KVKK’nın Kapsamı Gerçek Kişiler, Tüzel Kişiler ve Kanun Kapsamı Dışındaki Durumlar
Kişisel Verilerin Korunması Kanunu (KVKK), bireylerin özel yaşamlarını ve kişisel verilerini korumayı hedefleyen temel bir veri koruma mevzuatıdır. Kanun; kişisel verilerin işlenmesi, saklanması, aktarılması ve güvenliğinin sağlanması süreçlerinde hem bireylerin temel hak ve özgürlüklerini korumayı, hem de veri işleyen gerçek ve tüzel kişilere öngörülebilir bir hukuki çerçeve sunmayı amaçlar.
KVKK’nın kapsamı, kural olarak kişisel verileri işlenen gerçek kişileri korur. Ancak uygulamada her veri işleme faaliyeti Kanun kapsamına girmez; bazı kişi grupları ve işleme senaryoları, Kanun’un açık hükümleri gereği kapsam dışında bırakılmıştır. Bu çerçevede: tüzel kişilere ait veriler, veri kayıt sistemiyle bağlantılı olmayan işleme faaliyetleri ve bazı özel durumlar, KVKK’nın doğrudan koruma alanına girmez. Buna karşılık, tüzel kişilerle bağlantılı yöneticiler, çalışanlar ve diğer gerçek kişilere ait veriler koruma kapsamına dahildir.
KVKK; kişisel verileri işlenen gerçek kişileri korur. Tüzel kişilerin kendi tüzel kişiliklerine ilişkin verileri Kanun kapsamı dışındadır; ancak tüzel kişilerin yöneticileri, çalışanları ve diğer gerçek kişilerle bağlantılı verileri KVKK koruması altındadır. Veri kayıt sisteminin parçası sayılmayan ve sistematik bir kayıt yapısına dayanmayan bazı veri işlemeleri ise Kanun kapsamına girmeyebilir.
1. KVKK’nın Amacı ve Kapsamının Temel Çerçevesi
KVKK, bireylerin kişisel verilerinin işlenmesi sırasında temel hak ve özgürlüklerinin korunmasını amaçlayan çerçeve niteliğinde bir kanundur. Kanunun kapsamı, ana hatlarıyla:
- Kişisel verilerin işlenmesine ilişkin genel ilkeleri,
- Veri sorumlusu ve veri işleyenlerin yükümlülüklerini,
- İlgili kişilerin (veri sahiplerinin) haklarını,
- Bu hakların kullanım usullerini ve veri koruma denetim mekanizmalarını
düzenler.
Kanun’un koruma alanı, doğrudan veya dolaylı şekilde gerçek bir kişiyi belirlenebilir kılan her türlü bilgiyi kapsar. Dolayısıyla KVKK; isim, iletişim bilgisi, TCKN gibi açık tanımlayıcı verilerin yanı sıra, kişinin kimliğini ortaya çıkarabilecek her türlü dolaylı veriyi de kişisel veri olarak kabul eder.
Önemli bir nokta; KVKK’nın, “kişisel verileri işlenen gerçek kişiler”e koruma sağladığıdır. Bu ifade, Kanun’un tüzel kişilikler açısından nasıl yorumlanacağını da belirleyen temel kavramsal çerçeveyi oluşturur.
2. Gerçek Kişiler ve Kişisel Veriler
KVKK’da korunan süje, kişisel verileri işlenen gerçek kişidir. Bir başka deyişle Kanun; bireyin:
- Kimlik bilgilerini (ad, soyad, TCKN vb.),
- İletişim bilgilerini (adres, telefon, e-posta vb.),
- Finansal bilgilerini,
- Çalışma hayatına ve eğitim geçmişine ilişkin verilerini,
- Gerekli şartlar altında özel nitelikli kişisel verilerini
işleyen tüm kişi ve kurumlara belirli yükümlülükler getirir.
Bu açıdan bakıldığında, Kanun’un koruma kapsamına giren her veri işleme faaliyeti, bir gerçek kişinin belirlenebilir olmasını esas alır. Sadece istatistiksel, anonim ve hiçbir şekilde gerçek kişiyle ilişkilendirilemeyen veriler ise KVKK anlamında “kişisel veri” olarak değerlendirilmez.
3. Tüzel Kişiler Neden KVKK Kapsamı Dışındadır?
KVKK’da geçen “kişisel verileri işlenen gerçek kişiler” ifadesi gereği, Kanun’un doğrudan koruma alanı gerçek kişilere yöneliktir. Bu nedenle:
- Şirketler, dernekler, vakıflar, kamu kurumları gibi tüzel kişilere ait veriler,
- Tüzel kişiliğin unvanı, vergi numarası, ticaret sicil bilgileri gibi kurumsal veriler
KVKK kapsamında “kişisel veri” olarak değerlendirilmez ve Kanun’un koruma alanı dışında kalır.
Ancak bu durum, tüzel kişilerin tamamen KVKK dışı olduğu anlamına gelmez. Zira:
- Tüzel kişilerin yöneticileri, ortakları, çalışanları, adayları, ziyaretçileri, müşterileri gibi gerçek kişilerle ilişkili veriler,
- Bu kişilere ait kimlik, iletişim, performans, özlük, finansal veya diğer her türlü kişisel veri
KVKK kapsamında değerlendirilmeye devam eder.
Özetle; tüzel kişi = Kanun kapsamı dışında, ancak tüzel kişiyle ilişkili gerçek kişiye ait veri = Kanun kapsamı içindedir. Bu ayrım, kurumsal veri yönetimi stratejileri tasarlanırken kritik öneme sahiptir.
4. Veri Kayıt Sistemi ve Kapsam Dışındaki İşlemler
KVKK uygulamasında bir diğer önemli kriter, veri kayıt sistemi kavramıdır. Kanun; bir veri kayıt sisteminin parçası olmayan ve sistematik bir yapı arz etmeyen bazı veri işleme faaliyetlerini kapsam dışında değerlendirebilmektedir.
4.1. Veri Kayıt Sisteminin Önemi
Veri kayıt sistemi; kişisel verilerin belirli kriterlere göre erişilebilir ve sistematik biçimde yapılandırıldığı kayıt setlerini ifade eder. Örneğin:
- İK departmanının özlük dosyaları,
- CRM sisteminde tutulan müşteri kayıtları,
- ERP ortamındaki tedarikçi ve personel verileri
tipik birer veri kayıt sistemidir.
4.2. Kapsam Dışında Olabilecek İşlemler
Kanun, veri işleme faaliyetlerinde bulunan kişiler açısından veri sorumlusu – veri işleyen ayrımını yaparken; veri kayıt sisteminin parçası sayılmayan bazı teknik veya operasyonel faaliyetlerin, sınırlı ölçüde Kanun kapsamı dışında kalabileceğini öngörür. Bu yorum:
- Rastlantısal, geçici ve sistematik olmayan kayıtların,
- Herhangi bir veri kayıt sistemine entegre edilmeyen basit notların
belirli koşullarda KVKK kapsamı dışında kalabileceği anlamına gelir. Ancak bu alan son derece dardır ve geniş yorumlanmamalıdır.
5. Veri Sorumlusu – Veri İşleyen ve KVKK Kapsamı İlişkisi
KVKK, veri işleme faaliyetine katılan kişiler açısından gerçek/tüzel ayrımı yapmaz. Yani:
- Hem gerçek kişiler,
- Hem de tüzel kişiler
veri sorumlusu veya veri işleyen sıfatını taşıyabilir ve bu rollere bağlı yükümlülüklere tabi olabilir.
5.1. Veri Sorumlusunun Konumu
Veri sorumlusu; kişisel verilerin işlenme amaç ve vasıtalarını belirleyen taraftır. Tüzel kişilik çatısı altında:
- Anonim şirketler, limited şirketler, dernekler, vakıflar, kamu kurumları
veri sorumlusu rolünü üstlenebilir ve KVKK kapsamındaki tüm yükümlülüklerinden sorumludur.
5.2. Veri İşleyenin Konumu
Veri işleyen; veri sorumlusu adına, onun talimatları çerçevesinde veri işleyen gerçek veya tüzel kişidir. Kanun, veri işleyenlerin de:
- Veri güvenliği,
- Talimatlara uygun işleme,
- Sır saklama yükümlülükleri
açısından sorumluluk taşıdığını açıkça ortaya koyar.
