Şirketler için KVKK rehberi: Kişisel Veri Nedir? Örneklerle Açıklaması
“Kişisel veri, kimliği belirli ya da belirlenebilir bir gerçek kişiye ilişkin her türlü bilgidir. Ad, telefon, e-posta, kimlik numarası, adres, IP adresi, konum bilgisi, hatta bir kişiyi tanınır kılan fotoğraf veya ses kaydı kişisel veridir. Tek başına ya da başka bilgilerle birleşince bir kişiyi işaret eden her bilgi bu kapsama girer. ”
Kavramın küresel standardı, AB Genel Veri Koruma Tüzüğü'nün (GDPR) tanımıdır; Türkiye'deki karşılığı olan KVKK da neredeyse aynı tanımı kullanır.[1] Bu yüzden burada anlattığımız çerçeve, hangi ülkede iş yaparsanız yapın geçerlidir.
Kişisel veri tam olarak ne demek?
GDPR'ın 4. maddesi kişisel veriyi şöyle tanımlar: kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi.[2] Tanımın kalbi "belirlenebilir" kelimesinde saklı.
Bir bilgi, kişiyi iki şekilde işaret edebilir:
Doğrudan: Bilgi tek başına kişiyi gösterir. Ad-soyad, kimlik numarası, "bordrolu çalışan Ayşe Yılmaz" gibi.
Dolaylı: Bilgi tek başına yetmez ama başka verilerle birleşince kişiyi ortaya çıkarır. Örneğin, "şirketin 3. kattaki tek sol elini kullanan yazılımcısı" kimseyi adıyla anmaz ama tek bir kişiyi işaret eder. Aynı şekilde bir IP adresi, müşteri numarası ya da plaka tek başına anonim görünür; doğru kayıtla eşleştirilince bir kişiye bağlanır.
İşte bu yüzden kişisel veri sandığınızdan çok daha geniş bir kümedir. Bir bilginin üzerinde isim yazmıyor olması, onu kişisel veri olmaktan çıkarmaz.
Hangi bilgiler kişisel veri sayılır?
Günlük hayatta sürekli kişisel veriyle iç içeyiz. Tipik örnekler:
Ad-soyad, kimlik numarası, doğum tarihi
Adres, telefon numarası, e-posta adresi
IP adresi, çerez (cookie) kimliği, cihaz tanımlayıcıları
Konum bilgisi (telefonun nerede olduğu)
Bir kişinin tanındığı fotoğraf, kamera görüntüsü veya ses kaydı
Araç plakası, müşteri numarası, sipariş geçmişi
Banka hesabı, maaş bilgisi, alışveriş alışkanlıkları
Bir kişiyi tanınır kılan herhangi bir şey, bu listede olmasa bile kişisel veri olabilir. Avrupa Birliği Adalet Divanı'nın klasikleşmiş bir kararında (Bodil Lindqvist), bir internet sayfasında kişilerin adlarıyla ya da telefon numaraları, çalışma koşulları veya hobileri gibi bilgilerle anılmasının dahi "kişisel veri işleme" sayıldığı sonucuna varılmıştı.³ Yani "sadece hobilerini yazdım" demek bile sizi kapsamın dışına çıkarmaz.
Neler kişisel veri sayılmaz?
Her bilgi kişisel veri değildir. İki önemli istisna:
Şirketlere ve tüzel kişilere ait bilgiler. Kişisel veri yalnızca gerçek kişileri (insanları) korur. Bir şirketin ticari unvanı, vergi numarası veya genel kurumsal e-posta adresi (info@...) kural olarak kişisel veri değildir. Ancak dikkat: "ayse.yilmaz@firma.com" gibi bir kişiyi işaret eden kurumsal e-posta yine kişisel veridir.
Tam anonimleştirilmiş veriler. Bir veri, hiçbir şekilde — ek bilgiyle bile — tekrar bir kişiye bağlanamayacak hale getirildiyse, artık kişisel veri değildir ve kapsam dışına çıkar.
Burada sık yapılan kritik bir hataya dikkat: takma adlandırma (pseudonymization) anonimleştirme değildir. Bir veri setinde isimleri "Kullanıcı-001" gibi kodlarla değiştirdiniz ama bir yerde hangi kodun kime ait olduğunu tutan bir anahtar varsa, o veri hâlâ kişisel veridir. Çünkü kişiye geri bağlanabilir. Gerçek anonimleştirme geri dönüşü imkânsız kılar; çoğu "anonimleştirdik" denen veri aslında yalnızca takma adlandırılmıştır.[4]
Bir de "özel nitelikli" kişisel veri var
Kişisel verilerin bir alt kümesi, sızması halinde kişiye daha ağır zarar verebileceği için ekstra korunur. Sağlık, din, etnik köken, biyometrik ve genetik veriler, cinsel hayat ve ceza mahkûmiyeti bilgileri bu gruptadır. Bunların işlenmesi çok daha katı kurallara tabidir. Bu konuyu ayrı bir yazıda ele alacağız.
