Kişisel Veri ve Tüzel Kişiler

Creative Commons License

Arslan M.

V. Uluslararası Necmettin Erbakan Hukuk Kongresi, Konya, Türkiye, 23 - 25 Mayıs 2025, sa.428, ss.649-662, (Tam Metin Bildiri)

  • Yayın Türü: Bildiri / Tam Metin Bildiri
  • Basıldığı Şehir: Konya
  • Basıldığı Ülke: Türkiye
  • Sayfa Sayıları: ss.649-662
  • Açık Arşiv Koleksiyonu: AVESİS Açık Erişim Koleksiyonu
  • Recep Tayyip Erdoğan Üniversitesi Adresli: Evet

Özet

4721 sayılı Türk Medeni Kanunu kişileri iki gruba ayırmıştır. İlk grup insanları ifade eden gerçek kişiler olarak tesmiye edilirken; ikinci grup yasal olarak kişi niteliğini haiz kılınan tüzel kişilerdir. TMK m.48’e göre “Tüzel kişiler, cins, yaş, hısımlık gibi yaradılış gereği insana özgü niteliklere bağlı olanlar dışındaki bütün haklara ve borçlara ehildirler.”

Kanun koyucu 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda kişisel veriyi “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlamıştır. Kanun koyucunun yapmış olduğu tanımdan yola çıkarak kişisel veri kavramının unsurları öğretide tespit edilmeye çalışılmıştır. Her ne kadar çeşitli farklı kanaatler olsa da bence kişisel verinin olmazsa olmaz ilk unsuru bir bilginin varlığıdır.  Gözetilmesi gereken ikinci unsur ise bilginin niteliğine ilişkindir. Bilginin niteliği unsurunun alt başlıklarını da bilginin gerçek kişiye ilişkin olması ve bilginin gerçek kişiyi belirli veya belirlenebilir kılması olarak ifade edebilirim. Var olan bir bilgi gerçek kişiye ilişkinse ve gerçek kişiye ilişkin olan bu bilgi de gerçek kişiyi en azından belirlenebilir kılıyorsa ortada bir kişisel veri olduğundan söz edilebilir.

Kanun koyucu tarafından KVKK m.3/1-ç’de açıkça gerçek kişi denilmiştir. Kanun koyucunun açıkça gerçek kişiden bahsetmesinin iki sebebi olabilir: ilki kanun koyucunun bir tercih yapmıştır ve tüzel kişileri kişisel verilerin korunması hukukunun kapsamı içerisine dahil etmemiştir. İkincisi ise kanun koyucu, kişisel veri kavramını niteliği gereği insana özgü görüyor olduğu için tüzel kişilerin kişisel verisinin olmayacağı kanaatinde olduğundan böyle bir düzenleme yapmış olmasıdır.

Diğer ülkelerdeki durum incelendiğinde kimi ülkelerde tüzel kişilerin kapsama dahil edildiği; kimi ülkelerde tüzel kişilerin kişisel verilerin korunması hukukunun kapsamına dahil edilmediği görülmektedir. AİHM, kişisel verilerin korunması hakkını “özel yaşama saygı hakkı”, “aile yaşamına saygı hakkı” ve “haberleşmeye saygı hakkı” ile bağlantılı kabul edilmektedir. AİHM’in bağlantılı kabul ettiği haklar ile birlikte incelendiğinde AİHM’in de tüzel kişilerin kişisel verilerin korunması hakkına sahip olamayacağını düşündüğü tespit edilebilir. Ben de kişisel verilerin korunması hakkının bir insan hakkı olduğu bu sebeple de tüzel kişilerin kapsama dahil edilmemesi gerektiğini düşünüyorum.

Tüm bunların yanında tüzel kişilerin de mahrem olarak ifade edilebilecek bilgileri olabileceğini düşündüğüm için doğru olanın, tüzel kişilerin verilerinin korunmasına has tüzel kişinin niteliğine uygun özel düzenlemeler hazırlamak olduğunu kanaatindeyim.

The Turkish Civil Code No. 4721 categorizes persons into two groups. The first group consists of natural persons, referring to human beings, while the second group includes legal persons, who are recognized as persons under the law. According to Article 48 of the Civil Code, “Legal persons are entitled to all rights and obligations except those inherently belonging to human beings by nature, such as sex, age, and kinship.”

In Law No. 6698 on the Protection of Personal Data, the legislator defines personal data as “any information relating to an identified or identifiable natural person.” Based on this definition, scholars have attempted to determine the essential elements of the concept of personal data. While there are differing views, in my opinion, the first indispensable element of personal data is the existence of information. The second element is the nature of that information. This includes whether the information pertains to a natural person and whether it renders that person identifiable. If the information relates to a natural person and enables their identification, it can be classified as personal data.

The legislator explicitly refers to natural persons in Article 3/1-ç of the Law on the Protection of Personal Data. There may be two reasons for this: First, the legislator intentionally excluded legal entities from the scope of the law. Second, the legislator may believe that legal entities cannot possess personal data, as the concept is inherently human-specific.

When examining international practices, we observe that in some countries legal entities are included within the scope of data protection laws, while in others they are not. The ECHR considers the right to protection of personal data to be linked to the “right to respect for private life”, “right to respect for family life” and “right to respect for communication”. When analyzed together with the rights that the ECtHR considers to be linked, it can be determined that the ECHR also considers that legal entities cannot have the right to the protection of personal data. I also support the view that the right to personal data protection is a human right, and thus legal entities should not fall within its scope.

Nevertheless, since legal entities may also hold information that can be considered confidential, I believe that the appropriate course of action would be to develop separate regulations for the protection of such data, tailored to the nature of legal persons.