Kişisel verilerin korunması alanında sağlıklı bir anlayış geliştirmek ve değerlendirme yapabilmek için, öncelikle bu alanda sıkça karşılaşılan temel kavramların doğru bir şekilde anlaşılması büyük önem arz etmektedir.
Açık Rıza
Açık rıza ifadesi 6698 sayılı Kişisel Verilerin Korunumu Kanunu (KVKK)’nın 3. maddesinde; “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.” olarak tanımlanmıştır.
Bununla birlikte Türkiye Cumhuriyeti Anayasa’sının 20. maddesinin 3. fıkrasında, “Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir.” ibaresi ile geçmektedir.
Avrupa Birliği Genel Veri Koruma Tüzüğü’nde (GDPR)’a göre rıza kavramı, ilgili kişinin, kendisiyle ilgili kişisel verilerin işlenmesini kabul ettiğini gösteren, açık bir irade beyanı olarak tanımlanmakta ve bu beyanın özgürce verilmiş, bilgilendirilmiş ve belirli bir konuya ilişkin olması gerekmektedir.
Anonim Hale Getirme
Anonimleştirme, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir şekilde kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade etmektedir.
Bu hususta bilinmesi ve dikkat edilmesi gereken diğer bir önemli ayrım, anonim veri ile anonimleştirilmiş veri kavramları arasındadır (Kişisel Verileri Koruma Kurumu, 2025):
Anonim Veri: İlk oluşturulduğu andan itibaren herhangi bir gerçek kişiyle ilişkilendirilmesi mümkün olmayan veriyi ifade etmektedir.
Anonimleştirilmiş Veri: Başlangıçta bir kişiye ait olan, ancak uygulanan teknik ve yöntemlerle artık ilgili kişiyle bağlantısı kurulamayacak hale getirilen veridir.
Anonimleştirme yapılırken yaygın olarak kullanılan bazı teknikleri şunlardır (Kişisel Verileri Koruma Kurumu, 2017):
Veri Karması: Veri setindeki değerlerin yer değiştirilmesiyle kişisel bilgilerin ilişkilendirilmesini önlemektir.
Örneğin; beş kişinin gelir bilgileri birbirine karıştırılır, böylece herkesin geliri gizlenmiş olur ama ortalama gelir aynı kalır.
Maskeleme: Verinin belirli bölümlerinin silinmesi veya gizlenmesi yoluyla kişinin tanınamaz hale getirilmesidir.
Örneğin; bir öğrencinin numarası “20251234” yerine “2025****” şeklinde gösterilir.
Toplulaştırma (Kümülatif Veri): Verilerin bireysel detayları yerine gruplar halinde sunulmasıdır.
Örneğin; “Ali, Ayşe ve Zeynep 7/A sınıfında” demek yerine “7/A sınıfında 3 öğrenci var” şeklinde ifade edilir.
Veri Türetme: Detaylı bilgilerin daha genel karşılıklarla değiştirilmesidir.
Örneğin; “5 Mart 2008 doğumlu” yerine sadece “16 yaşında” denir.
İlgili Kişi
Kişisel Verilerin Korunumu Kanunu’na göre “ilgili kişi”, kişisel verisi işlenen “gerçek kişi”yi temsil etmektedir.
İlgili kişiler KVKK gereğince kendi verileri üzerinde belirli haklara sahiptir ve bu haklar kapsamında veri sorumlusuna başvurarak bilgi talebinde bulunabilir, verilerinin düzeltilmesini veya silinmesini isteyebilir.
İlgili Kullanıcı
Kişisel verilerin teknik olarak depolanması, korunması ve yedeklenmesi dışında kalan işleme faaliyetlerini, veri sorumlusunun organizasyonu içerisinde yer alan ya da veri sorumlusundan aldığı yetki ve talimat doğrultusunda gerçekleştiren kişilerdir.
Kişisel Veri
Kişisel veri, kimliği belirli olan ya da belirlenebilir gerçek kişiyle ilişkin her türlü bilgiyi kapsamaktadır. (gdpr‑info.eu, t.y.).
Örneğin; bireyin adı, soyadı, etnik kökeni, fiziksel özellikleri, sağlık durumu, inancı gibi bilgiler kişisel veri olarak sayılmaktadır.
Kişisel Verilerin İşlenmesi
Kişisel verilerin tamamen ya da kısmen otomatik yollarla veya bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerle verilerin elde edilmesi, kaydedilmesi, depolanması, korunması, değiştirilmesi, düzenlenmesi, aktarılması, açıklanması, devralınması, erişilebilir hale getirilmesi, sınıflandırılması ya da kullanımının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi kapsar (Türkiye Cumhuriyeti Resmî Gazete, 2016).
Veri İşleyen
Veri işleyen, veri sorumlusunun ona verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlanmıştır.
Veri Kayıt Sistemi
Kişisel verilerin belirli ölçütlere göre yapılandırılarak işlendiği düzenli veri yapısını ifade eder. Bu sistemler, hem elektronik hem de fiziki ortamlarda oluşturulabilir.
Örneğin; kişisel verilerin çalışan numarası, departman bilgisi üzerinden sınıflandırılması ya da şirket içinde disiplin cezası alan çalışanlara ilişkin oluşturulan bir kayıt sistemi.
Ayrıca otomatik olmayan yöntemlerle işlenen kişisel veriler, eğer bir veri kayıt sisteminin parçası değilse, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında değerlendirilmez (Kişisel Verileri Koruma Kurumu, 2017).
Veri Sorumlusu
Veri sorumlusu, kişisel verilerin işlenme amaçlarını ve kullanılacak yöntemleri belirleyen; veri kayıt sistemini kuran ve yöneten gerçek veya tüzel kişidir. Tüzel kişiler, kişisel veri işleme faaliyetlerinden dolayı doğrudan sorumlu tutulur ve bu sorumluluk tüzel kişiliğe aittir (Kişisel Verileri Koruma Kurumu, 2025).
Veri Aktaran & Veri Alıcısı
Veri aktaran tanımı 2024 yılında KVKK tarafından resmi gazetede yayınlanan Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik “Kişisel verileri yurt dışına aktaran veri sorumlusu veya veri işleyen” olarak belirtilmiştir. Yine bu yönetmelik içerisinde benzer bir ifade ile “veri alıcısı” için “Veri aktarandan kişisel verileri alan yurt dışındaki veri sorumlusu veya veri işleyen.” tanımlaması yapılmıştır.
Kaynaklar
Kişisel Verileri Koruma Kurumu. (2025). 6698 sayılı Kanun’da Yer Alan Temel Kavramlar. https://www.kvkk.gov.tr/Icerik/4187/6698-Sayili-Kanun’da-Yer-Alan-Temel-Kavramlar
Kişisel Verileri Koruma Kurumu. (2017). Kişisel Verilerin Korunması Kanunu ve Uygulaması. https://kvkk.gov.tr/yayinlar/KİŞİSEL%20VERİLERİN%20KORUNMASI%20KANUNU%20VE%20UYGULAMASI.pdf
gdpr‑info.eu. (t.y.). Personal data. GDPR‑info.eu. https://gdpr-info.eu/issues/personal-data/
Türkiye Cumhuriyeti Resmî Gazete. (2016). 6698 sayılı Kişisel Verilerin Korunması Kanunu. Resmî Gazete. https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6698&MevzuatTur=1&MevzuatTertip=5
Kişisel Verileri Koruma Kurumu. (2024). Kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esaslar hakkında yönetmelik. https://www.resmigazete.gov.tr/eskiler/2024/07/20240710-2.htm