Bu sizi neden ilgilendiriyor?
Bir işletme yürütüyorsanız, neredeyse kesinlikle kişisel veri işliyorsunuz: müşteri kaydı tutuyorsunuz, çalışan istihdam ediyorsunuz, web sitenizden form alıyorsunuz ya da kamera kullanıyorsunuz. Hangi bilgilerin kişisel veri olduğunu bilmek, veri koruma yükümlülüklerinizin nereden başladığını bilmek demektir. Bir sonraki adım, bu verilerle "ne yaptığınızın" — yani veri işlemenin — ne anlama geldiğini anlamaktır.
Sık sorulan sorular
IP adresi kişisel veri midir? Evet, çoğu durumda. IP adresi tek başına bir isim vermese de, ek kayıtlarla bir kişiye bağlanabildiği için "dolaylı olarak belirlenebilir" kapsamına girer ve kişisel veri sayılır. Dinamik IP adresleri de kişisel veri sayılır. Breyer vs. Bundesrepublik Deutschland kararında mahkeme, internet sağlayıcısının “veri sahibini, o kişi hakkında elinde bulunan ek verilerle tanımlamasına olanak tanıyan yasal imkânlara sahip olması” durumunun, “veri sahibini tanımlamak için kullanılmasının makul olduğu düşünülebilecek bir imkân” teşkil ettiğini ifade ederek dinamik IP adreslerinin de kişisel veri sayıldığına hükmetmiştir.
Şirketime ait bilgiler kişisel veri midir? Kural olarak hayır; kişisel veri yalnızca gerçek kişileri kapsar. Ancak bir çalışanı işaret eden bilgiler (kişisel e-posta, ad-soyad) kişisel veridir.
Anonim hâle getirdiğim veri hâlâ korunuyor mu? Veri gerçekten ve geri döndürülemez biçimde anonimleştirildiyse hayır. Ama yalnızca isimleri kodla değiştirdiyseniz (takma adlandırma) ve geri bağlama imkânı varsa, veri hâlâ kişisel veridir.
Fotoğraf veya ses kaydı kişisel veri midir? Kişiyi tanınır kılıyorsa, evet. Bir kişinin yüzünün göründüğü kamera görüntüsü ya da sesinden tanınabildiği bir kayıt kişisel veridir.
Dipnotlar
[^1]: KVKK — 6698 sayılı Kişisel Verilerin Korunması Kanunu, Madde 3(1)(d): "Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi … ifade eder." GDPR'ın tanımıyla neredeyse özdeştir; iki metin de "belirlenebilir gerçek kişi" ölçütünü esas alır.
[²]: GDPR — Genel Veri Koruma Tüzüğü, Madde 4(1) (özgün metin): "'personal data' means any information relating to an identified or identifiable natural person ('data subject'); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person."
[³]: Avrupa Birliği Adalet Divanı (ABAD), Bodil Lindqvist, C-101/01, 6 Kasım 2003. Divan, bir internet sayfasında kişilerin adlarıyla ya da telefon numarası, çalışma koşulları veya hobileri gibi ayrıntılarla anılmasının "kişisel verilerin (kısmen otomatik yollarla) işlenmesi" sayıldığına hükmetmiştir. Karar, "kişisel veri" kavramının ne kadar geniş yorumlandığını gösteren temel içtihatlardandır.
[^4]: GDPR — Resital 26. Veri koruma ilkeleri, anonim bilgilere — yani kimliği belirli veya belirlenebilir bir kişiye ilişkin olmayan ya da kişinin artık belirlenemeyeceği biçimde anonim hale getirilmiş verilere — uygulanmaz. Buna karşılık, ek bilgi kullanılarak bir kişiye yeniden atfedilebilen takma adlı (pseudonymised) veriler, belirlenebilir bir kişiye ilişkin bilgi sayılır ve kişisel veri olarak korunmaya devam eder.
Bu içerik genel bilgilendirme amaçlıdır, hukuki danışmanlık niteliği taşımaz. Somut durumunuz için profesyonel destek alınız.
Şirketinizin hangi verileri işlediğini ve bunun sizi hangi yükümlülüklere soktuğunu netleştirmek isterseniz, Arifoğlu & Aydın olarak ücretsiz bir ön değerlendirme sunuyoruz. Bizimle buradan iletişime geçebilirsiniz.
