Kişisel Veri Nedir?
7 Nisan 2016 yürürlüğe giren ve özellikle şirketler için büyük bir değişim gerektiren Kişisel Verilerin Korunması Kanunu, kişisel verilerin işlenme şartlarını detaylı olarak düzenlemektedir. Peki, Kanun’da işlenme kuralları belirlenen kişisel veri kavramı neyi ifade etmektedir? Kimlerin hangi bilgileri kişisel veri sayılmaktadır?
Kişisel veri, Kanun’da; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Bu tanımdan hareketle bir bilginin kişisel veri niteliğinde olabilmesi için;
- Gerçek kişiye ilişkin olması,
- Gerçek kişinin kimliği belirli veya belirlenebilir olması ve
- Kanun’un aradığı anlamda bilgi ile kişi arasında ilişkin olma unsurunun gerçekleşmesi gerekmektedir.
1. Bilginin Gerçek Kişiye İlişkin Olması
Kanun’un koruduğu kişisel veriler, yalnızca gerçek kişilere ilişkin verilerdir. Dolayısıyla tüzel kişilere ilişkin veriler kural olarak kişisel veri sayılmazlar. Ancak Kurul, tüzel kişilere ilişkin bilgilerin elde edilmesinin bir gerçek kişinin kimliğinin belirlenmesi sonucunu doğurması halinde Kanun’un uygulanabileceği belirtmiştir. Tüzel kişinin ticaret unvanının bir gerçek kişinin adı ve soyadından oluşması bu duruma örnek olarak verilebilir.
2. Kimliğin Belirli Veya Belirlenebilir Olması
Gerçek kişiye ilişkin bir bilginin kişisel veri sayılabilmesi için, söz konusu gerçek kişinin kimliği belirli veya belirlenebilir olmalıdır. Bir kişinin belirli olması, yer aldığı gruptaki diğer kişilerden ayırt edilebilmesi anlamına gelir. Belirlenebilir olma ise, kişinin diğer kişilerden mevcut veriler kullanılarak ayırt edilememesine rağmen birtakım ek verilerle ayırt edilebilir olması durumunu ifade eder.
Ad ve soyadı çoğu durumda gerçek kişilerin belirlenebilmesi için yeterlidir. Ancak bazı hallerde kişinin belirlenebilmesi için ad ve soyada ilave olarak meslek, adres, yaş gibi verilere ihtiyaç duyulmaktadır. Bu ihtiyaç genellikle aynı ad ve soyadı taşıyan birden çok kişinin olduğu durumlarda ortaya çıkar. Bir kişinin ad ve soyadının bilinmemesi de tek başına onun belirli olmadığı göstermez. Örneğin, X şirketinde genel müdür yardımcısı olan ve Y marka otomobile sahip olan kişi, adı bilinmemesine rağmen belirli bir kişiyi ifade edebilecektir.
Bir kişinin belirlenebilir olması bakımından ise, veri sorumlusunun veya üçüncü bir kişinin başvurabileceği makul yollar ile elde edebileceği ilave veriler ile kişiyi teşhis edebilmesi ölçüt olarak kabul edilmektedir.
3. İlişkin Olma
Genel olarak, gerçek kişiye ilişkin olma şartı, bilginin doğrudan söz konusu gerçek kişi hakkında olması ile sağlanır. Ancak bilginin doğrudan kişi hakkında olmadığı bazı durumlarda da ilişkin olma şartının gerçekleşebileceği kabul edilmektedir.
Bu duruma örnek olarak bir evin değerinin aslında bir nesne hakkındaki bilgi olmasına rağmen ev sahibi gerçek kişinin ödemesi gereken vergi, maddi durumu gibi bilgilerine ulaşılabildiği ölçüde kişisel veri olarak kabul edilecektir.
Yukarıda ifade edilen üç şartı taşıyan her türlü bilgi kişisel veri sayılır. Her türlü bilgi ifadesi kişinin fiziki, ailevi, sosyal, ekonomik ve sair özelliklerine ilişkin bütün bilgileri kapsamaktadır. Bilginin objektif veya sübjektif olmasının önemi yoktur. Doğru veya kanıtlamış olması da gerekmez. Benzer şekilde ifade ediliş biçiminin ve kaydedildiği ortamın önemi yoktur. Bu kapsamda örneğin; ad ve soyadı, adres, TCKN, telefon numarası, vergi numarası, medeni hal, meslek, doğum tarihi, cinsiyet, özgeçmiş, IP adresi, IMEI numarası, MAC adresi, konum bilgisi, fotoğraf, video, ses kaydı, sağlık raporu, kan grubu, parmak izi, göz rengi, DNA bilgisi, engel durumu, adli sicil kaydı, dernek üyeliği, maaş, özlük bilgileri, seyahat ve alışveriş bilgileri gibi bilgiler kişisel veridir.