasıyla anlam kazanır. Karmaşık hukuki ifadelerle veya genel geçer kalıplarla hazırlanan metinler, ilgili kişinin gerçek anlamda bilgilendirilmesini sağlamaz ve aydınlatma yükümlülüğünün amacına aykırı sonuçlar doğurur.
Aydınlatma ile açık rıza arasındaki farkın doğru kurulması da büyük önem taşır. Aydınlatma, veri sorumlusunun tek taraflı ve zorunlu bir yükümlülüğüdür; açık rıza ise ancak bu bilgilendirmeden sonra ve ayrıca alınabilir. Bu nedenle “aydınlatma metnini okudum, kabul ediyorum” şeklindeki ifadeler, çoğu zaman hem aydınlatma hem de rıza açısından hukuki belirsizlik yaratır.
Şeffaflık ilkesinin bir gereği olarak aydınlatmanın, veri işleme faaliyetiyle eş zamanlı veya en geç veri elde edilirken yapılması gerekir. Veri işlendikten sonra yapılan bilgilendirmeler, kural olarak aydınlatma yükümlülüğünü yerine getirmiş sayılmaz. Bu husus, özellikle internet siteleri, mobil uygulamalar ve çevrim içi hizmetlerde sıkça ihlal edilen bir noktadır.
Aydınlatma yükümlülüğünün ihlali, çoğu zaman veri işlemenin hukuka aykırı hâle gelmesine neden olur. Zira ilgili kişi, hangi verisinin hangi amaçla işlendiğini bilmeden bu sürece dâhil edilmiş olur. Bu durum, kişisel verilerin korunması rejiminin temelini oluşturan şeffaflık ve öngörülebilirlik ilkeleriyle bağdaşmaz.
Kişisel Verilerin Güvenliği ve Sorumluluk Rejimi
Kişisel verilerin korunması sistematiğinde veri güvenliği, çoğu zaman teknik bir mesele gibi algılansa da esasen hukuki bir sorumluluk rejimini ifade eder. 6698 sayılı KVKK, veri sorumlusuna yalnızca veriyi hukuka uygun işleme yükümlülüğü değil; aynı zamanda bu verinin güvenliğini sağlama borcu da yüklemiştir. Bu borç, sonuçtan ziyade sürece ilişkin bir yükümlülük olmakla birlikte, ihlal hâlinde ciddi hukuki sonuçlar doğurur.
KVKK, veri güvenliğini “teknik ve idari tedbirler” alınması şeklinde çerçeveler. Ancak bu ifade, soyut bir iyi niyet çağrısı değil; somut ve ölçülebilir yükümlülükler bütünüdür. Veri sorumlusunun, işlediği kişisel verinin niteliğine, miktarına ve işleme faaliyetinin risk düzeyine uygun tedbirleri almakla yükümlü olduğu kabul edilir. Bu bağlamda “herkes için aynı güvenlik önlemi” yaklaşımı, kanunun ruhuyla bağdaşmaz.
Veri güvenliği yükümlülüğünün en somut tezahürlerinden biri, kişisel veri ihlali kavramıdır. Yetkisiz erişim, veri sızıntısı, kayıp veya hukuka aykırı ifşa gibi durumlar, veri ihlali olarak değerlendirilir. Böyle bir durumda veri sorumlusu, ihlalin niteliğine göre hem ilgili kişileri hem de Kişisel Verileri Koruma Kurulu’nu bilgilendirmekle yükümlüdür. Bu bildirim yükümlülüğü, ihlalin gizlenmesini değil; şeffaf biçimde yönetilmesini hedefler.
Uygulamada en çok tartışılan hususlardan biri, veri ihlallerinde kusur aranıp aranmayacağıdır. KVKK’nın yaklaşımı, veri güvenliği yükümlülüğünü ağırlıklı olarak objektif sorumluluğa yakın bir çerçevede ele alır. Başka bir ifadeyle, “benim kusurum yoktu” savunması çoğu zaman tek başına yeterli kabul edilmez. Asıl soru, veri sorumlusunun gerekli ve makul tedbirleri alıp almadığıdır.
Bu sorumluluk rejimi, kişisel verilerin korunmasını yalnızca ihlal sonrası yaptırımlarla sınırlamaz; ihlali önlemeye yönelik bir uyum kültürü oluşturmayı amaçlar. Veri güvenliğini bir defalık teknik yatırım olarak görmek yerine, süreklilik arz eden bir hukuki yükümlülük olarak ele almak gerekir. Aksi hâlde kişisel verilerin korunması, kâğıt üzerinde kalan bir uyum alanına dönüşür.
Veri Sorumlusu, Veri İşleyen ve Gerçek Sorumluluk
Kişisel verilerin korunması hukukunda sorumluluğun doğru tespiti, uygulamadaki uyuşmazlıkların büyük bölümünü belirleyen temel unsurdur. 6698 sayılı KVKK, veri işleme faaliyetinde yer alan aktörleri “veri sorumlusu” ve “veri işleyen” olarak ayırır. Ancak bu ayrım, çoğu zaman teorik düzeyde doğru kurulsa da pratikte sorumluluktan kaçınma aracı hâline getirilebilmektedir.
