Kişisel Verilerin İşlenmesinin Şartları ve Sınırları (KVKK Rehberi)
Dijitalleşmenin hız kazandığı günümüzde kişisel veriler, kurumlar için stratejik bir varlık, bireyler için ise doğrudan mahremiyet ve güvenlik meselesi hâline gelmiş durumda. Bu nedenle kişisel verilerin işlenmesi, ancak belirli şartlar ve sıkı sınırlar çerçevesinde yürütüldüğünde hukuka ve etik ilkelere uygun kabul edilmektedir.
Bu rehberde, KVKK perspektifinden kişisel verilerin tanımı, işleme şartları, işleme sınırları ve kurumların uyması gereken temel ilkeler ele alınmaktadır. Amaç; hem bireylerin haklarını hem de kurumların sorumluluklarını aynı çerçevede netleştirmektir.
1. Kişisel Verilerin Tanımı ve Önemi
KVKK’ya göre kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Yalnızca ad–soyad gibi doğrudan tanımlayıcılar değil, tek başına anlam ifade etmeyen ancak bir araya geldiğinde belirli bir kişiyi işaret edebilen tüm veri setleri de kişisel veri kapsamına girer.
Bu kapsamda kişisel veriler; örneğin aşağıdaki bilgileri içerebilir:
- Ad, soyad, T.C. kimlik numarası, doğum tarihi,
- Adres, telefon numarası, e-posta adresi,
- IP adresi, cihaz bilgisi, çerez (cookie) kayıtları,
- Sosyal medya kullanıcı adı ve profil bilgileri,
- Konum verisi, log kayıtları, işlem geçmişi,
- Biyometrik veriler, sağlık verileri (özel nitelikli veri olarak ayrı rejime tabidir).
Kişisel verilerin önemi birkaç başlıkta özetlenebilir:
- Gizlilik ve güvenlik: Kimlik hırsızlığı, dolandırıcılık, hesap ele geçirme gibi risklere karşı koruma sağlar.
- Kişiselleştirilmiş hizmetler: Kurumların kullanıcı deneyimini iyileştirmesine imkân tanır.
- Pazarlama ve analitik: Hedef kitleyi tanıma, segmentasyon, pazar analizi süreçlerinde kullanılır.
- Kamu hizmeti ve güvenlik: Kamu otoritelerinin hizmet sunumu ve güvenlik faaliyetlerine temel oluşturur.
Kritik nokta: Kişisel veriler işlenirken gizlilik, güvenlik ve şeffaflık ilkeleri gözetilmezse, bireylerin mahremiyeti zedelenir, kurumlar da ciddi idari para cezaları ve itibar kaybıyla karşı karşıya kalabilir.
2. Kişisel Verilerin İşlenmesinin Şartları
Kişisel verilerin işlenmesi, KVKK uyarınca kural olarak yasaktır; ancak Kanun’da sayılan işleme şartlarından en az birinin varlığı hâlinde hukuka uygun hâle gelir. Bu şartlar, hem ulusal mevzuat hem de uluslararası veri koruma standartları (örneğin GDPR) ile paralel yapıdadır.
2.1. Açık Rıza
Açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan onayı ifade eder. Kural olarak kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenemez. Açık rızanın;
- Belirli bir amaca yönelik olması,
- Açık ve anlaşılır bir dille alınması,
- Özgür iradeye dayanması (rıza vermemenin dezavantaj doğurmaması)
gerekmektedir.
2.2. Kanunlarda Açıkça Öngörülmesi
Bir kişisel veri işleme faaliyeti, herhangi bir kanunda açıkça öngörülmüşse, bu veri işleme faaliyeti için ayrıca açık rıza aranmayabilir. Örneğin vergi, sosyal güvenlik, iş hukuku veya bankacılık mevzuatından kaynaklanan yükümlülükler.
2.3. Fiili İmkânsızlık ve Hayati Menfaat
İlgili kişinin rızasını açıklayamayacak durumda olması veya rızasına hukuken geçerlilik tanınamayan hâllerde, kendisinin ya da bir başkasının hayati menfaatinin korunması için kişisel veri işlenmesi mümkündür.
2.4. Sözleşmenin Kurulması veya İfası
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşme taraflarına ait kişisel veriler işlenebilir. Örneğin:
- E-ticaret alışverişinde teslimat adresinin alınması,
- Hizmet sözleşmesi kapsamında iletişim ve fatura bilgilerinin işlenmesi.
2.5. Veri Sorumlusunun Hukuki Yükümlülüğü
Veri sorumlusunun tabi olduğu mevzuattan kaynaklanan hukuki yükümlülüklerin yerine getirilmesi için veri işlenmesi gereken durumlarda da açık rıza şartı aranmaz. Örneğin, kanuni saklama süreleri, bildirim yükümlülükleri vb.
2.6. Alenileştirme
İlgili kişi tarafından alenileştirilmiş kişisel veriler, alenileştirme amacıyla sınırlı olmak üzere işlenebilir. Ancak bu durum, verinin “hiçbir sınır olmaksızın serbestçe kullanılabileceği” anlamına gelmez; amaçla bağlantı, ölçülülük ve diğer ilkeler burada da geçerlidir.
2.7. Bir Hakkın Tesisi, Kullanılması veya Korunması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması hâlinde de ilgili kişiden ayrıca açık rıza aranmayabilir. Örneğin, dava süreçlerinde delil niteliğindeki kayıtların kullanılması gibi.
2.8. Meşru Menfaat
Veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olduğu durumlarda, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel veriler işlenebilir. Burada:
- Somut ve meşru bir menfaatin varlığı,
- Veri işleme ile bu menfaat arasında zorunlu bir bağ,
- İlgili kişinin hak ve özgürlükleriyle dengeli bir değerlendirme
yapılması gerekir.
Özet: Kişisel verilerin hukuka uygun işlenebilmesi için, açık rıza veya KVKK’da sayılan diğer işleme şartlarından en az birinin mutlaka karşılanması gerekir. “Her ihtimale karşı toplayalım” yaklaşımı, KVKK ile bağdaşmaz.
3. Kişisel Verilerin İşlenmesinin Sınırları
Kişisel verilerin işlenmesi yalnızca şartların sağlanmasıyla bitmez; aynı zamanda bir dizi sınır ve ilkeye de tabidir. Bu sınırlar, veri işleme faaliyetinin kapsamını ve derinliğini belirler.
3.1. Amaç Sınırlaması
Veriler, belirli, açık ve meşru amaçlarla işlenmeli; bu amaçla bağdaşmayan şekilde yeniden işlenmemelidir. Örneğin, üyelik için alınan bir e-posta adresinin, ilgili kişinin bilgisi ve yasal dayanak olmadan üçüncü taraf pazarlama faaliyetlerinde kullanılması, amaç sınırının ihlalidir.
3.2. Veri Minimizasyonu
İşleme faaliyetinin amacı ne ise, bu amaca gerçekten gerekli olan kişisel veriler işlenmelidir. “İleride lazım olur” düşüncesiyle gereğinden fazla veri toplanması, veri minimizasyonu ilkesine aykırıdır.
3.3. Doğruluk ve Güncellik
Kişisel veriler, doğru ve mümkün olduğunca güncel tutulmalıdır. Yanlış veya güncelliğini yitirmiş verilerle işlem yapılması, hem bireylerin haklarını zedeleyebilir hem de kurumları yanlış karar almaya sevk edebilir.
3.4. Saklama Süresi Sınırı
Veriler, ilgili mevzuatta öngörülen veya işleme amacının gerektirdiği süre boyunca saklanmalı; bu süre dolduğunda silme, yok etme veya anonimleştirme yöntemleriyle uygun şekilde imha edilmelidir.
3.5. Veri Güvenliği
Veri sorumluları, işledikleri kişisel verilerin:
- Yetkisiz erişime,
- Hukuka aykırı işlenmeye,
- Yanlışlıkla kayba, değişikliğe veya ifşaya
uğramaması için teknik ve idari tedbirleri almakla yükümlüdür. Bu kapsamda şifreleme, erişim kısıtları, log kayıtları, yedekleme, eğitim ve politika dokümanları gibi araçlar kritik önem taşır.
3.6. Paylaşım ve Aktarım Sınırları
Kişisel verilerin üçüncü taraflarla paylaşımı veya yurtdışına aktarımı, yalnızca ilgili yasal dayanaklar ve KVKK’da öngörülen şartlar dâhilinde mümkün olabilir. Aksi durumda veri ihlali ve ciddi yaptırım riski doğar.
Özet: Kişisel verilerin işlenmesinde “yeterince veri” anlayışı değil, “gerektiği kadar ve gerektiği süreyle veri” yaklaşımı esas alınmalıdır.
4. Veri İşleme İlkeleri (KVKK m.4 Perspektifi)
KVKK, kişisel verilerin işlenmesinde uyulması gereken temel ilkeleri net biçimde ortaya koyar. Bu ilkeler, veri işleme faaliyetlerinin “nasıl” yürütülmesi gerektiğine ilişkin bir çerçeve sunar:
- Hukuka ve dürüstlük kurallarına uygun olma,
- Doğru ve gerektiğinde güncel olma,
- Belirli, açık ve meşru amaçlar için işlenme,
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Bu ilkeler; hem işleme şartlarının hem de işleme sınırlarının uygulanabilir hale gelmesi için çatı niteliği taşır. Kurumların politika ve prosedürlerini bu çerçeveye göre şekillendirmeleri gerekir.
5. Özel Nitelikli Kişisel Veriler İçin Ek Sınırlar
Sağlık verileri, biyometrik veriler, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler gibi özel nitelikli kişisel veriler için KVKK’da daha sıkı bir koruma rejimi öngörülmüştür.
Bu verilerin işlenmesi, kural olarak:
- İlgili kişinin açık rızası bulunması veya
- Kanunda sayılan istisnai hâllerden birinin varlığı
durumunda mümkündür. Ayrıca veri güvenliği tedbirleri bakımından daha yüksek bir seviyede koruma sağlanması gerekir.
Öneri: Özel nitelikli veriler için kurum bünyesinde ayrı politikalar, ek erişim kısıtları, detaylı log mekanizmaları ve periyodik denetimler planlanmalıdır.
6. Veri Sahibi Hakları (Özet)
KVKK, kişisel verisi işlenen bireylere (ilgili kişiler) bir dizi hak tanımaktadır. Özetle:
- Kişisel veri işlenip işlenmediğini öğrenme,
- İşlenmişse buna ilişkin bilgi talep etme,
- İşleme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında verilerin aktarıldığı üçüncü kişileri bilme,
- Eksik veya yanlış işlenmişse düzeltilmesini isteme,
- İşleme şartlarının ortadan kalkması hâlinde silme veya yok etme talep etme,
- Otomatik sistemler yoluyla analiz edilmesi nedeniyle aleyhe bir sonucun ortaya çıkmasına itiraz etme,
- Kanuna aykırı işleme sebebiyle zarara uğraması hâlinde tazminat talep etme.
Kurumlar, bu hakların etkin kullanılabilmesi için başvuru süreçlerini, başvuru formu ve politika dokümanlarını şeffaf ve erişilebilir şekilde tasarlamalıdır.
7. Kurumlar İçin Uyum ve İyi Uygulama Önerileri
Kişisel verilerin işlenmesinin şart ve sınırlarına uyum, yalnızca hukuki bir zorunluluk değil; aynı zamanda kurumsal itibar ve güven açısından da kritik bir unsurdur. Kurumların atması gereken başlıca adımlar:
- Veri envanteri ve süreç haritaları çıkarmak,
- KVKK’ya uyumlu aydınlatma metinleri ve açık rıza dokümanları oluşturmak,
- Veri işleme şartları ile her süreci eşleştirmek (rıza, sözleşme, hukuki yükümlülük, meşru menfaat vb.),
- Teknik ve idari tedbirleri (Erişim kontrolleri, loglama, eğitim, politika) hayata geçirmek,
- Veri saklama ve imha politikası ile süre yönetimini netleştirmek,
- Yurt içi ve yurt dışı aktarımları sözleşmesel ve teknik tedbirlerle güvence altına almak,
- Periyodik denetim ve farkındalık eğitimleri ile sürdürülebilirlik sağlamak.
Unutulmaması gereken: KVKK uyumu bir “bir defalık proje” değil, kurumun tüm süreçlerine yayılması gereken sürekli bir yönetim kültürüdür.
8. Sonuç: Şartlara Uygun İşleme, Sınırlara Saygı ile Mümkündür
Kişisel verilerin işlenmesi, dijital çağda hem kaçınılmaz hem de vazgeçilmezdir. Ancak bu süreç, belirli şartlar ve net sınırlar çerçevesinde yürütüldüğünde hem bireyler hem de kurumlar için güvenli ve sürdürülebilir hâle gelir.
Açık rıza, kanuni yükümlülük, sözleşmesel gereklilik, meşru menfaat gibi işleme dayanaklarının doğru kurgulanması; veri minimizasyonu, saklama süresi, veri güvenliği ve amaç sınırlaması gibi ilkelerle desteklenmelidir.
Sonuç olarak; kişisel verilerin işlenmesinin şartları ve sınırlarına uygun hareket eden kurumlar, yalnızca ceza risklerini azaltmakla kalmaz, aynı zamanda veri sahiplerinin güvenini kazanarak dijital ekosistemde daha güçlü ve itibarlı bir konum elde eder.
Sık Sorulan Sorular: Kişisel Verilerin İşlenmesinin Şartları ve Sınırları
Kişisel veri nedir?
Kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Ad–soyad, iletişim bilgileri, IP adresi, konum verisi, işlem kayıtları, biyometrik veriler gibi bir kişiyi doğrudan veya dolaylı tanımlayan tüm bilgiler bu kapsama girer.
Kişisel verilerin işlenmesi ne anlama gelir?
Kişisel verilerin işlenmesi; verilerin elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, aktarılması, silinmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. Kısacası, veriye dokunan her faaliyet, KVKK açısından bir “işleme” olarak kabul edilir.
Kişisel veriler hangi şartlarla işlenebilir?
Kişisel veriler kural olarak ilgili kişinin açık rızasıyla işlenebilir. Ancak kanunlarda açıkça öngörülmesi, sözleşmenin ifası için zorunluluk, veri sorumlusunun hukuki yükümlülüğü, meşru menfaat, bir hakkın tesisi veya hayati menfaat gibi KVKK’da sayılan diğer işleme şartları varsa, açık rıza aranmaksızın da işlenebilir.
Kişisel verilerin işlenmesinin temel sınırları nelerdir?
Veriler; belirli, açık ve meşru amaçlarla işlenmeli, bu amaçla bağlantılı ve ölçülü olmalı, gereğinden fazla veri toplanmamalı, yalnızca gerekli süre boyunca saklanmalı ve uygun teknik/idari tedbirlerle korunmalıdır. Ayrıca veri güvenliği, veri minimizasyonu ve saklama süresi sınırları mutlaka gözetilmelidir.
Özel nitelikli kişisel verilerin işlenmesi için ek şart var mı?
Evet. Sağlık verileri, biyometrik veriler, ceza mahkûmiyeti bilgileri gibi özel nitelikli kişisel veriler daha sıkı kurallara tabidir. Kural olarak ilgili kişinin açık rızası veya kanunda öngörülen istisnai hâller bulunmaksızın işlenemez ve daha yüksek düzeyde güvenlik tedbirleri gerektirir.
Veri sahibi olarak hangi haklara sahibim?
KVKK kapsamında; kişisel verinizin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme, yanlış veya eksik işlenmişse düzeltilmesini isteme, işleme şartlarının ortadan kalkması hâlinde silinmesini talep etme ve kanuna aykırı işleme sebebiyle zarara uğramanız hâlinde tazminat talep etme gibi haklara sahipsiniz.

