Kişisel Verilerin İşlenmesi Şartları

kisisel-verilerin-islenmesi-sartlari (1)

Kişisel verilerin işlenmesi, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 3.maddesinin “e” bendinde tanımlanmış olup madde metnine göre;

kişisel verilerin işlenmesi anlamına gelmektedir. Kişisel verilerin işlenmesi ile ilgili olarak detaylı yazımızı tıklayarak okuyabilirisiniz

Türkiye Cumhuriyeti Anayasası’nın 20. Maddesinin üçüncü fıkrasında kişisel verilerin ancak kanunda düzenlenen hallerde veya ilgili kişinin açık rızasının bulunması durumunda işlenebileceği düzenlenmiştir. Anayasamızın ilgili bu maddesi ile aslında kişisel verileri işlemenin yasak olduğu ancak istisnai hallerin bulunması durumunda işlenebileceği sonucu çıkartılmaktadır.

6698 sy Kişisel Verilerin Korunması Hakkındaki Kanun’un 5.maddesi ve devamında kişisel verilerin hangi şartlarda işlenebileceği yani bir bakıma Anayasa’da yazılı olan istisnanın koşulları düzenlenmiştir.

Bununla birlikte kişisel verilerin işlenmesinin sadece yasanın 5.maddesinde yazılı kurallara uygun olması yetmeyecek ilave olarak kanunun 4.maddesinde düzenlenen temel ilkelere de uygun olması aranacaktır.

A- KİŞİSEL VERİLERİN İŞLENMESİ İÇİN TEMEL İLKELER NELERDİR ?

Kişisel verilerin işlenmesi, kanunun 4. Maddesi kapsamındaki;

kisisel-verilerin-islenmesi-temel-ilkeler-seffaftemel ilkelere uygun olarak gerçekleştirilmesi gerekmektedir.

Bir verinin işlenmesi genel ya da özel nitelikli kişisel verilerin diğer şartlarını karşılıyor olsa bile genel ilkelere aykırı bir şekilde işlenmişse hukuka aykırı bir veri işlenmesi gündeme gelecektir.

B- GENEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ ŞARTLARI NELERDİR?

Genel nitelikli kişisel verilerin işlenmesi şartları kanunun 5. Maddesinde düzenlenmiş olup, açık rıza ve açık rıza olmadan veri işlenmesi ayrımına gidilmiştir.

Yasaya göre Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak  Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

kisisel-verilerin-acik-riza-olmaksizin-islenmesi

1- Açık rıza nedir?

İlgili kişinin, kişisel verilerinin işlenmesi hususunda bilgilendirilmesi karşılığında özgür iradesi ile vermiş olduğu onayı ifade etmektedir. Kişisel verilerin işlenmesi kural olarak ilgili kişinin açık rızasına bağlıdır. Ancak yasanın 5.maddesinin 2. fıkrasında yer alan açık rızanın aranmadığı hallerde ilgili kişiden açık rızanın alınmasına gerek bulunmamaktadır. Veri işleme faaliyetinin açık rıza olmaksızın işlenmesi mümkün iken ilgili kişinin açık rızasının alınması, hakkın kötüye kullanımı olarak kabul edilmekte ve açık rızanın hukuki niteliğini zedelemektedir.

kisisel-verilerin-islenmesi-sartlari-acik-riza

Açık rızanın alınması belli bir şekil şartına tâbi olmamakla birlikte yazılı olarak alınması, ispat yükü açısından veri sorumlusu lehine olacaktır. Açık rızanın üç unsuru bulunmaktadır.

  • Açık rıza belirli bir konuya ilişkin ve o konuyla sınırlı kalmak kaydıyla verilmiş olmalıdır.
  • Rızanın arandığı veri işleme faaliyetine ve rızanın sonuçlarına ilişkin ilgili kişinin açık ve anlaşılır bir şekilde bilgilendirilmelidir. Bu bilgilendirme mutlaka veri işleme faaliyeti öncesinde yapılmalıdır.
  • İlgili kişinin iradesini sakatlayan haller bulunmaksızın özgür iradesiyle açık rıza açıklanmalıdır.

Bu unsurların birarada bulunmaması halinde verilen rıza geçerli kabul edilmeyecektir.

Ayrıca ilgili kişi tarafından verilmiş açık rızanın her zaman geri alınması da mümkündür. Böyle bir durumda veri işleme faaliyetinin sürdürülmesi hukuka aykırı işlem olarak kabul edilecektir.

2- Açık rıza olmaksızın hangi hallerde kişisel verilerin işlenmesi mümkündür?

