Kişisel Veri Nedir, Özel Nitelikli Kişisel Veriler Nelerdir
Kişisel veri nedir konusuna değinmeden önce bu konuya nereden geldik biraz değinmek yerinde olacaktır. 2010 senesinde yapılan değişiklikle beraber, T.C. Anayasası’nın 20. maddesine eklenen fıkrayla kişisel verilerin korunması anayasal güvenceye alınarak, kişisel verilerin korunmasına ilişkin usul ve esasların yapılacak kanunda düzenleneceği karara bağlanmıştır. Bu kapsamda, 07.04.2016 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) yürürlüğe girmiştir. Bu kanunla da kişisel verileri işleyen kişilerin yükümlülükleri ve kişisel veri işleme politikası belirlenmiştir.
Kişisel Veri Nedir?
Kişisel veri, kimliği belirlenebilir ya da belirli gerçek kişilere ilgili her çeşit bilgiyi ifade eder. Kişisel veriden bahsedebilmek için, verinin gerçek bir kişiye ait olması ve bahse konu kişinin de belirli veya belirlenebilir nitelikte olması gerekmektedir. Kişinin şahsi, ailevi ve mesleki niteliklerini gösteren, o şahsı diğer şahıslardan ayıran ve özelliklerini ortaya koyan her türlü bilgidir. Buna göre;
- Gerçek kişiye ait olma: Kişisel veri gerçek kişiyle ilişkindir, tüzel kişilere ait veriler ise kişisel veri tanımı kapsamı dışındadır. Bu sebeple, bir şirketin adresi veya ticaret unvanı gibi bilgiler (gerçek bir kişiyle ilişkilendirilme durumları haricinde) kişisel veri kapsamına girmeyecektir.
- Gerçek kişiyi belirlenebilir ya da belirli kılması: Kişisel veri, ilgili kişinin direkt kimliğini gösterebileceği gibi o kişi kimliğini doğrudan belirtmemekle birlikte, herhangi bir kayıt ile ilişkilendirilmesi neticesinde kişiyi belirlenmeyi sağlayan bütün bilgileri de kapsar.
- Her türlü bilgi: Bu ifadenin kapsamı biraz geniş olup gerçek kişinin adı, soyadı, doğum yeri ve doğum tarihi gibi yalnızca onun kesin teşhisini sağlayan veriler değildir. SGK numarası, parmak izleri, kredi kartı, telefon numarası, pasaport numarası, araç plakası, özgeçmiş, kişisel inanç ve düşünceleri, görüntü, ses kayıtları, resim, ikametgâh adresi, eposta adresi, hobileri, alışveriş alışkanlıkları, tercihleri, etkileşimde bulunduğu kişiler, dernek, sendika vb. grup üyelikleri, cinsel yaşamı, sağlık, istihdam, eğitim ve aile bilgileri gibi kişileri doğrudan ya da dolaylı olarak belirten tüm bilgiler de kişisel veri olarak kabul edilmektedir.
Kanunda hangi verilerin kişisel veri olarak kabul göreceğine ilişkin sınırlı sayım esası benimsendiğinden, kapsamın genişletilmesi de imkân dâhilindedir. Burada önemli olan husus bu bilgilerin kişisel veri olup olmadığı her somut olayın niteliğine göre ‘kişiyi tanımlama’ yeteneği dikkate alınarak değerlendirilmelidir.
Ayrıca 25 Mayıs 2018’de yürürlüğe giren 2016/679 Avrupa Birliği Genel Veri Koruma Tüzüğü’nde (GDPR) ise kişisel veri aşağıdaki şekilde tanımlanmıştır;
“Kişisel veriler; tanımlanabilir veya tanımlanmış gerçek bir kişiyle alakalı herhangi bir bilgi anlamına gelir. Veri konusu; tanımlanabilir bir gerçek kişi, dolaylı ya da doğrudan olarak, özellikle bir ad, kimlik numarası, konum verileri, çevrimiçi bir tanımlayıcı veya o gerçek kişinin fizyolojik, genetik, zihinsel, fiziksel, ekonomik, kültürel veya sosyal kimliği”
(Hassas) Özel Nitelikli Veri Nedir?
Hassas, özel nitelikli kişisel veriler, başkaları tarafından öğrenildiğinde ilgili kişinin mağduriyetine veya ayrımcılığa maruz kalmasına sebep olabilecek özellikte verilerdir. Hangi verilerin özel nitelikli veri olduğu kanunda açıkça belirtilmiş olup, bunlar dışındakiler özel nitelikli kişisel veri olarak kabul göremez.
Özel Nitelikli Kişisel Veriler Nelerdir?
Şahısların etnik kökeni, ırkı, dini, siyasi düşüncesi, felsefi inancı, mezhebi veya diğer inançları, vakıf, sendika ya da dernek üyeliği, kılık ve kıyafeti, cinsel hayatı, sağlığı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileriyle genetik ve biyometrik verileri özel nitelikli kişisel verilerdendir. Bireyin sağlık verisi, kişinin ruhsal ve fiziksel ve sağlığına ilişkin her çeşit veriyle kişiye sunulan sağlık hizmetiyle ilişkin bilgilerdir. Tahlil sonuçları, geçirilen hastalıklar, kullanılan ilaçlar gibi veriler bireysel sağlık verileridir. Bu sağlık verisi de özel nitelikli kişisel veri kapsamındadır. Bu kapsamda özel nitelikli kişisel veriler hassas veriler olduğundan dolayı daha fazla korunması gerektiği değerlendirilebilir.
Hem GDPR hem de KVKK tanımlarından kişisel veri nedir konusuna ilişkin çıkarılması gereken en önemli husus belirlenebilirlik kavramıdır.