TBMM Madde Gerekçesi Kanun Tasarısı Gerekçesi
Maddeyle, Kanunda kullanılan bazı terimlerin tanımları yapılmıştır. Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veridir. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir.
Kişisel verilerin işlenmesi kavramı geniş bir alanı kapsamaktadır. Buna göre kişisel verilerin işlenmesi, verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir.
Açık rıza, 95/46 EC sayılı Direktif dikkate alınarak tanımlanmaktadır. Buna göre, açık rıza ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılmalıdır.
Kişisel verilerin anonim hale getirilmesi, verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade etmektedir. Bu kapsamda, elde kalan veri üzerinden bir izleme yapılarak başka verilerle eşleştirme ve destekleme sonrasında verinin kime ait olduğu anlaşılabiliyorsa, bu verinin anonim hale getirildiği kabul edilemez.
Veri kayıt sistemi, kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade etmektedir. Bu sistemler elektronik yahut fiziki ortamda oluşturulabilir. Buna göre, veri kayıt sisteminde kişisel veriler, ad, soyad veya kimlik numarası üzerinden sınıflandırılabileceği gibi, kredi borcunu ödemeyenlere ilişkin oluşturulacak sınıflandırma da bu kapsamda değerlendirilecektir.
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olanlardır. Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir.
Veri işleyen, veri sorumlusu adına verileri işleyen gerçek ve tüzel kişilerdir. Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen çalışanlar olabileceği gibi, veri sorumlusunun hizmet satın almak suretiyle belirlediği ayrı bir gerçek veya tüzel kişi de olabilir. Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu, hem de veri işleyen olabilir. Örneğin, bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından ise veri işleyen olarak kabul edilecektir.
Genel Değerlendirme
Kanun'un üçüncü maddesi, normatif çerçevenin yorumlanması ve uygulanmasında belirleyici rol üstlenen temel kavramları tanımlamaktadır. Bu tanımlar, yalnızca terminolojik açıklık sağlamakla kalmayıp, aynı zamanda Kanun'un bütününe yön veren ilkesel referans noktaları oluşturmaktadır.
Maddenin düzenlediği kavramlar arasında özellikle üç tanım öne çıkmaktadır. Birincisi, GVKT md. 4(1) ile paralel biçimde geniş yorumlanan kişisel veri kavramıdır. İkincisi, hesap verebilirlik ilkesinin temelini oluşturan veri sorumlusu-veri işleyen ayrımıdır. Üçüncüsü ise belirli bir konuya ilişkinlik, bilgilendirmeye dayalılık ve özgür iradeyle verilme unsurlarını bünyesinde barındıran açık rıza tanımıdır.
GDPR Art. 4 ile karşılaştırıldığında KVKK'daki tanımların daha dar tutulduğu görülmektedir. Özellikle "profilleme", "genetik veri", "biyometrik veri" ve "sağlık verisi" gibi kavramlar KVKK'da ayrıca tanımlanmamıştır.
Veri Kavramı Üzerine
Hukuki düzenlemelerin isabetli biçimde tasarlanabilmesi, öncelikle düzenleme konusunun doğru belirlenmesini gerektirmektedir. Türk hukuk düzeni, gerek özel hukuk gerekse kamu hukuku alanlarında ortaya koyduğu normatif çerçevede, hukukun öznesini teşkil eden şahıslar ile hukukun nesnesini oluşturan eşya ve alacak hakları ekseninde şekillenmiştir.
Ancak dijital çağın beraberinde getirdiği dönüşüm, bu geleneksel ayrımın yeniden değerlendirilmesini zorunlu kılmaktadır. Günümüzde bilginin ve verinin malvarlığı değeri olarak taşıdığı önem, kayda değer bir artış göstermiştir. Veri ekonomisi olarak adlandırılan bu ekosistemin işlem hacmi yüzlerce milyar dolara ulaşmakta ve söz konusu iktisadi değer sürekli yükselmektedir.1
Verinin ekonomik kıymetindeki bu artış, bir yandan verinin korunması meselesini ön plana çıkarırken, diğer yandan verinin kullanımı, devri ve ticaretine ilişkin hukuki düzenleme ihtiyacını belirginleştirmektedir.2 Bu çift yönlü gerilim, veri hukukunun temel dinamiğini oluşturmaktadır.