Kişisel verilerin işlenmesi için ilgili kişinin rızası olmasa da Kanun’da öngörülen bazı şartların gerçekleşmesi halinde açık rızanın bulunmadığı hallerde dahi veri işleme faaliyeti hukuka uygun olarak kabul edilebilecektir. Bu haller maddenin ikinci fıkrasında sayılmıştır. Buna göre;

a) Kanunda açıkça öngörülmesi

Kanunlarda kişisel verilerin işlenmesine ilişkin bir hükmün varlığı halinde ilgili kişinin açık rızası aranmaksızın veri işleme faaliyeti gerçekleştirilebilecektir. Örneğin; İş Kanunu uyarınca işveren tarafından çalışanları özlük dosyalarının tutulması, PVSK uyarınca şüphelilerin parmak izlerinin alınması kanunda öngörülmüş haller olup, veri işleme faaliyetinde de ilgili kişinin açık rızasına ihtiyaç duyulmamaktadır.

Ancak açık rızaya ihtiyaç duyulmadan veri işleme faaliyetinin gerçekleştirilebilecek olması veri işleme faaliyetinin kendisinin de kanun kapsamı dışında olduğu anlamına gelmeyecektir. Çünkü Bir veri sorumlusu tarafından işlenen kişisel veriler Kanunlarda açıkça öngörülmesi şartına dayanarak işleniyorsa, bu faaliyet 6698 sayılı Kanundan istisna olmasını gerektirmez.

b) Fiili imkânsızlık halinde kişisel verilerin işlenmesi

Fiili imkânsızlık nedeniyle rızanın açıklanamadığı ancak kişinin veya üçüncü bir kişinin hayatı ya da beden bütünlüğünün korunmasının zorunlu olduğu veri faaliyetinin işlenmesi mümkündür. Bilinci kapalı şekilde hastaneye kaldırılan bir kişinin tıbbi müdahale amacıyla kan grubu, geçirmiş olduğu hastalıklar, uygulanan tedaviler, kullandığı ilaçlara ilişkin ya da hürriyeti kısıtlanan kişinin kurtarılması amacıyla kendisinin ve şüphelinin verilerinin işlenmesi faaliyeti hukuka uygun bir veri işleme faaliyeti olacaktır.

c) Bir sözleşmenin kurulması ya da ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşme taraflarına ait kişisel verilerinin işlenmesi

Bir sözleşmenin kurulması ya da ifası hallerinde sözleşmenin taraflarına ait kişisel verilerin işlenmesi mümkündür. Bu kişisel verilerin, sözleşmenin kurulması ya da ifasıyla doğrudan doğruya bir ilişkisi olması ve işlenmesi sözleşmenin amacı gereği zorunluluk teşkil etmelidir.

Burada dikkat edilmesi gereken en önemli husus doğrudanlık ilişkisidir. Sözleşmenin amacıyla ya da ifasıyla ilgisi olmayan, dolaylı nitelik taşıyan bir verinin işlenmesi ancak ilgili kişinin açık rızasının alınması halinde mümkündür aksi halde hukuka aykırı bir veri işleme faaliyeti söz konusu olacaktır.

Sözleşme bir para borcunun ödenmesine ilişkinse alacaklının hesap numarasının alınması ya da bir malın teslimine ilişkin ise alıcının adresinin kaydedilmesi hallerinde açık rıza aranmamaktadır.

d) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması

Kanunlarda açıkça öngörülmeye benzer nitelik olan bir veri şartı olup veri sorumlusunun hukuki yükümlülüğünü yerine getirmek amacıyla veri işlemesinin zorunlu olduğu hallerde ilgili kişilerin açık rızası aranmaksızın kişisel verilerin işlenmesi mümkündür.

İşverenin maaş ödemesi için çalışanının banka hesap bilgilerini kaydetmesi, asgari geçim indiriminin belirlenebilmesi içine evli olup olmadığı bilgisi, çalışana çocuklara ilişkin eğitim parası ödeniyorsa çocukların eğitimine ilişkin bilgilerin kaydedilmesi ya da mahkemelerin veya devlet kurumların talepleri halinde çalışana ilişkin kişisel verilerin aktarılması bu kapsamda değerlendirilmektedir. Ancak önemle dikkat etmek gerekir ki veri sorumlusu, mahkeme veya devlet kurumların talep ettiği kişisel veri konusuyla sınırlıdır.

asiri-veri

Talebin sınırları aşılarak bir veri aktarımı sağlanması halinde veri sorumlusunun sorumluluğu doğacaktır. Bu husus 02.08.2018 tarihli Kurul Kararı’da değerlendirilmiş olup, veri sorumlusu idari yaptırıma tâbi tutulmuştur.

