Kişisel Verilerin Korunması Kanunu (KVKK) ile birlikte birçok terimde hayatımızda daha sıkça karşımıza çıkmaya başladı. Bu terimlerden önemli olanları yazımızda açıklayacağız.
Kişisel Veri
Belirli ya da belirlenebilir bir kişiye ilişkin her türlü bilgiye denir. Bu bilgiler neler olabilir? Kimlik bilgileri, fiziksel özellikleri, etnik kökeni, sağlık, eğitim, cinsel yaşamı, haberleşme, kredi kartı bilgileri, ekonomik durumu, alışveriş alışkanlıkları, aile hayatı özgeçmiş, ses, görüntü ve buna benzer bilgiler. Kişisel verinin kapsamını geniş olarak yorumlamak gerekiyor çünkü herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm veriler kişisel veri olarak değerlendirilmektedir.
Özel Nitelikli Kişisel Veri
Öğrenildiği takdirde ilgili kişi hakkında ayrımcılığa uğrama gibi farklı mağduriyetlere neden olma potansiyeli nedeniyle daha sıkı koruma altına alma gereği duyulan verilerdir. Kişilerin ırkı, etnik kökeni, dini, mezhebi, diğer inançları, siyasi düşüncesi, felsefi inancı, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Kanun’da özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiş olup, kıyas yoluyla genişletilmesi mümkün değildir.
Örneğin, bir şirket, çalışanlarının parmaz izi taratarak içeriye girişlerini kontrol ediyorsa. Bu bilgilerin biyometrik bir veri – özel nitelikli kişisel veri – olduğunu ve bu kapsamda ilave tedbirlerle koruması gerektiğini bilmesi gerekmektedir. Bu bilgilerin işlenmesinde dayanacağı şartlarda daha çok açık rızaya dayanması gerekecektir.
Kişisel Verilerin İşlenmesi
Kişisel verilerin elde edilmesinden başlayarak; silme, yok etme ya da anonim hale getirme işlemlerine kadar olan kaydetme, depolama, değiştirme ve aktarma gibi her türlü faaliyet kişisel verilerin işlenmesidir.
Veri Sorumlusu ve İlgili Kişi
Veri sorumlusu, hangi kişisel verilerin, nasıl ve hangi amaçlarla işleneceği, kimlerle paylaşılacağı ve ne kadar süreyle saklanacağı gibi kararları veren gerçek ya da tüzel kişidir. Tüzel kişiler (örn. şirketler, kurumlar, işletmeler) doğrudan veri sorumlularıdır ve bu sorumluluklarını bir çalışan ya da alt idari birime devredemezler.
İlgili kişi ise kişisel verisi işlenen gerçek kişidir.
Veri İşleyen
Veri sorumlusunun kendisi adına veri işlemesi için yetki verdiği gerçek ya da tüzel kişilerdir. Veri işleyen veri sorumlusu tarafından verilen talimatlara göre çalışır. Ayrıca veri sorumlusunun organizasyonu dışında çalışır. Burada veri sorumlusu ile veri işleyen arasında bir veri işleme sözleşmesi vardır. Veri sorumlusu verilerin toplanmasında kullanılacak teknoloji, saklanma yöntemleri ve verilerin korunmasındaki teknik tedbirleri ilgilendiren kararların alınmasını doğrudan veri işleyene bırakabilir. Bir şirket, veri sorumlusu ve veri işleyen rolleri aynı anda bünyesinde bulundurabilir. Örneğin, Servis Sağlayıcılığı (Hosting) hizmeti sunan bir şirket, müşterilerinin sahip olduğu kişisel veriler açısından “Veri İşleyen”, kendi çalışanlarının kişisel verileri bakımından ise “veri sorumlusu” rolüne sahiptir.
İrtibat Kişisi
Türkiye’de yerleşik olan tüzel kişilerin ve tüzel kişi veri sorumlusu temsilcisinin sicil kapsamındaki yükümlülükleriyle ilgili olarak, Kurul ve Kurum tarafından yapılacak iletişimlerde irtibata geçilmek üzere atanan gerçek kişidir.
Veri Kayıt Sistemi
Kişisel verilerin belli kriterlere göre sınıflandırılarak kaydedildiği, işlendiği ve silindiği kayıt sistemidir. Bu sistemler fiziki olabileceği gibi elektronikte olabilir.
Otomatik ve Otomatik Olmayan Veri İşleme
Otomatik işlemeden kasıt, bir yazılım ya da donanım yardımıyla insan müdahalesi olmadan kendiliğinden gerçekleşen faaliyetlerdir. Otomatik olmayan veri işleme ise elle yapılan veri kaydı gibi veri işleme faaliyetleridir. Kanun kapsamında olan kısım ise otomatik olmasa bile bir veri kayıt sistemi dâhilinde yani belli kriterlere göre yapılan veri işlemelerdir.
Aydınlatma Yükümlülüğü
Veri sorumlusunun, kişisel verilerini işlediği gerçek kişilere, söz konusu verilerin hangi gerekçelerle, hangi amaçlarla işlenebileceği ve kimlere aktarılabileceği ile ilgili bilgi verme sorumluluğudur.
Veri Sorumluları Sicili (VERBİS)
Kişisel Verileri Koruma Kurumu Başkanlığı tarafından kamuya açık olarak tutulan ve belli kriterlere sahip veri sorumlularının kaydolmak zorunda olduğu elektronik ortamda tutulan sicil sistemidir. VERBİS üzerinde veri sorumlusunun ya da temsilcisinin kimliği, adresi; tuttuğu ve işlediği kişisel veri türleri, işleme şartları, amacı, aktarma durumu, azami tutma süreleri, alınan idari ve teknik tedbirler gibi bilgiler bulunur.
Kişisel Verilerin Aktarılması
Veri sorumlusunun elinde bulunan verileri başka bir veri sorumlusu yada yurt dışına aktarması durumudur.
Silme ve Yok Etme
Silme, kişisel verinin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir. Yok etme, ise kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, tekrar kullanılamaz ve geri getirilemez hale getirilmesi işlemidir.
Anonim Hale Getirme
Söz konusu verilerin, başka verilerle eşleştirilmesi durumunda dahi belli yada belirlenebilir bir kişiyi işaret edemeyecek hale getirilmesidir. Anonimleştirme farklı yöntemlerle yapılabilir. Bunlardan bazıları; Maskeleme (kredi kartında **** ile maskeleme), Toplulaştırma/Kümülatif Data Yaratma (şirkette çalışanların eğitim durumuna ilişkin yüzde bilgisi), Veri Üretme (doğum tarihi yerine yaş bilgisi), Veri Karması (verilerin toplam değere zarar vermeden karıştırılması şeklinde)
Alenileştirme
Bir bilginin herkes tarafından bilinebilir olması durumudur. Örneğin kişisel bilgilerinizi sosyal medya hesabınızda paylaşırsanız ve herkes bu şekilde bilgilerinizi elde ederse bu durumda siz söz konusu kişisel verilerinizi alenileştirmiş olursunuz. Alenileştirme, kişisel verilerin açık rıza aranmadan işlenebileceği işleme şartlarından birisidir.
