← Önceki Madde [2]
[4] Sonraki Madde →
RESMİ METİN

Tanımlar

MADDE 3- (1) Bu Kanunun uygulanmasında; a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı, b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini, c) Başkan: Kişisel Verileri Koruma Kurumu Başkanını, ç) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi, d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, f) Kurul: Kişisel Verileri Koruma Kurulunu, g) Kurum: Kişisel Verileri Koruma Kurumunu, h) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi, h) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini, ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder.

AKADEMİK YORUM VE ANALİZ

1. Maddenin Sistematiği ve Genel Açıklama

Bu madde, veri koruma hukukunun tüm teorik, pratik ve yargısal terminolojisini inşa eden, kanunun en hayati "Tanımlar ve Anahtarlar" maddesidir. Kanunun sonraki tüm maddelerinde yer alan haklar, yükümlülükler ve yaptırımlar buradaki kavramların sınırlarına göre anlam kazanır. Yasa koyucu, kişisel verilerin korunması alanında gelişmiş uluslararası standartları (özellikle AB direktiflerini) esas alarak terimleri tanımlamıştır. Bu tanımlar, gri alanları ortadan kaldırarak hukuk uygulayıcılarına (hakimler, müfettişler, avukatlar) ve veri sorumlularına rehberlik eder. Madde içindeki tanımların her biri, kendi içinde bağımsız birer doktrinel doktrin ve zengin birer uygulama alanına sahiptir.

2. Maddedeki Kavramların Analizi

  • Açık Rıza (Explicit Consent) ve Üç Kurucu Unsuru (m. 3/1-a): Açık rıza, veri işlemenin en temel yasal dayanaklarındandır ancak geçerli olabilmesi için şu üç kurucu unsuru aynı anda barındırması şarttır:

    1. Belirli bir konuya ilişkin olma: Rızanın kapsamı sınırlandırılmış olmalıdır. "Şirketimizin yapacağı tüm veri işleme faaliyetlerini kabul ediyorum" şeklindeki ucu açık, genel rızalar (battaniye rızalar / blanket consent) hukuken kesin olarak geçersizdir.
    2. Bilgilendirilmeye dayanma: Rıza açıklanmadan önce ilgili kişiye verilerinin kim tarafından, hangi amaçla, nasıl işleneceği ve hakları açıkça anlatılmış olmalıdır. Aydınlatma yükümlülüğü (m. 10) yerine getirilmeden alınan rıza batıldır.
    3. Özgür iradeyle açıklanma: İlgili kişinin iradesinin sakatlanmamış olması gerekir. Rıza, bir hizmetin veya sözleşmenin ifasının ön şartı olarak dayatılamaz (hizmet şartına bağlama yasağı). Örneğin, "Rıza vermezseniz size bu ürünü satmayız" denildiğinde o rıza özgür iradeli sayılamaz ve geçersizdir.

  • Kişisel Veri (Personal Data) (m. 3/1-d): Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi kapsar. İsim, soyisim ve T.C. kimlik numarası gibi doğrudan kimlik belirten verilerin yanı sıra; kişinin IP adresi, e-posta adresi, araç plakası, konum geçmişi, parmak izi, ses kaydı, hobi tercihleri, satın alma alışkanlıkları ve hatta fiziksel tarifi dahi dolaylı olarak kişiyi "belirlenebilir" kıldığı için kişisel veridir.

  • Kişisel Verilerin İşlenmesi (Processing) (m. 3/1-e): Yasa koyucu işleme kavramını "her türlü işlem" ifadesiyle son derece geniş tutmuştur. Verilerin elde edilmesi, bir sunucuya kaydedilmesi, bulutta depolanması, üçüncü kişilere aktarılması, veri tabanında değiştirilmesi, silinmesi ve hatta sadece ekranda görüntülenmesi veya silinmeyip "kullanılmasının engellenmesi" dahi hukuken birer "veri işleme" faaliyetidir. Veriye dokunan her eylem işlemedir.

  • Anonim Hâle Getirme (Anonymization) (m. 3/1-b) vs. Maskeleme (Pseudonymization):

    • Anonimleştirme: Verinin, başka hiçbir veriyle eşleştirilse dahi geriye döndürülemez ve hiçbir şekilde kişiyle ilişkilendirilemez hale getirilmesidir. Anonim hale gelen veri artık kişisel veri niteliğini kaybeder ve KVKK kapsamı dışına çıkar.
    • Maskeleme/Takma Adlandırma: Verinin (örn: T.C. kimlik numaralarının yıldızlanması 123*****89 veya isimlerin kısaltılması A. G.) doğrudan kimliği göstermemesi ancak eldeki anahtar veri tabanıyla eşleştirildiğinde kişinin kimliğinin bulunabilmesidir. Maskelenmiş veri halen kişisel veridir ve KVKK korumasına tabidir.

  • Veri Sorumlusu (Data Controller) vs. Veri İşleyen (Data Processor) (m. 3/1-ğ ve ı):

    • Veri Sorumlusu: Verilerin işlenme amaçlarını ve vasıtalarını (neden ve nasıl işleneceğini) belirleyen, karar mekanizmasının sahibi olan, veri kayıt sistemini kuran gerçek veya tüzel kişidir. Kanunun getirdiği tüm idari yaptırımların, cezaların ve hukuki sorumlulukların asıl muhatabıdır (örn: Banka, Şirket, Hastane, Okul).
    • Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak, onun talimatları doğrultusunda ve onun adına verileri fiziksel/dijital olarak işleyen alt yüklenicidir (örn: Şirketin verilerini barındıran bulut sunucu firması, maaş bordrolarını hazırlayan taşeron muhasebe bürosu). Veri işleyenin kendi başına veri üzerinde karar verme yetkisi yoktur.

3. Sistematik İlişkiler

Madde 3; AB Genel Veri Koruma Tüzüğü'nün (GDPR) 4. maddesiyle (Definitions) kavramsal olarak tamamen uyumludur. Kanunun esasına ilişkin m. 4 (İlkeler), m. 5-6 (İşleme Şartları), m. 10 (Aydınlatma), m. 12 (Güvenlik) ve m. 18 (Kabahatler) hükümleriyle ayrılmaz bir bütünlük oluşturur.

4. Uygulama: Yargıtay / Bölge Adliye Mahkemesi (BAM) İçtihadı

  • Araç Plakası ve IP Adresinin Kişisel Veri Niteliği: Yargıtay 12. Ceza Dairesi'nin yerleşik kararlarında; bir kişinin araç plaka bilgisinin, IP adresinin veya cep telefonu numarasının, o kişinin kimliğinin belirlenmesini sağlayan birer dolaylı araç olması sebebiyle "kişisel veri" niteliğinde olduğu ve izinsiz paylaşılmasının TCK m. 136 uyarınca suç oluşturduğu kesin olarak teyit edilmektedir.
  • Açık Rızanın Hizmet Şartına Bağlanmasının Geçersizliği: KVKK Kurulu kararlarında, bankaların veya GSM şirketlerinin müşterilerine sundukları sözleşmelerde "Açık rıza vermezseniz işleminizi yapamayız" veya "Açık rızayı toplu sözleşme maddesi içine gizleyerek (opt-out)" aldıkları onayları "özgür iradeyi sakatlayan geçersiz rızalar" olarak kabul etmekte ve bu şirketlere milyonlarca liralık idari para cezaları kesmektedir.

5. Pratik Örnek Olaylar

Örnek 1 (Veri Sorumlusu - Veri İşleyen Ayrımı): A Şirketi, çalışanlarının performans analizlerini yapmak üzere bir yazılım firması Y ile anlaşmıştır. A Şirketi çalışanların verilerini Y firmasının bulut yazılımına yüklemektedir. Burada veri sorumlusu A Şirketi'dir; çünkü verilerin neden (performans analizi için) ve nasıl (yazılım aracılığıyla) işleneceğine o karar vermiştir. Y firması ise sadece A'nın talimatıyla verileri sisteminde barındıran "Veri İşleyen" konumundadır. Eğer Y firması bu verileri kendi geliştireceği yapay zeka algoritmasını eğitmek için kendi menfaatine kullanırsa, o andan itibaren kendi amacı için vasıtaları belirlediğinden Y firması da o veri grubu için bağımsız bir "Veri Sorumlusu" haline gelir ve tüm KVKK sorumluluğunu üstlenir.

Örnek 2 (Geçersiz Rıza): Bir spor salonu, üyelerinin giriş yapabilmesi için parmak izi verisini istemektedir. Üye Ü, parmak izi vermek istemediğini, kartla giriş yapmak istediğini belirtmiştir. Spor salonu yetkilileri "Sistemimiz sadece parmak iziyle çalışmaktadır, rıza göstermezseniz üyeliğinizi iptal ederiz" demiştir. Bu durumda Ü'nün vereceği rıza "özgür iradeye dayanmadığı" ve "hizmet şartına bağlandığı" için Madde 3/1-a uyarınca hukuken geçersizdir. Spor salonu bu veri işlemeyi hukuka uygun hale getiremez.

6. Pratik Uygulama Notları

  • Veri Sözleşmeleri İmzalayın: Şirketler, kendi adlarına veri işleme faaliyeti yürüten tüm üçüncü şahıslarla (veri işleyenlerle) mutlaka "Veri İşleme ve Paylaşım Sözleşmesi" (Data Processing Agreement - DPA) imzalamalı; veri işleyenin verileri kendi amaçları doğrultusunda kullanmasını yasaklamalı ve veri sızıntılarındaki rücu mekanizmalarını belirlemelidir.

7. Eleştirel Değerlendirme

  • "Belirlenebilir Gerçek Kişi" Sınırının Belirsizliği: Yapay zeka ve veri madenciliği çağında, tamamen anonim olduğu iddia edilen anonimleştirilmiş veri kümeleri dahi, internetteki diğer açık kaynaklı veri tabanlarıyla (metadata, tarayıcı parmak izi vb.) yapay zeka algoritmalarıyla eşleştirildiğinde %99 oranında yeniden kimlik tespiti yapılabilir hale gelmektedir (re-identification). Bu durum, Madde 3/1-b'deki "hiçbir surette ilişkilendirilemeyecek hale getirme" (anonimleştirme) tanımını fiilen imkansız kılmaktadır. Hukuk sisteminin, statik bir anonimlik tanımı yerine, "makul çaba ve maliyetle kimlik tespitinin mümkün olup olmadığına" odaklanan dinamik risk temelli bir veri sınıflandırma modeline geçmesi, dijital dünyanın gerçekleriyle uyumlu tek rasyonel yoldur.

Metodolojik Not

Bu akademik yorum ve analiz, kişisel verilerin korunması hukukunun kavramsal omurgasını, açık rızanın üç kurucu unsurunun doktrinel tahlilini, veri sorumlusu ile veri işleyen arasındaki hassas yetki sınırlarını 6698 sayılı Kanun'un 3. maddesi ve GDPR standartları dairesinde Av. Fethi Güzel'in analitik ve korumacı yaklaşımıyla tahlil etmektedir.

← Önceki Madde [2]
[4] Sonraki Madde →

Metodolojik Not

Bu çalışma, Av. Fethi Güzel tarafından akademik dürüstlük ilkeleri çerçevesinde hazırlanmıştır. İçerik, güncel kanun değişiklikleri ve yüksek yargı kararları ışığında revize edilmektedir.