KİŞİSEL VERİLERİN İŞLENMESİ KAVRAMI

            Avrupa Birliğinin direktifinde ( AB 95 /46/EC)  ‘  2/b’de kişisel verilerin işlenmesi ‘’kişisel verileri üzerinde, toplama, kaydetme, organizasyon, depolama,   uyarlama, değiştirme, tekrar elde etme  ,üzerinde müzakere etme,  kullanma,  iletim yoluyla ifşa etme, yayma veya kullanıma sunma , gruplama veya birleştirme,  ulaşıma engelleme, silme veya yok etme; sınıflandırma, depolama, kullanma, geri alma,  dağıtma, silme yok etme, toplama  vb. otomatik veya otomatik olmayan yöntemlerle gerçekleştirilen herhangi bir faaliyet veya faaliyetler dizisidir.’’  şeklinde tanımlanmıştır.

           Avrupa Birliği Genel Veri Koruma Tüzüğünde  (ABGVKT’)  4/2’de işlemesi   ’kişisel veriler veya bir grup kişisel veri  üzerinde, toplama, kaydetme, organizasyon, yapılandırma,  depolama,   uyarlama, değiştirme, tekrar elde etme  , kullanma,  iletim yoluyla ifşa etme, yayma veya kullanıma sunma , gruplama veya birleştirme,  ulaşıma engelleme, silme veya yok etme; sınıflandırma, depolama, kullanma, geri alma,  dağıtma, kısıtlama, silme, yok etme, toplama  vb. otomatik veya otomatik olmayan yöntemlerle gerçekleştirilen herhangi bir faaliyet veya faaliyetler dizisidir.’’  şeklinde tanımlanmıştır. direktif ve tüzükteki tanımlamaların arasında esaslı bir fark olmadığı ve benzer olduğu tüzükte esası etkilemeyecek birkaç kelime değişikliği  mevcut olduğu görülmektedir.

        Kişisel Verilerin Korunması Kanununda    (KVKK)  3/E de kişisel verilerin işlenmesi kavramı ile ne ifade edilmek istendiği açıklanmaktadır.  Kanundaki düzenleme ‘Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, ifade eder ‘’ şeklindedir.

            Kişisel verilerin işlenmesi kapsamında mevzuatta yapılan tanımlamalarda kişisel verilerin üzerinde gerçekleştirilecek eylemlerin sayma yöntemiyle belirlendiği fakat sayılan eylemlere benzer faaliyetlerin de verilerin işlenmesi kapsamında  kabul edileceği düzenlenmiştir. Benzer şekilde  verilerin işlenmesinde kullanılacak yöntem de sınırlı değildir. Bilgisayar ve benzeri  otomasyon sistemleriyle  veriler işlenebileceği gibi  otomasyon sistemleri olmaksızın sadece bireyler tarafından da sayılan eylemler ve benzeri eylemler gerçekleştirildiğinde  kişisel verilerin işlenmiş olduğu kabul edilecektir.  Örneğin kayıt altına almaksızın sadece kişisel veriler üzerinde müzakere yapılması dahi verinin işlenmesi anlamına gelecektir.

            Kişisel verilerin toplanması, kişisel verilerin işlenmesi  olarak  kabul edilen eylemlerden bir tanesidir. Kişisel verilerin nasıl toplandığı ne amaçla toplandığı  önemli değildir. Kişilerin izlenerek fotoğraflarının çekilmesi, kişinin GPS Koordinatlarının kaydedilmesi, telefonlarının dinlenerek görüşmelerde mevcut kişisel verilerin kaydedilmesi, kişisel verilerin işlenmesi kapsamındadır. Toplanan kişisel verilerin,   CD, MP-3, DVD, taşınabilir bellek vb kaydedilmesi eylemi ise kişisel verilerin toplanması dışında kaydedilmesi eylemiyle gerçekleştirilen ayrı bir işleme yöntemidir. Kaydedilen kişisel verilerin muhafazası ayrı bir işleme yöntemidir.   Kopyalanan kişisel veriler kendi aralarında görüntü dosyaları, ses dosyaları vbg düzenlenmesi, gruplandırılması eylemleri  ayrı bir işleme yöntemidir. Kişisel verilerin üzerinde değişiklik yapılması eylemi  ayrı bir işleme yöntemidir.  Toplanan, depolanan, muhafaza altına alınan ve sonrasında üzerinde gruplandırma ve değişiklik yapılan kişisel verilerin  silinmesi ve yok edilmesi de ayrı bir  işleme yöntemidir. Kişisel verilerin bireyler arasında devredilmesi de verilerin işlenmesi anlamına gelecektir. Devreden  ve devralan veriyi işlemiş duruma düşecektir. Özellikle Data Mining ve Big Data  bağlamında farklı kaynaklardan bir çok veri elde edilmesi bu verilerin sınıflandırılması, verilerin analiz edilmesi birleştirilmesi  analiz sayesinde yeni sonuçlara varılması verilerin işlenmesi anlamında kabul edilecek eylemlerdir.  Yukarıda saydığımız eylemler verinin işlenmesi ile ilgili bütün eylemleri açıklamaya yetmemektedir. Farklı ve genel bir ifadeyle  kişisel veriler üzerinde yapılacak her türlü işlem ve eylem verilerin işlenmesi anlamına gelecektir.  Kanunda da ‘’gibi’’ sözcüğü ile bahse konu eylem ve işlemleri tüketici tarzda bir tanımlama yapılmamıştır.

             Kişisel verilerin işlenmesi kavramı  Avrupa Adalet divanı kararlarına da konu olmuştur.  Özellikle kişisel verilerin internet sitelerine yüklenmesi, kişisel verilerin işlenmesi olarak tanımlanmıştır. Kişisel verilerin  kişisel veri olup olmadığına bakılmaksızın, internetteki verilerin sistematik şekilde tarama motorları tarafından taranması ve listeler halinde sunulması, kişisel verilerin toplanması, kaydedilmesi, sınıflandırılması,  açıklanması, elde edilebilir hale getirilmesi, kişisel verilerin işlenmesi olarak nitelendirilmiştir.  Verilerin  önceden başka mecralarda kamuya açık hale getirilmiş olması, veri işleme faaliyetinin varlığı açısından herhangi bir önem taşımamaktadır.[1]

[1] Mesut Serdar SEÇKİN, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu, Onikilevha,2018, s.40

Av.Yalçın TORUN

UYARI

Web sitemizde yayımlanan yukarıdaki yazılı metnin, eser sahipliği hakları Av.Yalçın TORUN’a aittir. Bu yazılı metin hak sahipliğinin tespiti amacıyla zaman içerikli elektronik imza ile muhafaza edilmektedir. Sitemizdeki yazılı metinler avukat meslektaşlarımız tarafından dilekçelerinde serbestçe kullanılabilir, fakat metinlerin tamamının, bir kısmının veya özetinin atıf yapılmaksızın başka web sitelerinde yayınlanmasına iznimiz yoktur.