Ancak; bir veri işleme faaliyeti herhangi bir veri kayıt sistemiyle ilişkilendirilemiyor ve Kanun’un kapsamına giren kişisel veri işleme şartlarını taşımıyorsa, bu işleyenler KVKK anlamında tam anlamıyla “veri sorumlusu/veri işleyen” konumunda değerlendirilmeyebilir. Yine de pratikte bu alanın son derece dar olduğu ve uyum programlarının geniş çerçevede ele alınması gerektiği unutulmamalıdır.
6. Şeffaflık, Güvenlik ve Kurumsal Sorumluluk
KVKK’nın kapsamına ilişkin düzenlemeler; bir yandan bireylerin gizlilik haklarını ve veri güvenliğini korumayı, diğer yandan da iş dünyası ve kamu kurumlarının faaliyetlerini sürdürülebilir şekilde yürütebilmesini amaçlar.
6.1. Şeffaflık Boyutu
Kurumlar, KVKK kapsamına girsin veya girmesin, veri işleme faaliyetleri konusunda:
- Mümkün olan en yüksek seviyede şeffaflık sağlamalı,
- İlgili kişileri; hangi verilerin hangi amaçlarla işlendiği konusunda açık biçimde bilgilendirmeli,
- İşleme faaliyetlerinin sınırlarını, saklama sürelerini ve aktarım noktalarını netleştirmelidir.
6.2. Güvenlik ve Uyum Boyutu
KVKK kapsamı dışında kalan veriler ve kişiler bulunsa dahi; kurumsal itibar, siber güvenlik ve risk yönetimi açısından geniş bir güvenlik yaklaşımı benimsenmelidir. Bu çerçevede:
- Veri sınıflandırması ve envanter çalışmaları,
- Teknik ve idari tedbirlerin uygulanması,
- İhlal senaryolarının test edilmesi,
- Çalışan farkındalık eğitimleri
KVKK kapsamına giren/girmeyen tüm veri işleme faaliyetleri dikkate alınarak tasarlanmalıdır.
Böylelikle KVKK; sadece bir mevzuat uyum zorunluluğu olmanın ötesinde, kurumsal güven ve veri yönetişimi stratejisinin ayrılmaz bir parçası haline gelir.
7. Sıkça Sorulan Sorular
Tüzel kişilere ait veriler KVKK kapsamında mıdır?
Hayır. KVKK, “kişisel verileri işlenen gerçek kişiler” için koruma sağlar. Şirket unvanı, vergi numarası, ticaret sicil numarası gibi tüzel kişiye ait veriler Kanun kapsamında kişisel veri olarak değerlendirilmez. Buna karşılık, tüzel kişiyle bağlantılı gerçek kişilere ait veriler KVKK koruması altındadır.
Bir şirket KVKK’ya tabi midir?
Evet. Veri işleme faaliyeti yürüten şirketler, tüzel kişi olmalarına rağmen KVKK anlamında veri sorumlusu veya veri işleyen sıfatıyla Kanun’un yükümlülüklerine tabidir. Kapsamdan muaf olan, şirketin tüzel kişiliğine ait veriler; yoksa şirketin sorumluluğu değildir.
Veri kayıt sisteminin parçası olmayan işlemler her zaman KVKK kapsamı dışında mıdır?
Hayır. Veri kayıt sistemi kavramı, Kanun’un uygulanmasında önemli bir kriterdir; ancak birçok pratik senaryoda kurum içi kayıtlar fiilen sistematik yapılara dayanır. Bu nedenle “kapsam dışı” değerlendirmesi son derece dar ve ihtiyatlı biçimde yapılmalı, geniş yorumlanmamalıdır.
KVKK kapsamı dışında kalan işleme faaliyetlerinde herhangi bir yükümlülük yok mudur?
KVKK’nın doğrudan uygulanmadığı durumlarda dahi; Türk Ceza Kanunu, özel kanunlar, sözleşme hükümleri, kişilik hakları ve anayasal güvenceler devreye girer. Ayrıca kurumsal itibar ve etik sorumluluklar da dikkate alınmalıdır.
KVKK kapsamına ve istisnalarına ilişkin detaylı mevzuata nereden ulaşabilirim?
KVKK’nın tam metni ve ilgili ikincil düzenlemeler Resmî Gazete ve Kişisel Verileri Koruma Kurumu’nun resmi internet sitesinde yayımlanmaktadır. Kapsam ve istisnalara ilişkin detaylı değerlendirmeler için bu kaynaklar ve Kurul kararları referans alınmalıdır.

