İşlenen Kişisel Verilerin Silinmesi
6698 sayılı kanunun 3. Maddesinde “tanımlar” başlığı adı altında kanunun içerisinde kullanılan terimlere ilişkin tanımlar yapılmıştır.
Söz konusu kişisel verilerin işlenmesinde, verileri ilk defa elde edilmesi aşamasından başlayarak veriler üzerinde gerçekleştirilmiş olan tüm işlem türlerini ifade etmektedir. Kanun maddesi içerisinde yer alan her bir kavramı gerekçeleri ile birlikte bakacak olursak eğer;
a. Açık rıza kavramı ile ilk olarak başlayacak olursak, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade etmektedir. Açık rıza, 95/46 EC sayılı Direktif[1] dikkate alınarak tanımlanmaktadır.
Buna göre, açık rıza ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılmalıdır[2]. Açık rızada en önemli ve en dikkat edilmesi gerekli olan şey herhangi bir tereddüte yer bırakmaması gerekmektedir. Açık rıza alınırken hangi hususlara dikkat edilmesi gerektiği Kişisel Verileri Koruma Kurumu tarafından da açıkça belirtilmiştir. Söz konusu kurumun ana web sayfasında da belirtilmiş olan açık rıza konusunu da özetlemek gerekirse eğer[3], rızayı verecek olan kişinin “olumlu irade beyanı”nı içermesi gerekmekte, rızanın alınması yönünden de herhangi bir şekil şartı aranmamaktadır. Açık rıza çağrı merkezi veyahut elektronik ortam gibi yollarla da alınması mümkün olup, ispata ilişkin yükümlülük ise tamamen veri sorumlusuna aittir. Ayrıca ilgili kişinin vereceği açık rıza, işlenmesine izin verdiği verinin kapsamını, sınırlarını, gerçekleştirilme şeklini ve zamanını da belirlemesini sağlayacaktır. Yine açık rıza kişiye sıkı sıkıya bağlı haklardan biri olup, belirli bir konu ile sınırlanması gereken ve ilgili kişi tarafından da geri alınabilen bir haktır. Yine geri almak işlemi ileriye dönük bir işlem olduğundan veri sorumlusuna iletildiği andan itibaren sorumluluğa yol açmakta olup, veri sorumlusu tarafından durdurulması gerekmektedir.
Yine açık rıza kişiye sıkı sıkıya bağlı haklardan biri olup, belirli bir konu ile sınırlanması gereken ve ilgili kişi tarafından da geri alınabilen bir haktır. Yine geri almak işlemi ileriye dönük bir işlem olduğundan veri sorumlusuna iletildiği andan itibaren sorumluluğa yol açmakta olup, durdurulması gerekmektedir.
İşlenen verileri anonim hâle getirme
b. Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir. Yani burada kanun koyucu tarafından ifade edilmek istenen ve gerekçesinde de açıklamış olduğu husus şöyledir; verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade etmektedir.
Bu kapsamda, elde kalan veri üzerinden bir izleme yapılarak başka verilerle eşleştirme ve destekleme sonrasında verinin kime ait olduğu anlaşılabiliyorsa, bu verinin anonim hale getirildiği kabul edilemez demektedir. Özetleyecek olursak eğer, bir verinin başka bir veri ile eşleşebilme durumunun söz konusu olması halinde anonim bir veriden söz edemeyiz.
c. Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi olarak tanımlanmaktadır. Kanunun gerekçesinde bu durum şöyle açıklanmaktadır, kişisel verilerin belirli bi takım kriterler dahilinde yapılandırılarak işlendiği kayıt sistemini ifade etmektedir. Bu sistemler elektronik yahut fiziki ortamda oluşturulabilir. Bu konuya ilişkin kanunda herhangi bir şekil şartı öngörmemekle birlikte herhangi bir kısıtlama şartı da belirtmemiştir. Buna göre, veri kayıt sisteminde kişisel veriler, ad, soyad veya kimlik numarası üzerinden sınıflandırılabileceği gibi, kredi borcunu ödemeyenlere ilişkin oluşturulacak sınıflandırma da bu kapsamda değerlendirilecektir.
d. Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir. Yine kanunu gerekçesine baktığımızda kanun maddesinin oluşumunda yer alan nedeni açıkça görmekteyiz. Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olanlardır. Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumlan, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir. Kanun metninden ve gerekçesinden de anlaşılacağı üzere kanun koyucu burada salt gerçek kişiyi veri sorumlusu olarak tanımlamamış aynı zamanda tüzel kişilikleri olan kurumların da veri sorumlusu olabilecekleri hususunu belirtmiştir.
e. Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade etmektedir. Yine veri sormulusunun yer almasının altında yatan kanuni gerekçe şu şekilde ifade edilmektedir; Veri işleyen, veri sorumlusu adına verileri işleyen gerçek ve tüzel kişilerdir. Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen çalışanlar olabileceği gibi, veri sorumlusunun hizmet satın almak suretiyle belirlediği ayrı bir gerçek veya tüzel kişi de olabilir. Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu, hem de veri işleyen olabilir. Örneğin, bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından ise veri işleyen olarak kabul edilecektir. Gerçek kişi mi yoksa tüzel kişi mi olacağı hususu burada da açıkça belirtilmiş olup her iki kişilik tarafından da gerçekleştirilebilmektedir
f. İlgili kişi kavramı Kişisel Verileri Koruma Kurumu tarafından verilen kararlarda da çoğunlukla adı geçen kişisel verisi işlenen gerçek kişiyi ifade etmektedir.
[1] https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:31995L0046&from=EN
[2] https://www.sinerjimevzuat.com.tr/
[3] https://www.kvkk.gov.tr/Icerik/2037/Acik-Riza-Alirken-Dikkat-Edilecek-Hususlar