Şöyle ki; Mahkemece veri sorumlusundan ilgili kişi hakkında bazı kişisel verilerin talep edilmesi ve veri sorumlusunun gereğinden fazla kişisel veri aktarımında bulunmasının; hukuki yükümlülüğün yerine getirilmesi için zorunlu olması kapsamında değerlendirilemeyeceğine ve veri sorumlusunun bu eyleminin Kanun’un 4.maddesinde yer alan temel ilkelerden işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırılık teşkil ettiği tespit edilerek veri sorumlusu hakkında idari yaptırım kararı uygulanmıştır. 

Yukarıda da izah edildiği üzere veri sorumlusunun veri işleme faaliyeti 5.maddedeki kurallara uygun olması yeterli değildir. 4. Maddede yazılı temel ilkelere de uygun işleme faaliyetinde bulunmak gerekir. Bu sebeple verilerin işlendikleri amaçla bağlantılı ve sınırlı olarak ölçülü bir şekilde işlenmesi şarttır.

e) Kişisel verinin ilgili kişi tarafından alenileştirilmiş olması

Alenileştirme, kişinin kendi iradesiyle bilgilerini herkese açık hale getirmesidir. Örneğin kişi yaptığı iş gereği iletişim bilgilerini ulaşılabilirliğini mümkün kılacak şekilde paylaşması bir alenileştirme halidir.

Ancak veri işleme faaliyetinin alenileştirme sebebiyle sınırlı bir şekilde gerçekleştirilmesi gerekmektedir. 07.11.2019 tarihli ve 2019/331 sayılı Kurul Kararı’nda da alenileştirilmiş kişisel verinin alenileştirme amacı dışında kullanılması hususu gündeme getirilmiş ve hukuka aykırı bir şekilde veri işleyen şirkete idari para cezası uygulanmıştır.

KVKK-Karar-07.11.2019- 2019_331_

Verilerin İlgili kişinin tarafından alenileştirilmiş olması alenileşen bu verilerin her isteyen tarafından ilgili kişinin alenileştirme amacından farklı bir amaçla işlenebileceği sonucu çıkmaz. Dolayısıyla, ilgili kişinin kendisi tarafından alenileştirilmiş kişisel veriler ancak bu amaç doğrultusunda işlenebilecektir.

Örneğin ikinci el satışların gerçekleştirildiği bir uygulamada ilgili kişinin satış amaçlı paylaşmış olduğu telefon veya e-posta bilgisi sadece aracı satış amacı ile veya satılan ile ilgili bilgi almak amacı ile kullanılabilir. Satıcının alenileştirilmiş olduğu telefon veya e-posta bilgisinin bunun dışında bir amaçla kullanılması Kanunun 4. maddesine aykırılık teşkil edecektir.

f) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin verilerin işlenmesinin  zorunlu olması

Veri sorumlusu bir hakkın tesisi, kullanılması ya da korunması amacıyla veri işleme faaliyetini gerçekleştirme faaliyetini ilgili kişinin rızası almaksızın gerçekleştirebilir. Bir çalışanın işyerinden ayrılması halinde, veri sorumlusu dava zamanaşımı süresi boyunca çalışanın verilerinin saklanması bu kapsamda değerlendirilecek bir veri işleme faaliyetidir.

g) Veri sorumlusunun meşru menfaatleri için kişisel verilerin işlenmesinin zorunlu olması

Veri sorumlusunun, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla meşru menfaatleri için ilgili kişinin rızasını almaksızın veri işlemesi mümkündür.  Burada esas alınması gereken iki unsur bulunmaktadır. Birincisi ilgili kişinin temel hak ve özgürlüklerine zarar vermeyecek ikinci olarak da meşru bir menfaat söz konusu olmalıdır. Bu husus 25/03/2019 tarihli ve 2019/78 Sayılı Kurul Kararı’nda kapsamlı bir şekilde ele alınmıştır. Karar uyarınca;

KVKK-Karar-25.03.2019 -2019_78

Hususlarının değerlendirilmesinin ardından veri işlemenin meşru menfaatler için zorunluluk teşkil etmesinde açık rızanın aranmayacağında karar kılmıştır.

Ancak ileride daha detaylı açılanacağı üzere özel nitelikli kişisel veriler ve bunların içinde yer alan kişisel sağlık verilerinin meşru menfaat çerçevesinde işlenmesi mümkün değildir.

Son olarak belirtmek gerekir ki; kişisel verilerin işlenmesi şartlarının tümü bir araya gelse ve veri işleme faaliyeti hukuka uygun olsa dahi veri sorumlusunun ilgili kişiyi aydınlatma yükümlülüğüne uygun olarak verilerin işlenmesi konusunda bilgilendirmesi gerekir. Aksi takdirde veri işleme faaliyeti hukuka aykırı olacaktır.

Yorum Bırak

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir