İlgili Kişi Kimdir? Tüzel Kişi Verileri KVKK’ya Göre Nasıl Değerlendirilir?
Veri koruma hukukunda “ilgili kişi”, kişisel verileri işlenen gerçek kişiyi ifade eder. KVKK ve benzeri düzenlemeler, bu gerçek kişilerin verilerinin gizliliğini ve güvenliğini korumayı amaçlar. Bu çerçevede, kural olarak tüzel kişilere ait veriler kapsam dışı bırakılmıştır.
Ancak, tüzel kişiye ait bir veri; bir gerçek kişiyi doğrudan veya dolaylı olarak belirliyor ya da belirlenebilir kılıyorsa, artık kişisel veri niteliği kazanır ve koruma kapsamına girer. Dolayısıyla tüzel kişi verilerinin değerlendirilmesinde asıl odak, tüzel kişinin çıkarları değil, bu verilerle ilişkilendirilebilen gerçek kişilerin hak ve özgürlükleridir.
Bu rehberde; ilgili kişi kavramını, tüzel kişilere ait verilerin hangi durumlarda koruma kapsamına girdiğini ve veri işleme süreçlerinde doğan sorumlulukları sade bir dille ele alıyoruz.
İlgili kişi = Kişisel verisi işlenen gerçek kişi.
Tüzel kişi verileri kural olarak kapsam dışı; ancak bir gerçek kişiyi belirlenebilir kılıyorsa
kişisel veri sayılır ve korunur.
Veri koruma hukukunda asıl odak, tüzel kişilerin değil; verilerle ilişkili gerçek kişilerin mahremiyeti ve haklarıdır.
1. İlgili Kişi Kavramı Nedir?
Veri koruma mevzuatında ilgili kişi, kişisel verileri işlenen gerçek kişiyi ifade eder. Yani, bir veri işleme faaliyeti sonucunda kimliği belirli veya belirlenebilir hale gelen kişi ilgili kişidir.
Bu nedenle, veri koruma yasalarının odağında tüzel kişiler değil, gerçek kişilerin özel hayatlarının gizliliği ve veri güvenliği yer alır. Yasal düzenlemeler, yalnızca gerçek kişilere ait verilerin korunacağını açıkça vurgular; tüzel kişilere ait veriler kural olarak bu kapsamın dışındadır.
2. Tüzel Kişilere Ait Veriler Neden Kural Olarak Kapsam Dışıdır?
Şirketler, dernekler, vakıflar gibi tüzel kişiler de çeşitli veriler üretir ve bu veriler işlenir. Ancak veri koruma hukuku, tüzel kişilerin değil, gerçek kişilerin temel hak ve özgürlüklerini korumayı hedeflediği için, tüzel kişiye ait veriler doğrudan kişisel veri sayılmaz.
Örneğin:
- Bir şirketin vergi numarası,
- Ticaret sicil numarası,
- Genel merkez adresi,
- Kurumsal unvanı
gibi veriler, doğrudan tüzel kişiye ilişkindir ve kural olarak kişisel veri koruma rejiminin kapsamı dışında değerlendirilir.
3. Tüzel Kişi Verilerinin Gerçek Kişiyi Belirlediği Durumlar
Her ne kadar tüzel kişi verileri kural olarak kapsam dışı olsa da, bu veriler bir gerçek kişiyi belirliyor veya belirlenebilir kılıyorsa, bu durumda kişisel veri koruma rejimi devreye girer.
Örneğin:
- Şirket ortağının, tek başına şirketi temsil etmeye yetkili bir gerçek kişi olması ve buna ilişkin bilgilerin işlenmesi,
- Tüzel kişi verisinin; belirli bir yönetici, imza yetkilisi veya hissedarla kolayca ilişkilendirilebilmesi,
- Tüzel kişi verilerinin, başka veri setleriyle birleştiğinde belirli bir gerçek kişinin kimliğini ortaya çıkarabilmesi.
Bu durumda veri seti, artık yalnızca tüzel kişiye ait bir veri olmaktan çıkar ve gerçek kişiyi belirlenebilir kılan kişisel veri niteliği kazanır. Böylece, veri işleme faaliyetinin KVKK ve benzeri düzenlemelere uygun olması zorunlu hale gelir.
4. Tüzel Kişi Verilerinde Korunma İlkesi
Tüzel kişilere ait verilerin korunmasındaki temel prensip, tüzel kişinin menfaatlerini korumak değil; bu verilerle bağlantılı gerçek kişilerin gizliliğini ve haklarını güvence altına almaktır.
Örneğin; bir tüzel kişinin sahibi, ortağı veya yöneticisi gerçek bir kişiyse, bu kişiye ilişkin bilgiler (ad-soyad, iletişim bilgisi, imza yetkisi vb.) kişisel veri niteliğindedir ve koruma kapsamındadır.
Veri koruma yönetmelikleri, belirli görev veya pozisyonlar nedeniyle atanmış ya da atanacak gerçek kişilere öncelik tanır. Bu, tüzel kişilerin hukuki konumunun yanında, o tüzel kişiyi temsil eden gerçek kişilerin verilerinin de korunmasını kapsar.
5. Tüzel Kişi Verilerinin İşlenmesi ve Sorumluluklar
Tüzel kişiye ait verilerin işlenmesi de, içinde gerçek kişiyi belirlenebilir kılan unsurlar barındırıyorsa; diğer kişisel veriler gibi yasal düzenlemelere uygun biçimde yürütülmelidir.
Bu çerçevede:
- Veri işleme amaçları açık, meşru ve belirli olmalı,
- Veri toplama ve işleme sırasında gerekli hukuki sebepler ve rızalar (gerekiyorsa) temin edilmeli,
- Verilerin güvenliği ve gizliliği için teknik ve idari tedbirler alınmalı,
- Veri ihlali durumunda ilgili kişi ve mercilere gerekli bildirimler yapılmalı,
- İlgili kişilerin erişim, düzeltme, silme gibi haklarına saygı gösterilmelidir.
Kısacası, veri seti tüzel kişi verisi gibi görünse bile, arka planda gerçek kişiye dokunduğu ölçüde veri sorumlularının aynı titizliği göstermesi beklenir.
6. Sonuç Olarak
İlgili kişi kavramı, veri koruma hukukunun merkezinde yer alır ve kişisel verileri işlenen gerçek kişileri ifade eder. KVKK ve benzeri düzenlemeler, bu kişilerin verilerini koruma altına alır.
Tüzel kişilere ait veriler, kural olarak kişisel veri koruma rejiminin dışında olsa da; bir gerçek kişiyi doğrudan veya dolaylı olarak belirlenebilir kıldığı ölçüde kişisel veri haline gelir ve koruma kapsamına girer. Bu nedenle veri işleme süreçlerinde:
- Sadece “tüzel kişi verisi” denilerek rehavet içine girilmemeli,
- Verilerin hangi gerçek kişilerle ilişkilendirilebildiği dikkatle analiz edilmeli,
- İlgili kişilerin haklarına ve veri koruma ilkelerine aynı titizlikle uyulmalıdır.
Sonuç olarak, veri koruma süreçleri; ister gerçek kişi ister tüzel kişi verisi işlensin, insan odaklı bir yaklaşımla tasarlanmalı ve ilgili kişilerin haklarına saygı temel ilke olarak kabul edilmelidir.
7. Sık Sorulan Sorular (SSS)
7.1 İlgili kişi kimdir?
İlgili kişi, kişisel verileri işlenen gerçek kişidir. Bir veri işleme faaliyeti sonucunda kimliği belirli veya belirlenebilir hale gelen herkes ilgili kişi sayılır.
7.2 Tüzel kişiye ait veriler hiçbir zaman kişisel veri sayılmaz mı?
Hayır. Tüzel kişiye ait veriler kural olarak kapsam dışıdır; ancak bu veriler bir gerçek kişiyi belirliyor veya belirlenebilir kılıyorsa kişisel veri sayılır ve koruma kapsamına girer.
7.3 Şirket ortağının adı-soyadı tüzel kişi verisi midir?
Şirket ortağı gerçek bir kişi ise, bu kişinin adı-soyadı, pay oranı veya imza yetkisi gibi bilgiler kişisel veri niteliğindedir ve ilgili kişi hakları bu kişi için geçerlidir.
7.4 Tüzel kişiye ait e-posta adresi kişisel veri sayılır mı?
“info@...” gibi genel adresler çoğunlukla kişisel veri sayılmaz. Ancak “ad.soyad@...” formatındaki adresler, belirli bir gerçek kişiyi işaret ettiği için kişisel veri olarak değerlendirilebilir.
7.5 Tüzel kişi verileri işlenirken ilgili kişinin rızası gerekir mi?
Eğer veri seti gerçek kişiyi belirlenebilir kılıyorsa, diğer kişisel veri işleme faaliyetlerinde olduğu gibi; hukuki sebep analizi yapılmalı ve gerekiyorsa açık rıza alınmalıdır.
7.6 Tüzel kişi verilerinde veri ihlali olursa ilgili kişiye bildirim yapılmalı mı?
İhlal edilen veri seti gerçek kişilerin verilerini de içeriyorsa, ilgili kişilere ve gerekli hallerde yetkili otoriteye bildirim yapılması gerekir. Odak yine gerçek kişilerin hak ve özgürlükleridir.
