Verilerin İşlenmesi Ne Demek ?

kisisel-verinin-islenmesi-baslik

Kişisel verilerin korunması mevzuatının temel konularından birisi kişisel verilerin işlenmesi konusudur. Kanun metninde ve bir çok yazılı kaynakta “işleme” faaliyetinden bahsedildiği için bu kavramın önemi tam olarak anlaşılmamakta ve kapsamın dar olduğu düşünülmektedir. Peki esasında kişisel verilerin işlenmesi nedir ?

6698 sy Kişisel Verilerin Korunması Kanunu’nun  tanımlar başlığını taşıyan 3.maddesinin “e” bendinde Veri İşleme faaliyetinin tanımı yapılmıştır. Yasadaki tanımına göre; Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem kişisel verilerin işlenmesi olarak tanımlanmıştır

Yasal tanım üzerinden gidilir ise; Kişisel verinin

Elde edilmesi

Kaydedilmesi

Depolanması

Düzenlenmesi

Değiştirilmesi

Açıklanması

Aktarılması

Muhafaza edilmesi

Sınıflandırılması

gibi veri üzerinde gerçekleştirilecek her türlü eylem ve işlem kişisel verilerin işlenmesidir. Bu tanım sanıldığının aksine veri sorumlusunun sorumluluğunun ne kadar geniş bir çapta olduğunu bize göstermektedir. Gerçekten de kişisel verilerin işlenmesi; verinin elde edilmesinden devredilmesine kadarki ve hatta bundan sonraki tüm süreci kapsamaktadır.

Ancak kişisel verilerin işlenmesi yukarıda yazılı faaliyetlerle sınırlı değildir. Yasa koyucu burada “gibi” sözcüğünü kullanmak sureti ile burada yazılı olmasa bile veri işleme faaliyeti sayılabilecek her türlü faaliyetin kanun kapsamında olduğunu anlatmaya çalışmıştır.

Kişisel verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türleri veri işleme faaliyeti olarak kabul edilecektir.

Kişisel Verilerin elde edilmesi, veri işleyenin veri ile karşılaştığı ilk an olarak düşünülebilir. Bir verinin, veri sorumlusunun hakimiyet alanına ilk geçtiği anda kişisel veri elde edilir.

Kişisel Verinin kaydedilmesi ise veri sorumlusunun elektronik veya yazılı araçlar ile ilgili kişiye ait veriyi koruma altına alması olarak ifade edilebilir.

Kişisel verilerin depolanması, elde edilen kişisel verilerin bilgi işlem sistemlerinin içinde veya harici depolama cihazları üzerinde sabit bir şekilde koruma altına alınması iken, kişisel verilerin muhafaza edilmesi ise toplanan ve kaydedilen verilerin veri tabanları, uygulama sunucuları veya veri çiftlikleri gibi alanlarda saklanmasını ifade edecektir.

Kişisel verinin açıklanması da bir veri işleme faaliyetidir. Örneğin bir kişinin Televizyon veya sosyal medya ortamında Covid 19 hastalığına yakalandığının söylenmesi ile sağlık verisi işlenmiş olmaktadır.

Kişisel Verilerin aktarılması ise toplanan, kaydedilen veya muhafaza edilen verinin yurt içinde veya dışında yerleşik veri sorumlusu veya işleyenlere transfer edilmesidir. Örneğin iphone ile bir kişiye ait olarak çekilen fotoğrafın icloud sistemine yüklenmesi ile veya gmail veya whatsapp sistemi üzerinden e-posta veya mesaj olarak gönderilmesi ile üçüncü kişiye ait bir veri yurt dışına aktarılmış olacaktır.

Ancak bir faaliyetin veri işleme faaliyeti olarak kabul edilebilmesi için işleme faaliyetinin ya otomatik ya da kısmen otomatik kayıt sistemleri ile yapılması veya el işe işleme yapılıyor ise bu işlemenin herhangi bir veri kayıt sisteminin parçası olması gerekir.

kisisel-verinin-otomatik-sistemle-islenmesi

Kişisel Verilerin korunmasının günümüzde öncesine göre çok daha önemli bir hale gelmesinin en önemli sebeplerinden birisi bilişim teknolojisinin ve bulut sistemlerinin gelişmesidir. Günümüzde Apple veya Google sistemleri üzerinden telefonlara indirilebilecek küçük uygulamalar milyonlarca kişinin verisini toplama ve aktarma kapasitesine sahiptir. Bu sebeple de kanun özellikle bu faaliyetler ile ilişkilendirilmek istenmiştir. Herhangi bir bilgisayar veya chip kullanan bir sistem (telefon, saat, kamera, dron, scanner vb) tarafından işlenmeyen verinin zarar verebileceği öngörülmemiştir. Bu sebeple de kapsam dışında bırakılmıştır.

Yani bir kişinin kendisine iyi bir referans olarak düşündüğü kişilerin boş bir A4 kağıdına el yazısı ile listesini çıkarması ve bu listeye kişilerin ad soyadları ile telefon ve e-posta adreslerini yazması bir veri işleme faaliyeti olsa da otomatik bir sistem ile kayıt altına alınmadığı için yasanın kapsamında olmayacaktır.

Aynı listenin alfabetik sıralamaya izin veren bir ajandaya yazılması ve bir de başına bulunmasının kolay olması açısından fihrist konulması ile artık el ile de olsa bir veri kayıt sistemi oluşturulmuş ve yasanın koruduğu bir veri işleme faaliyeti doğmuştur.

Bunun gibi personel özlük veya hasta dosyalarının bir fihriste bağlı olarak dosya dolaplarında saklanması ya da mağazaya gelen müşterilerin isimlerinin bir sistem içinde kağıda dökülerek saklanması veri sistemi oluşturacağı için kanun kapsamında bir veri işleme faaliyeti olarak görülecektir.

 

Yorum Bırak

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir