Kişisel Verilerin İşlenmesi Nedir? (Otomatik ve Otomatik Olmayan Yöntemler)

1. Kişisel Verilerin İşlenmesi Kavramı

Kişisel verilerin işlenmesi, bir bireyi doğrudan veya dolaylı olarak tanımlayan bilgiler üzerinde gerçekleştirilen her türlü faaliyeti kapsar. Bunlar; kimlik, iletişim, finansal durum, sağlık, konum, aile bilgileri gibi kişiyi belirlenebilir kılan tüm veri türleri olabilir.

İşleme; yalnızca verinin ilk kez elde edilmesi değil, aynı zamanda:

• Toplanması ve kaydedilmesi,
• Saklanması ve muhafaza edilmesi,
• Değiştirilmesi, güncellenmesi veya yeniden düzenlenmesi,
• Analiz edilmesi veya raporlanması,
• Aktarılması, paylaşılması, ifşa edilmesi,
• Sınıflandırılması veya profilleme amacıyla kullanılması,
• Silinmesi, yok edilmesi veya anonim hale getirilmesi

gibi çok sayıda adımı içerir. Bu nedenle, “işleme” kavramı hukuki açıdan son derece geniş bir şemsiye terimdir ve veriyle temas eden neredeyse tüm süreçlere uygulanır.

2. Otomatik ve Otomatik Olmayan İşlemler: İşlenme Çeşitliliği

Kişisel veriler, günümüzde çoğunlukla otomatik sistemler aracılığıyla işlenmektedir. Ancak KVKK açısından, otomatik olmayan (manuel) işleme yöntemleri de belirli koşullarda aynı şekilde kapsam dâhilindedir.

2.1. Otomatik Veri İşleme

Otomatik veri işleme; bilgisayar programları, yazılımlar, uygulamalar veya algoritmalar üzerinden yapılan, insan müdahalesinin asgari olduğu işleme türlerini ifade eder. Örneğin:

• CRM sistemine otomatik müşteri kaydı,
• Mobil uygulama üzerinden toplanan davranışsal verilerin analizi,
• Bulut tabanlı platformlarda tutulan kullanıcı kayıtları,
• Otomatik e-posta kampanyaları için profil ve segment oluşturma.

2.2. Otomatik Olmayan (Manuel) Veri İşleme

Otomatik olmayan veri işleme ise, veri kayıt sisteminin bir parçası olmak kaydıyla manuel yollarla gerçekleştirilen faaliyetlerdir. Örneğin:

• Müşteri bilgilerinin elle doldurulan formlarla alınması ve klasörlerde saklanması,
• Hastane veya kliniklerde kağıt hasta dosyalarının dosyalanması,
• Personel özlük dosyalarının fiziksel arşivlerde tutulması.

Özetle: İşlemenin otomatik veya manuel olması; yükümlülüğü ortadan kaldırmaz. Veri kayıt sistemi kapsamında yapılan her iki işleme türü de KVKK bakımından kişisel veri işleme faaliyeti olarak kabul edilir.

3. Fiziksel ve Dijital İşlemler: Veri İşleme Ortamları

Kişisel verilerin işlenmesi yalnızca dijital ortamda gerçekleşen faaliyetlerle sınırlı değildir. Verilerin fiziksel ortamda saklanması dahi hukuki açıdan bir işleme faaliyeti olarak kabul edilir.

3.1. Dijital (Elektronik) İşleme Ortamları

• Sunucular, bulut ortamları, veri merkezleri,
• Hard disk, SSD, NAS ve benzeri depolama birimleri,
• CRM, ERP, HR yazılımları ve mobil uygulamalar,
• E-posta sistemleri ve mesajlaşma araçları.

3.2. Fiziksel (Kağıt) İşleme Ortamları

• Dosya dolapları, arşiv odaları, klasör sistemleri,
• Basılı formlar, sözleşmeler, talep ve dilekçe dosyaları,
• Ziyaretçi defterleri, imza sirküleri, el yazılı kayıtlar.

Örneğin, bir kuruluşun hard disk veya sunucularda kişisel verileri saklaması da; yine aynı kuruluşun basılı sözleşmeleri klasörlerde muhafaza etmesi de birer veri işleme faaliyetidir ve ilgili mevzuata uygun yürütülmelidir.

4. İşleme Faaliyetlerinin Kapsamı: Verilerin Yönetimi

Kişisel verilerin işlenmesi, pratikte oldukça geniş bir faaliyet yelpazesini kapsar. Veri yaşam döngüsündeki hemen her adım, “işleme” olarak değerlendirilir:

• Toplama: Form, uygulama, çağrı merkezi, sözleşme veya log kayıtları üzerinden veri elde edilmesi.
• Kaydetme: Verilerin sistemlere veya fiziksel dosyalara ilk kez işlenmesi.
• Saklama: Verilerin belirli süreler boyunca güvenli biçimde korunması.
• Değiştirme / Güncelleme: Adres, iletişim bilgisi, unvan gibi alanların revize edilmesi.
• Analiz / Raporlama: İstatistiksel çalışma, performans değerlendirmesi veya risk analizi yapılması.
• Aktarma / Paylaşma: Verilerin üçüncü kişilere, iş ortaklarına veya kamu kurumlarına iletilmesi.
• Sınıflandırma / Profilleme: Müşterilerin segmentlere ayrılması, risk skorlanması vb.
• Silme / Yok Etme / Anonimleştirme: Saklama süresi dolan verilerin sistemlerden çıkarılması veya anonim hale getirilmesi.

Özellikle dijitalleşmenin artmasıyla birlikte; bu faaliyetler daha karmaşık hale gelmiş, veri güvenliği, gizlilik ve birey mahremiyeti kavramları kurumsal risk yönetiminin ayrılmaz bir parçası olmuştur.

5. Kişisel Veri İşleme Örnekleri

Kavramı somutlaştırmak için farklı sektörlerden bazı işleme örneklerini inceleyelim:

• Perakende ve e-ticaret:
  Müşteri kayıtlarının alınması, sipariş geçmişinin saklanması, fatura bilgilerinin oluşturulması, kişiye özel kampanya gönderimi.
• Sağlık sektörü:
  Hasta kayıtlarının oluşturulması, tanı ve tedavi bilgilerinin saklanması, laboratuvar sonuçlarının ilgili uzmanlarla paylaşılması.
• Bankacılık ve finans:
  Kredi başvuru formlarının alınması, risk skorlaması yapılması, kimlik ve gelir belgelerinin arşivlenmesi, MASAK bildirimi gibi yasal yükümlülüklere dayalı aktarımlar.
• İnsan kaynakları:
  Aday özgeçmişlerinin toplanması, mülakat notlarının saklanması, personel özlük dosyalarının yönetilmesi, bordro ve yan hak süreçleri.
• Telekom ve teknoloji şirketleri:
  Trafik ve lokasyon verilerinin işlenmesi, abonelik sözleşmelerinin saklanması, çağrı merkezi kayıtlarının tutulması.

Bu örneklerin her biri, farklı hukuki dayanaklar ve ilkelere tabi olsa da ortak nokta, hepsinin kişisel veri işleme faaliyeti olmasıdır.

6. Veri Koruma ve Yasal Düzenlemeler: Bireylerin Hakları

Kişisel verilerin işlenmesi, bireylerin temel hak ve özgürlüklerini doğrudan etkilediği için; pek çok ülke ve bölge bu alanı özel kanunlarla düzenlemiştir. Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Avrupa Birliği’nde GDPR bu alandaki en önemli düzenlemelerdendir.

Bu düzenlemelerin temel amaçları:

• Bireylerin verileri üzerinde kontrol sahibi olmasını sağlamak,
• Veri sorumlularının şeffaf, hesap verebilir ve ölçülü hareket etmesini zorunlu kılmak,
• Veri güvenliğini sağlayacak teknik ve idari tedbirleri tanımlamak,
• İhlal durumunda uygulanacak idari ve cezai yaptırımları belirlemek.

Bu çerçevede bireyler; bilgi alma, düzeltme, silme, işleme faaliyetlerine itiraz etme, zararın tazminini talep etme gibi haklara sahiptir. Veri sorumluları ise, bu haklara saygı göstererek talepleri süresi içinde yanıtlamakla yükümlüdür.

7. Etik İlkeler ve Sorumluluk: Veri İşleme Süreçleri

Kişisel verilerin işlenmesi sadece teknik ve hukuki bir konu değil, aynı zamanda etik bir sorumluluktur. Veri sorumluları ve veri işleyenler, yasal sınırların ötesinde, bireylerin mahremiyetine saygılı, şeffaf ve adil bir yaklaşım benimsemelidir.

• Şeffaflık: İlgili kişiye, verilerinin neden, nasıl ve ne kadar süreyle işlendiği açıkça anlatılmalıdır.
• Veri minimizasyonu: İhtiyaç duyulmayan, amaçla ilgisiz veriler toplanmamalı ve saklanmamalıdır.
• Güvenlik: Veriler, teknik ve idari tedbirlerle yetkisiz erişim ve kötüye kullanıma karşı korunmalıdır.
• Hesap verebilirlik: Veri sorumluları, aldıkları kararları ve süreçleri belgelendirip gerektiğinde denetimlere sunabilmelidir.

Sonuç olarak; kişisel verilerin doğru ve güvenli bir şekilde işlenmesi hem bireylerin mahremiyetini koruma amacını taşır, hem de veri işleyen kuruluşlar için itibar, güven ve uyum açısından stratejik bir zorunluluktur.

8. Kurumlar İçin Yol Haritası: Kişisel Veri İşleme Süreçlerini Güçlendirmek

Kişisel verilerin işlenmesini KVKK ve diğer mevzuatlarla uyumlu hâle getirmek için kurumlar aşağıdaki adımları izleyebilir:

1. Veri Envanteri Çıkarma:
   Hangi departmanın, hangi kategoride kişisel veri topladığını, hangi süreçlerde işlediğini ve hangi sistemlerde sakladığını envanterleyin.
2. Hukuki Dayanak Analizi:
   Her işleme faaliyeti için; açık rıza, sözleşme, kanuni yükümlülük, meşru menfaat gibi hukuki sebebi belirleyin.
3. Politika ve Prosedürler:
   Kişisel veri işleme, saklama, imha, erişim yönetimi ve ihlal bildirim süreçleri için yazılı kurallar ve iş akışları oluşturun.
4. Teknik ve İdari Tedbirler:
   Erişim kontrolü, şifreleme, loglama, yedekleme, fiziksel güvenlik gibi tedbirlerle veri güvenliğini güçlendirin.
5. Eğitim ve Farkındalık:
   Çalışanları düzenli olarak KVKK, gizlilik ve bilgi güvenliği konusunda eğitin; pratik örneklerle farkındalık oluşturun.
6. Hak Yönetimi ve İhlal Süreçleri:
   İlgili kişi taleplerini (erişim, düzeltme, silme vb.) ve veri ihlallerini yönetmek için net bir prosedür tanımlayın.