Verinin Eşyadan Ayrımı
Veri, eşyanın aksine fiziksel bir varlık teşkil etmediğinden, geleneksel eşya hukukunun mülkiyet kavramları veriye doğrudan uygulanamamaktadır. Eşyadan farklı olarak veri, zarar görmeksizin defalarca, farklı kişilerce ve çeşitli biçimlerde kullanılabilme özelliği taşımaktadır.1
Verinin eşyadan ayrışmasındaki temel hususiyet, onun rakipsiz (non-rival) karakteridir: bir kişinin veriyi kullanması, başkalarının aynı veriden yararlanmasını engellemez. Bu özellik, ekonomi teorisinde kamusal malları tanımlayan kriterleri çağrıştırmakla birlikte, hukuki açıdan geleneksel mülkiyet rejiminin veri üzerinde uygulanmasını önemli ölçüde güçleştirmektedir.2 Zira mülkiyet hakkının özünü oluşturan dışlama yetkisi, rakipsiz mahiyetteki veriler bakımından işlevini yitirmektedir.
Kişisel Veri Kavramı
Kişisel veri kavramı, KVK Kurulu içtihadında geniş bir yoruma tabi tutulmaktadır.1 Bu geniş yorumun temelinde, kişisel verilerin farklı kategorilere ayrılması yatmaktadır. Doğrudan tanımlayıcılar olarak nitelendirilen ad-soyad, TC kimlik numarası ve telefon numarası gibi veriler, kişiyi başka bir bilgiye ihtiyaç duymaksızın belirlemeye elverişlidir. Buna karşılık IP adresi, çerez verileri ve konum bilgisi gibi dolaylı tanımlayıcılar, belirli koşullar altında kişiyi tanımlanabilir kılmaktadır.2 Bağlamsal veriler ise ancak başka verilerle bir araya getirildiğinde kimlik belirleme işlevi üstlenmektedir.
Bu kategorik ayrım, bir verinin kişisel veri niteliği taşıyıp taşımadığının her somut olayda ayrıca değerlendirilmesini gerektirmektedir. Nitekim Kurul, 2019/387 sayılı kararında araç plaka numarasının kişisel veri teşkil ettiğini tespit ederek, dolaylı tanımlayıcıların kapsamının dar yorumlanmaması gerektiğini ortaya koymuştur.
Veri Sorumlusu - Veri İşleyen Ayrımı
Veri sorumlusu ile veri işleyen arasındaki ayrım, sorumluluk ve yükümlülüklerin belirlenmesinde temel bir işlev üstlenmektedir. Bu ayrımın doğru yapılmaması, hem yasal mükellefiyetlerin ihlaline hem de hesap verebilirlik boşluklarına yol açabilmektedir.
Veri sorumlusu, kişisel verilerin işlenme amaç ve vasıtalarını belirleyen taraf olarak tanımlanmaktadır; müşteri verilerini toplayan bir şirket, söz konusu veriler bakımından veri sorumlusu konumundadır. Veri işleyen ise veri sorumlusu adına ve onun talimatları doğrultusunda işleme faaliyetini gerçekleştiren taraftır; bulut hizmet sağlayıcıları ve çağrı merkezleri bu kategorinin tipik örneklerini oluşturmaktadır.
Önemle belirtmek gerekir ki aynı tüzel kişi, farklı işleme faaliyetlerinde farklı sıfatlar taşıyabilmektedir. Bu nedenle statü belirlenmesi soyut ve genel bir değerlendirmeye değil, her somut işleme faaliyetinin ayrıca incelenmesine dayanmalıdır.
GDPR'da "joint controller" (müşterek veri sorumlusu) kavramı açıkça düzenlenmiş olup, KVKK'da bu kavram yer almamaktadır. Ancak Kurul kararlarında fiilen müşterek sorumluluk kabul edilebilmektedir.
Semiyotik Bilgi Kavramı
Verinin hukuki açıdan nitelendirilebilmesi meselesinde, özellikle Avrupa Birliği hukuk doktrininde göstergebilimde geliştirilen bilgi kavramından hareket edilmektedir. Klasik bilgi teorisinden farklı olarak semiyotik yaklaşım, bilgiyi yalnızca teknik bir veri akışı veya sinyal olarak değil, bir anlam üretme ve anlamlandırma süreci olarak kavramaktadır.
Bu teorik çerçevede bilgi, bir kaynaktan alıcıya basitçe aktarılan bir şey olmaktan çıkmakta; alıcının işareti yorumlamasıyla oluşan bir fenomen olarak tanımlanmaktadır. Somut bir örnek vermek gerekirse, kırmızı trafik ışığı fiziksel açıdan yalnızca belirli bir dalga boyunda ışık yayılmasından ibarettir. Ancak bu fiziksel olgu, sürücünün onu "dur" emri olarak yorumlamasıyla bilgiye dönüşmektedir. Dolayısıyla bilgi, nesnel bir varlık değil, yorumsal bir sürecin ürünüdür.
Sentaks, Semantik ve Pragmatik
İşaretlerin anlam kazanma sürecinin anlaşılabilmesi için Charles W. Morris'in geliştirdiği üç düzeyli semiyotik çerçeveye başvurmak gerekmektedir. Bu model, işaretlerin farklı boyutlarda nasıl işlev gördüğünü sistematik biçimde ortaya koymaktadır.
Birinci düzeyi oluşturan sentaks, işaretlerin anlamından bağımsız olarak bir araya gelme kurallarını ele almaktadır; tıpkı bir cümledeki kelimelerin gramer yapısını oluşturan dizilimi gibi. Semantik düzeyi ise işaretlerin temsil ettikleri nesne ve kavramlarla olan ilişkisini, yani anlamı incelemektedir. Üçüncü düzeyi teşkil eden pragmatik ise işaretlerin kullanıcılarla olan münasebetini, yani bağlamda nasıl kullanılıp yorumlandığını konu almaktadır.
Bu üç düzeyin bir araya gelmesiyle bilgi, semiyotik anlamda vücut bulmaktadır. Dolayısıyla anlam, basit bir eşleştirme değil, karmaşık bir yorum sürecinin ürünü olarak ortaya çıkmaktadır.
Fiziksel Katman
Veri olgusunu hukuki açıdan tavsif etmeye yönelik girişimlerde sıklıkla başvurulan üç katmanlı modelin ilk basamağını fiziksel katman oluşturmaktadır. Bu katmanda taşıyıcı medyum—hard disk, cep telefonu, harici depolama aygıtları gibi çeşitli görünümleriyle—cismani varlık sıfatıyla ayni hakka konu olabilmektedir. Dolayısıyla fiziksel katman, ilk bakışta hukuki nitelendirmeye en elverişli düzey olarak öne çıkmaktadır.
Dijital ortamdaki veriler, nihayetinde fiziki bir taşıyıcıda—ister kâğıt üzerinde ister manyetik alanlarla kodlanmış sıfır ve birler biçiminde—kayıt altına alınmaktadır. Ne var ki taşıyıcı medyumu esas alarak verinin hukuki niteliğini belirleme girişimi sonuçsuz kalmaya mahkûmdur. Zira ayni hak ve bağlı hukuki sonuçlar yalnızca cismani taşıyıcıyı kapsamakta; bu taşıyıcıda bulunan verilere sirayet etmemektedir.
Semantik Katman
Üç katmanlı modelin ikinci basamağını oluşturan semantik katmanda, makineler tarafından okunan verinin anlamlandırılması söz konusu olmaktadır. Bu düzeyde sıfır ve birlerden oluşan ham dizilimler, metin, görüntü veya video gibi anlamlı içeriklere dönüştürülmektedir.
Bu noktada veri ile bilgi arasındaki kavramsal ayrımın altı çizilmelidir: veri, bilginin taşıyıcısı olarak işlev görürken, bilgi verinin anlam kazanmış halini ifade etmektedir. 6698 sayılı Kanun'un kişisel veriyi "bilgi" olarak tanımlaması, ilk bakışta terminolojik bir tutarsızlık izlenimi uyandırsa da esasen son derece isabetli bir yaklaşımı yansıtmaktadır.
Zira kişisel verilerin korunması hukukunun nihai amacı, verinin bizatihi kendisini değil, veri öznesini korumaktır. Himayeye layık olan husus ham veri değil, o verinin taşıdığı anlam ve bu anlamın ilgili kişi üzerinde doğurabileceği etkilerdir. Bu perspektiften bakıldığında, Kanun'un bilgi kavramını tercih etmesi bilinçli bir normatif tercihi yansıtmaktadır.