Detaylı Açıklama
Kişisel veri, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) 3. maddesinde “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Bu tanım son derece geniş kapsamlıdır; bir bilginin kişisel veri sayılabilmesi için doğrudan kişiyi tanımlaması şart değildir, diğer verilerle birleştirildiğinde kişinin belirlenmesine olanak tanıması yeterlidir. Anayasa’nın 20. maddesi de kişisel verilerin korunmasını temel bir hak olarak güvence altına almıştır.
Kişisel veriler genel nitelikli ve özel nitelikli olmak üzere ikiye ayrılır. Genel nitelikli kişisel veriler ad, soyad, doğum tarihi, telefon numarası, e-posta adresi, fotoğraf ve adres gibi bilgileri kapsar. KVKK m.6’da tanımlanan özel nitelikli kişisel veriler ise ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, kılık kıyafet, dernek veya sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve biyometrik ile genetik verileri içerir. Özel nitelikli veriler, kötüye kullanılma riski nedeniyle daha katı koruma rejimine tabidir.
Hukuki Dayanak ve Uygulama
KVKK m.5 uyarınca kişisel verilerin işlenmesi kural olarak ilgili kişinin açık rızasına bağlıdır. Ancak kanunda belirtilen istisnai hallerde (sözleşmenin ifası, yasal yükümlülük, meşru menfaat gibi) açık rıza aranmaz. Özel nitelikli kişisel verilerin işlenmesinde ise KVKK m.6 gereğince çok daha sıkı koşullar geçerlidir; sağlık ve cinsel hayat dışındaki özel nitelikli veriler ancak kanunda açıkça öngörülmesi halinde rıza olmaksızın işlenebilir.
Veri sorumlusu, kişisel verilerin işleme amacını ve vasıtalarını belirleyen gerçek veya tüzel kişidir. Veri sorumluları, KVKK m.10 gereğince aydınlatma yükümlülüğünü ve m.12 gereğince veri güvenliğine ilişkin teknik ve idari tedbirleri almak zorundadır. Kişisel Verileri Koruma Kurumu, KVKK’nın uygulanmasını denetleyen bağımsız idari otoritedir ve veri ihlallerinde idari para cezası uygulama yetkisine sahiptir.
Sık Karşılaşılan Durumlar
Uygulamada en sık karşılaşılan sorunlar arasında açık rıza alınmadan pazarlama amaçlı veri işlenmesi, çalışan verilerinin üçüncü kişilerle hukuka aykırı paylaşılması, veri ihlali bildiriminin süresinde yapılmaması ve aydınlatma yükümlülüğünün eksik yerine getirilmesi yer alır. Kişisel Verileri Koruma Kurulu, 2026 yılı itibarıyla veri ihlalleri nedeniyle milyonlarca lira idari para cezası uygulamıştır. İlgili kişiler KVKK m.11 kapsamında verilerinin silinmesini, yanlış verilerin düzeltilmesini ve verilerin hangi üçüncü kişilere aktarıldığının öğrenilmesini talep edebilir. Başvuruya otuz gün içinde yanıt verilmemesi veya yetersiz yanıt verilmesi halinde Kurul’a şikâyet hakkı doğar.