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişidir. Bu tanım, sorumluluğun merkezine “karar verme yetkisini” yerleştirir. Hangi verinin, hangi amaçla, ne kadar süreyle ve kimlere aktarılacağını belirleyen aktör, kural olarak veri sorumlusudur. Bu nedenle veri sorumluluğu, sözleşme etiketleri ile değil, fiili durum ve yetki kullanımıyla belirlenir.
Veri işleyen ise veri sorumlusunun verdiği yetki çerçevesinde, onun adına kişisel veri işleyen kişiyi ifade eder. Yazılım firmaları, çağrı merkezleri, bulut hizmeti sağlayıcıları veya dış kaynak hizmet veren şirketler çoğu zaman bu kapsamda değerlendirilir. Ancak “biz sadece teknik hizmet veriyoruz” savunması, her durumda veri işleyen statüsünü garanti etmez. Eğer ilgili aktör, veri işleme amaç ve yöntemleri üzerinde fiilen söz sahibi ise, veri sorumlusu olarak kabul edilmesi mümkündür.
Uygulamada en sık karşılaşılan sorunlardan biri, sorumluluğun sözleşmelerle veri işleyene yüklenmeye çalışılmasıdır. Oysa KVKK bakımından veri sorumluluğu, devredilebilir bir yükümlülük değildir. Veri sorumlusu, veri işleyenin eylemlerinden kural olarak sorumludur ve bu sorumluluk, taraflar arasındaki iç ilişkiyi aşan bir nitelik taşır. Bu yaklaşım, kişisel verilerin korunmasını yalnızca özel hukuk sözleşmelerine bırakmayan bilinçli bir tercihtir.
Bu çerçevede veri sorumlusu–veri işleyen ayrımının doğru yapılması, kişisel verilerin korunması rejiminin etkinliği açısından belirleyicidir. Sorumluluğun fiili duruma göre belirlenmesi, hem Kurul kararlarında hem de yargısal denetimde giderek daha fazla önem kazanmaktadır.
İlgili Kişi ve Haklarının Etkinliği Sorunu
Kişisel verilerin korunması rejiminin merkezinde, verisi işlenen gerçek kişi yer alır. KVKK bu kişiyi “ilgili kişi” olarak tanımlar ve kişisel verilerin korunmasını esasen ilgili kişinin haklarını kullanabilmesi üzerinden kurgular. Ancak mevzuatta tanınan bu hakların, uygulamada ne ölçüde etkin biçimde kullanılabildiği ciddi bir tartışma konusudur.
İlgili kişiye tanınan haklar; kişisel verilerinin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme, verilerin amacına uygun kullanılıp kullanılmadığını sorgulama, yanlış veya eksik işlenmiş verilerin düzeltilmesini isteme, silinmesini veya yok edilmesini talep etme ve veri işlemeye itiraz etme gibi yetkileri kapsar. Bu haklar, teorik olarak veri sorumlusu karşısında ilgili kişiyi güçlü kılan araçlardır.
Buna karşın uygulamada ilgili kişinin haklarını kullanmasının önünde önemli engeller bulunmaktadır. Başvuru usullerinin karmaşık olması, veri sorumlularının standart ve çoğu zaman içerikten yoksun cevaplar vermesi, cevap sürelerinin etkisiz şekilde kullanılması ve hak arama yollarının yeterince bilinmemesi bu engellerin başında gelir. Bu durum, kişisel verilerin korunmasını “hak temelli” bir sistem olmaktan uzaklaştırma riski taşır.
Bir diğer sorun alanı, veri sorumlularının ilgili kişi başvurularını şekli olarak yanıtlamasıdır. Başvurunun alındığını bildiren ancak içeriğe ilişkin somut açıklama sunmayan cevaplar, hukuki anlamda hak kullanımını anlamsızlaştırır. Oysa KVKK’nın amacı, ilgili kişiye yalnızca bir başvuru hakkı tanımak değil; bu başvurunun gerçek bir denetime dönüşmesini sağlamaktır.
İlgili kişi haklarının etkin biçimde kullanılabilmesi, veri sorumlularının bu hakları bir “yük” değil; kişisel verilerin korunması sisteminin temel unsuru olarak görmesine bağlıdır. Aksi hâlde haklar kâğıt üzerinde kalır ve kişisel verilerin korunması rejimi, fiilen tek taraflı bir yükümlülükler sistemi hâline gelir.
Kişisel Verilerin Aktarımı ve En Riskli Alan
Kişisel verilerin korunması alanında uygulamanın en sorunlu ve riskli başlıklarından biri, kişisel verilerin üçüncü kişilere aktarılmasıdır. Zira veri aktarımı, kişisel verinin veri sorumlusunun fiilî kontrol alanından çıkması anlamına gelir ve bu durum, ihlal riskini doğrudan artırır. Bu nedenle KVKK, veri aktarımını özel şartlara bağlamış ve sıkı bir denetim rejimi öngörmüştür.
