1. Maddenin Sistematiği ve Genel Açıklama
Bu madde, 6698 sayılı Kanun'un uygulama alanının sınırlarını (kişi, konu ve faaliyet yönünden sınırlarını) çizen "Subjektif ve Objektif Kapsam" normudur. Bir uyuşmazlığın veya veri işleme faaliyetinin KVKK denetimine tabi olup olmadığını belirleyen ilk süzgeçtir. Madde, kanunun koruduğu özneleri (veri konusu gerçek kişiler) ve kanunun yükümlülük yüklediği muhatapları (veriyi işleyen gerçek ve tüzel kişiler) net olarak ayırmıştır. Ayrıca, verilerin işleniş teknolojisine göre de objektif bir sınır çekmiş; tamamen dijital olan otomatik süreçlerin yanı sıra, fiziki ortamlarda (kağıt, dosya, klasör) tutulan ancak belirli bir düzen içinde sınıflandırılan "veri kayıt sistemlerini" de kapsam içerisine alarak korumada bütünlük sağlamıştır.
2. Maddedeki Kavramların Analizi
- Gerçek Kişilerin Verilerinin Korunması (Subjektif Kapsam): Kanunun koruma şemsiyesi sadece gerçek kişilere (canlı insanlara) yöneliktir. Tüzel kişilerin (şirketler, vakıflar, dernekler) verileri (örn: vergi numarası, ticaret unvanı, şirket cirosu, KEP adresi) kişisel veri sayılmaz ve KVKK kapsamında korunmaz. Şirket verileri ancak Türk Ticaret Kanunu (TTK) haksız rekabet hükümleri veya ticari sır mevzuatıyla korunabilir. Ölmüş kişilerin verileri de kural olarak gerçek kişi niteliği son bulduğu için kapsam dışıdır (bazı miras hukuku istisnaları hariç).
- Yükümlülerin Kapsamı: Kanunun getirdiği ağır yükümlülüklere (aydınlatma, güvenlik, VERBİS vb.) uymak zorunda olanlar ise hem gerçek kişiler (şahıs işletmeleri, doktorlar, avukatlar, esnaflar) hem de tüzel kişilerdir (şirketler, dernekler, vakıflar, belediyeler ve tüm kamu kurumları).
- Tamamen veya Kısmen Otomatik Yollar: Bilgisayarlar, sunucular, mobil cihazlar, yazılımlar, yapay zeka algoritmaları veya bulut sistemleri aracılığıyla verilerin insan müdahalesi olmaksızın ya da asgari insan müdahalesiyle sistematik olarak işlenmesidir. Günümüz dijital veri dünyasının tamamı bu kapsama girer.
- Veri Kayıt Sistemi (Filing System): Kanunun en teknik kavramlarından biridir. Otomatik olmayan (fiziki/manuel) yollarla işlenen verilerin, belirli kriterlere göre (örn: alfabetik, kronolojik, departmana göre, coğrafi esaslı) yapılandırıldığı, kolayca erişilebilir ve aranabilir kılındığı yapılandırılmış sistemlerdir. Örneğin, bir insan kaynakları departmanındaki fiziki özlük dosyaları, müşteri kartoteksleri veya alfabetik arşiv klasörleri birer veri kayıt sistemidir ve KVKK'ya tabidir. Rastgele tutulan, hiçbir tasnife tabi olmayan dağınık not kağıtları ise veri kayıt sistemi oluşturmadığı için kapsam dışı kalabilir.
3. Sistematik İlişkiler
Madde 2; AB Genel Veri Koruma Tüzüğü'nün (GDPR) 2. maddesi (Maddi Kapsam) ile tamamen paralel biçimde kurgulanmıştır. Kanun içinde m. 3 (Tanımlar - Veri sorumlusu, veri kayıt sistemi vb.), m. 28 (İstisnalar) ve ceza hukuku yaptırımları yönünden TCK m. 135-140 hükümleriyle doğrudan sistematik bağa sahiptir.
4. Uygulama: Yargıtay / Bölge Adliye Mahkemesi (BAM) İçtihadı
- Tüzel Kişi Verilerinin Kapsam Dışı Olması: Yargıtay Hukuk Genel Kurulu ve Danıştay kararlarında, bir limited veya anonim şirketin ticaret sicil bilgileri, tescilli adresi veya kurumsal telefon numarasının "kişisel veri" olmadığı ve bu verilerin paylaşılmasının KVKK ihlali oluşturmayacağı kesin olarak karara bağlanmıştır. Ancak şirketin imza yetkilisinin (gerçek kişi) kişisel imza sirküsü, şahsi e-posta adresi (
isim.soyisim@sirket.com) veya cep telefonu kişisel veridir ve kapsam içindedir.
- Veri Kayıt Sisteminin Sınırları: KVKK Kurulu kararlarında; bir mağazanın müşterilerin isim ve telefonlarını fiziki bir deftere gelişigüzel, hiçbir tarih veya alfabetik tasnif yapmadan yazması durumunda dahi, bu defterin pratik olarak müşteriye ulaşma (arama) amacı taşıması sebebiyle "veri kayıt sistemi" oluşturduğu ve veri güvenliği ihlallerinden sorumlu tutulacağı yönünde genişletici yorumlar yapılmaktadır.
5. Pratik Örnek Olaylar
Örnek 1: Bir otel, misafirlerinin pasaport bilgilerini ve konaklama tercihlerini bilgisayar yazılımında (otomatik yol) saklamaktadır. Bu işlem doğrudan KVKK kapsamındadır. Otel aynı zamanda misafirlerin fiziki giriş kartlarını tarih sırasına göre klasörlerde (veri kayıt sisteminin parçası) arşivlemektedir. Bu fiziki arşiv de KVKK kapsamındadır. Oteldeki bir temizlik personelinin, odada unutulmuş bir gazetedeki bulmacanın kenarına rastgele yazdığı bir müşteri adı ise veri kayıt sistemi oluşturmadığı için KVKK kapsamında değerlendirilmez.
Örnek 2: A A.Ş. ile B A.Ş. arasında yapılan ticari sözleşmede, A A.Ş.'nin banka hesap numaraları ve unvan bilgileri yer almaktadır. B A.Ş. bu sözleşmeyi ifşa ettiğinde, A A.Ş. tüzel kişi olduğundan KVKK ihlali iddiasıyla Kurula başvuramaz. Ancak sözleşmede imzası bulunan şirket müdürü M'nin şahsi T.C. kimlik numarası da yer alıyor ve bu ifşa ediliyorsa, M gerçek kişi olarak KVKK kapsamında hak arama yollarına başvurabilir.
6. Pratik Uygulama Notları
- Fiziki Arşivlerin Güvenliği: Şirketler KVKK uyum süreçlerinde sadece dijital veritabanlarını ve sunucuları (firewall, siber güvenlik) korumakla yetinmemelidir. Arşiv odaları, insan kaynaklarındaki kilitli dolaplar ve müşteri fişlerinin tutulduğu fiziki alanlar da "veri kayıt sistemi" kapsamında olduğundan, buralara yetkisiz personelin erişimini engelleyecek fiziki güvenlik tedbirleri (anahtarlama, yetki matrisi) alınmalıdır.
7. Eleştirel Değerlendirme
- Dijital Çağda "Veri Kayıt Sistemi" Tanımının Demode Kalması: Kanunun 2016 yılında kabul edilen "veri kayıt sistemi" tanımı, klasik dosyalama sistemlerini korumak için tasarlanmıştır. Ancak günümüzde yapay zeka, görüntü işleme ve optik karakter tanıma (OCR) teknolojileri sayesinde, tamamen düzensiz ve dağınık olan binlerce taratılmış kağıt veya resim belgesi dahi milisaniyeler içinde taranıp aranabilir hale getirilmektedir. Dolayısıyla, günümüz teknolojik imkanlarında "sistemli olmayan fiziki veri" kavramı fiilen ortadan kalkmıştır. Yasal bir reformla, otomatik olmayan tüm veri işleme faaliyetlerinin "sistem parçası" olup olmadığına bakılmaksızın doğrudan kapsam içerisine alınması, korumada oluşabilecek gri alanları ve kötü niyetli istismarları önlemek açısından kaçınılmaz bir gerekliliktir.
Metodolojik Not
Bu akademik yorum ve analiz, kişisel verilerin korunması hukukunun konu ve kişi yönünden sınırlarını, gerçek-tüzel kişi ayrımını, dijital/otomatik işleme ile fiziki veri kayıt sistemleri arasındaki farkları 6698 sayılı Kanun'un 2. maddesi ve uluslararası mukayeseli hukuk normları ışığında Av. Fethi Güzel'in usuli titizliğiyle ele almaktadır.
1. Maddenin Sistematiği ve Genel Açıklama
Bu madde, 6698 sayılı Kanun'un uygulama alanının sınırlarını (kişi, konu ve faaliyet yönünden sınırlarını) çizen "Subjektif ve Objektif Kapsam" normudur. Bir uyuşmazlığın veya veri işleme faaliyetinin KVKK denetimine tabi olup olmadığını belirleyen ilk süzgeçtir. Madde, kanunun koruduğu özneleri (veri konusu gerçek kişiler) ve kanunun yükümlülük yüklediği muhatapları (veriyi işleyen gerçek ve tüzel kişiler) net olarak ayırmıştır. Ayrıca, verilerin işleniş teknolojisine göre de objektif bir sınır çekmiş; tamamen dijital olan otomatik süreçlerin yanı sıra, fiziki ortamlarda (kağıt, dosya, klasör) tutulan ancak belirli bir düzen içinde sınıflandırılan "veri kayıt sistemlerini" de kapsam içerisine alarak korumada bütünlük sağlamıştır.
2. Maddedeki Kavramların Analizi
3. Sistematik İlişkiler
Madde 2; AB Genel Veri Koruma Tüzüğü'nün (GDPR) 2. maddesi (Maddi Kapsam) ile tamamen paralel biçimde kurgulanmıştır. Kanun içinde m. 3 (Tanımlar - Veri sorumlusu, veri kayıt sistemi vb.), m. 28 (İstisnalar) ve ceza hukuku yaptırımları yönünden TCK m. 135-140 hükümleriyle doğrudan sistematik bağa sahiptir.
4. Uygulama: Yargıtay / Bölge Adliye Mahkemesi (BAM) İçtihadı
isim.soyisim@sirket.com) veya cep telefonu kişisel veridir ve kapsam içindedir.5. Pratik Örnek Olaylar
Örnek 1: Bir otel, misafirlerinin pasaport bilgilerini ve konaklama tercihlerini bilgisayar yazılımında (otomatik yol) saklamaktadır. Bu işlem doğrudan KVKK kapsamındadır. Otel aynı zamanda misafirlerin fiziki giriş kartlarını tarih sırasına göre klasörlerde (veri kayıt sisteminin parçası) arşivlemektedir. Bu fiziki arşiv de KVKK kapsamındadır. Oteldeki bir temizlik personelinin, odada unutulmuş bir gazetedeki bulmacanın kenarına rastgele yazdığı bir müşteri adı ise veri kayıt sistemi oluşturmadığı için KVKK kapsamında değerlendirilmez.
Örnek 2: A A.Ş. ile B A.Ş. arasında yapılan ticari sözleşmede, A A.Ş.'nin banka hesap numaraları ve unvan bilgileri yer almaktadır. B A.Ş. bu sözleşmeyi ifşa ettiğinde, A A.Ş. tüzel kişi olduğundan KVKK ihlali iddiasıyla Kurula başvuramaz. Ancak sözleşmede imzası bulunan şirket müdürü M'nin şahsi T.C. kimlik numarası da yer alıyor ve bu ifşa ediliyorsa, M gerçek kişi olarak KVKK kapsamında hak arama yollarına başvurabilir.
6. Pratik Uygulama Notları
7. Eleştirel Değerlendirme
Metodolojik Not
Bu akademik yorum ve analiz, kişisel verilerin korunması hukukunun konu ve kişi yönünden sınırlarını, gerçek-tüzel kişi ayrımını, dijital/otomatik işleme ile fiziki veri kayıt sistemleri arasındaki farkları 6698 sayılı Kanun'un 2. maddesi ve uluslararası mukayeseli hukuk normları ışığında Av. Fethi Güzel'in usuli titizliğiyle ele almaktadır.