Kişisel Verilerin Korunması Kanunu Terminolojisine Genel Bir Bakış

Kişisel verilerin korunması Türk hukuku mevzuatında en güncel düzenlemelerden biridir. İlgili 6698 s. Kişisel Verilerin Korunması Kanunu ve ikincil düzenlemeleri haliyle birçok yeni terimi beraberinde getirmiştir. Bu yazımızda Kanun’da yer alan terimleri inceliyor olacağız.
Daha önceki yazılarımızda değindiğimiz gibi kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Kişisel veri değerini gerçek bir kişiye ilişkin olmasında bulur. Bu sebeple korunan her türlü bilgi, belirli veya belirlenebilir bir gerçek kişi ile ilişkilendirildiği takdirde bu Kanun kapsamında korunmaktadır.
İlgili kişi, “kişisel verisi işlenen gerçek kişiyi” ifade etmektedir. Kanun’un amacı gerçek kişilerin, kişisel verilerin işlenmesinin kaçınılmaz olduğu günümüzde, işlenen verileri üzerinde hakimiyet sahibi olmasıdır. Bu kanun ile korunan kişi ilgili kişi olarak tanımlanmış ve mutlaka gerçek kişi olması şartı aranmıştır.

Kişisel verilerin işlenmesi, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi” ifade etmektedir. Kişisel verinin üzerinde gerçekleştirilen her türlü işlem, işleme faaliyetidir.
Veri sorumlusu, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi” ifade etmektedir. Kısaca kişisel verilerin neden ve nasıl işlendiğini belirleyen kişi, veri sorumlusudur. Veri sorumlusu gerçek kişi olabileceği gibi tüzel kişi de olabilir.
Veri işleyen, “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi” ifade etmektedir. Veri işleyen kişinin belirlenmesinde dikkat edilmesi gereken husus, bu kişinin veri sorumlusunun organizasyonu içerisinde mi dışarısında mı olduğudur. Eğer ki bu kişi, gerçek veya tüzel kişi olabilir, veri sorumlusunun organizasyonu dışındaysa veri işleyen sıfatını haiz demektir.
Veri kayıt sistemi, “kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini” ifade etmektedir. Veri kayıt sistemi elektronik bir ortam olabileceği gibi fiziksel ortamda da olabilir. Önemli olan kişisel verilerin belirli bir sistematiğe tabi tutularak işlenmesidir.

Açık rıza, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı” ifade etmektedir. Açık rızanın varlığından söz edilebilmesi için bu üç hususun mutlaka bir arada bulunması gerekmektedir. Bu şartlardan birinde eksiklik varsa açık rızadan söz edilemeyecektir.

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler ilgili kullanıcı olarak tanımlanmıştır.

Kanun’da veri imha yöntemleri olarak silme, yok etme ve anonim hale getirme işlemleri karşımıza çıkmaktadır.
İlgili kullanıcı tarafından kişisel verinin hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi verinin silinmesi işlemidir. Silme işlemi arşivlemeden farklı olarak verinin olağan tüm kullanım ve erişim alanlarından çıkarılmasıdır.

Yok etme, silme işleminden farklı olarak, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesidir.
Anonim hâle getirme, “Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini” ifade etmektedir. Kişisel veri anonim hale getirildiğinde artık ortada gerçek bir kişiyle ilişkilendirilebilecek bir bilgi kalmadığından kişisel veri imha edilmiş olur.