Kişisel verilerin yurt içinde aktarılması, kural olarak veri işleme şartlarına tabidir. Başka bir ifadeyle, bir verinin hukuka uygun şekilde işlenebildiği her durumda otomatik olarak aktarılabileceği söylenemez. Aktarımın da ayrıca hukuki bir sebebe dayanması ve aktarım amacının, veri işleme amacıyla uyumlu olması gerekir. Bu husus, özellikle grup şirketleri, hizmet sağlayıcılar ve iş ortaklarıyla yapılan paylaşımlarda sıklıkla göz ardı edilmektedir.
Yurt dışına veri aktarımı ise çok daha hassas bir alan olarak düzenlenmiştir. KVKK, yurt dışına veri aktarımını kural olarak ilgili kişinin açık rızasına bağlamış; ancak yeterli korumanın bulunduğu ülkeler veya veri sorumluları arasında taahhütname gibi mekanizmalar öngörerek sınırlı istisnalar tanımıştır. Bu yaklaşım, kişisel verinin ülke sınırları dışında da korunmasını güvence altına almayı amaçlar.
Uygulamada özellikle bulut hizmetleri, yurt dışı merkezli yazılımlar ve global veri tabanları, veri aktarımı bakımından ciddi hukuki riskler barındırmaktadır. Verinin fiilen yurt dışında tutulup tutulmadığı, erişimin nereden sağlandığı ve hangi ülke hukukunun uygulandığı çoğu zaman net değildir. Bu belirsizlik, veri sorumlularının hukuki sorumluluğunu ortadan kaldırmaz; aksine artırır.
Veri aktarımında en sık yapılan hatalardan biri, açık rızanın “her sorunu çözen” bir araç olarak görülmesidir. Oysa açık rıza, aktarımın hukuka uygunluğunu otomatik olarak garanti etmez. Aktarımın ölçülü olması, veri minimizasyonu ilkesine uygunluğu ve aktarım sonrası güvenliğin sağlanması da ayrıca değerlendirilmelidir.
Bu nedenlerle kişisel verilerin aktarımı, kişisel verilerin korunması rejiminin en dikkatle ele alınması gereken alanlarından biridir. Aktarım süreçlerinin hukuki zemini netleştirilmeden yapılan paylaşımlar, çoğu zaman geri dönüşü olmayan ihlallere ve ciddi idari yaptırımlara yol açmaktadır.
Kişisel Verilerin Korunmasına Hukuki Bir Bakış
Kişisel verilerin korunması, günümüzde yalnızca teknik önlemlerle veya şekli uyum belgeleriyle yönetilebilecek bir alan değildir. KVKK’nın ortaya koyduğu sistem, kişisel veriyi bireyin temel hak ve özgürlükleriyle doğrudan bağlantılı bir hukuki değer olarak ele alır ve bu değerin korunmasını çok katmanlı bir sorumluluk rejimine bağlar. Bu nedenle kişisel verilerin korunması, tek başına ceza tehdidiyle veya idari yaptırımlarla sınırlı bir düzenleme alanı olarak görülemez.
Uygulamada karşılaşılan pek çok sorun, kişisel verilerin korunmasının yalnızca “yükümlülükler listesi” olarak algılanmasından kaynaklanmaktadır. Oysa KVKK, veri işleme faaliyetinin başından sonuna kadar hukuki bir mantık kurulmasını zorunlu kılar. Hangi verinin neden işlendiği, bu işlemenin hangi hukuki sebebe dayandığı, ne kadar süreyle devam edeceği ve verinin hangi koşullarda üçüncü kişilere aktarılabileceği soruları, her somut olayda yeniden ve dikkatle değerlendirilmelidir.
Bu yaklaşım benimsendiğinde, açık rıza enflasyonu, şekli aydınlatma metinleri veya yalnızca VERBİS kaydıyla yetinilen uyum süreçlerinin neden yetersiz kaldığı da daha net anlaşılır. Kişisel verilerin korunması, belge üretme faaliyeti değil; hukuki risk yönetimi sürecidir. Bu sürecin merkezinde ise veri sorumlusunun bilinçli tercihi ve sürekli denetimi yer alır.
Öte yandan kişisel verilerin korunması, ilgili kişi bakımından da pasif bir bekleme alanı değildir. KVKK’nın tanıdığı haklar, ancak etkin biçimde kullanıldığında anlam kazanır. Bu hakların teoride var olması yeterli değildir; uygulamada erişilebilir, anlaşılır ve sonuç doğurabilir olması gerekir. Aksi hâlde kişisel verilerin korunması, yalnızca idari otoritenin denetimine bırakılmış tek yönlü bir sistem hâline gelir.
Son tahlilde kişisel verilerin korunması, teknolojiyle birlikte gelişen; ancak çözümünü teknolojide değil hukuki değerlendirmede bulan bir alandır. Bu alanın sağlıklı işlemesi, mevzuatın ezberlenmesinden ziyade, normların arkasındaki koruma amacının doğru anlaşılmasına bağlıdır. Kişisel veriyi merkeze alan bu yaklaşım benimsenmediği sürece, en kapsamlı düzenlemeler dahi uygulamada beklenen etkiyi yaratmayacaktır.
Av. Ramazan Sertan Safsöz
