Kişisel Veri İşleme Nedir?
Av. Burak ÜÇÜNCÜ
(Yazının fikri mülkiyet hakları yazara aittir. Makalenin herhangi bir bölümünün başka bir yayında kullanılmasına ancak atıfta bulunulması şartı ile izin verilir. İzinsiz çoğaltılamaz, tüm saklıdır)
Kişisel Verilerin Korunması Kanununda (“KVKK”) tanımlanan ve kişisel veri koruma hukukunun temel kavramlarından olan ‘kişisel veri işleme’, karşıladığı hukuki anlamının dışında daha çok sözlük anlamı ile karıştırılıyor ve bu nedenle yanlış anlaşılan kavramların başında geliyor. Kişisel verilerin korunması hukukuna hakim olmak adına, veri işlemenin ne anlama geldiğini iyi kavramak gerekiyor. Tanımlara başlamadan evvel KVKK’da veri işleme yönünden kişisel veri ve özel nitelikli kişisel veri ayrımının yapılmadığını da ayrıca ifade etmek isterim.
Kısmen veya tamamen bilişim sistemleri aracılığıyla ya da belirli bir sınıflandırmaya bağlı kalınması halinde otomatik olmayan yöntemler kullanılarak, kişisel verinin konu edildiği her türlü eylem, kişisel veri işlemedir. Örneğin, Excel dosyası içerisinde müşteri listesinin tutulması otomatik olarak kişisel veri işleme faaliyetidir. Ad/Soyad/Borç Miktarı/Tarih gibi belirli sınıflandırma kriterlerinin yer aldığı elle tutulan bakkal defteri ise otomatik olmayan (manuel) yollarla kişisel veri işleme faaliyetini ifade eder. Otomatik olmayan yollarla kişisel veri işlemeden bahsetmek için kanunun veri kayıt sistemi dediği, belirli bir sistematik altında işlemenin gerçekleştirilmiş olması gerekir. Bu yüzden bakkalın rastgele ve belirli bir sistematik dahilinde tutmadığı defteri, kişisel veri işleme faaliyetini oluşturmaz.
Kişisel veri işleme, KVKK m.3/1-e’de “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak ifade edilmiştir.
Görüldüğü üzere kanun koyucu kişisel veri işlemeyi tanımlarken sınırlı sayım (numerus clausus) yapmayıp, örnekleme yoluna gitmiştir. Ayrıca veri üzerinde gerçekleştirilen her türlü işlem denilerek kapsam son derece geniş bırakılmıştır. O halde kişisel veri işlemeden anlamamız gereken, kişisel verinin konu olduğu her türlü eylemdir. Veri işleme olarak adlandıracağımız eylemin kişisel veriye yönelik olması gerekir.
Kişisel veri işleme tanımı üzerinde herhangi bir sınırlama yapılmamasına rağmen, veri işleme yöntemi anlamında durum aynı değildir. Kanuni anlamda bir kişisel veri işlemeden bahsedebilmek için kişisel verinin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenmesi gerekir. Buradaki veri işlemenin otomatik olması deyiminden elektronik cihazlar vasıtası ile yapılan otomatik veri işlemeyi anlamak gerekir. Nitekim kanunda sınırlayıcı olarak otomatik olma tanımına yer verilmemiştir.
Otomatik olmayan yollarla ancak bir veri kayıt sisteminin parçası olmak kaydıyla yapılan kişisel veri işleme faaliyetinde ise, veri kayıt sisteminin ne olduğu sorusu gündeme gelecektir. Kanun veri kayıt sistemini “kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi” olarak ifade etmiştir. Bu yönüyle otomatik olmayan yollarla dahi olsa, belirli standartlar ile sınıflandırmanın yapıldığı sistemlerin veri kayıt sistemi olduğunu söylemek gerekir. Madde gerekçesinde veri kayıt sistemi bakımından elektronik ya da fiziki ortam ayrımı yapılmamış, sadece veri girişinin otomatik olmaması (manüel) dikkate alınmıştır.