Kişisel Verilerin İşlenme Şartları
Av. Burak ÜÇÜNCÜ
(Yazının fikri mülkiyet hakları yazara aittir. Makalenin herhangi bir bölümünün başka bir yayında kullanılmasına ancak atıfta bulunulması şartı ile izin verilir. İzinsiz çoğaltılamaz, tüm saklıdır)
Kişisel verilerin işlenme şartlarını, özel nitelikli kişisel verilerin işlenme şartları ve özel nitelikli olmayan kişisel verilerin işlenme şartları olarak ikiye ayırmak mümkündür. Özel nitelikli kişisel verilerin işlenme şartları diğer kişisel verilere oranla koruma alanı daha fazla olduğundan farklı düzenlemeye tabi tutulmuştur. Daha evvel özel nitelikli kişisel verilerin işleme şartlarını işlemiş olduğumuzdan, okumuş olduğunuz başlıkla özel nitelikli olmayan kişisel verilerin işlenme şartlarına yer vereceğiz. Kişisel veri işlemenin ne olduğuna ilişkin detaylı bilgi için bu linke göz atabilirsiniz.
Kişisel veriler kural olarak ancak açık rızanın varlığı halinde işlenebilmektedir. Ancak KVKK’da belirtilen kişisel veri işleme şartlarının varlığı halinde veri sorumlusu tarafından açık rıza alınmasına gerek kalmaksızın ilgili kişisel verinin işlenmesi mümkündür. Bu yönüyle veri işleme şartlarının tamamına hakim olmak ve önce varsa açık rıza dışında şartlardan birisi ile birlikte kişisel veri işlemek, aksi halde açık rıza alınması yoluna başvurmak gerekir. Açık rıza alınarak kişisel veri işlemek, veri işleme süreçlerinde diğer veri işleme şartlarından sonra gelecek “son çaredir”. Aksi halde kişisel veri işleme süreçleri sekteye uğrayarak, hukuka aykırı durumlar yaratılabilecektir.
İçindekiler [gizle]
- 1 Açık Rıza Halinde (KVKK m.5/1)
- 2 Kanunlarda Açıkça Öngörülme (KVKK m.5/2-a)
- 3 Fiili İmkânsızlık Nedeniyle Rızanın Alınamadığı Hallerde (KVKK m.5/2-b)
- 4 Bir Sözleşmenin Kurulması İçin Gerekli Olması (KVKK m.5/2-c)
- 5 Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirebilmesi İçin Zorunlu Olması (KVKK m.5/2-ç)
- 6 İlgili Kişinin Kendisi Tarafından Alenileştirilmiş Olması (KVKK m.5/2-d)
- 7 Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Veri İşlemenin Zorunlu Olması (KVKK m.5/2-e)
- 8 Veri Sorumlusunun Meşru Menfaatleri İçin Veri İşlenmesinin Zorunlu Olması (KVKK m.5/2-f)
Açık Rıza Halinde (KVKK m.5/1)
Hem Anayasa m. 20/3 hem de Kişisel Verilerin Korunması Kanunu (“KVKK”) m.5/1 uyarınca kişisel veriler yalnızca açık rıza dahilinde işlenebilir. Kural olarak kişisel verilerin açık rıza olmaksızın işlenmesi yasaktır. Ancak açık rıza alınması dışındaki kişisel veri işleme şartlarının varlığı halinde yine de açık rıza alarak veri işleme yoluna başvurulması Kişisel Verilerin Korunması Kurulu (“Kurul”) tarafından hakkın kötüye kullanılması olarak yorumlanmaktadır. Bu yönüyle kişisel veri işlemeden evvel aşağıda da açıklayacağımız diğer veri işleme şartlarının varlığı aranmalı, şartların yokluğu halinde açık rıza alınması yoluna başvurulmalıdır.
Kanunlarda Açıkça Öngörülme (KVKK m.5/2-a)
Kişisel veri işleme kanunlarda “açıkça” öngörülüyorsa bu durumda kişisel veri işleme şartının varlığından söz edilecektir. Bu durumda veri sorumlusu kanunda yer alan açık düzenlemeler gereği, ilgili kişiden açık rıza almaksızın kişisel veri işleyebilecektir. Ayrıca bu şart, veri işleme şartlarının sınırlı sayımla belirlenmesini ortadan kaldırarak kanunlarda açıkça düzenlenmesi hallerinde veri işlemeyi mümkün hale getirmektedir.
Kişisel veri işleme şartının kanunlarda açıkça öngörülmeye dayandırılması, Anayasa’da yer alan “kişisel verilerin korunmasına ilişki esas ve usuller kanunla düzenlenir” hükmünün parçası olup, Anayasa hükmünün tezahürü olan KVKK m.5/2-a gereği kişisel verilerin işlenmesi kanunlarda açıkça öngörülüyorsa açık rıza almaksızın işlenebilmektedir.
Fiili İmkânsızlık Nedeniyle Rızanın Alınamadığı Hallerde (KVKK m.5/2-b)
Bu veri işleme şartından bahsedebilmek için fiili imkânsızlık hali ve ilgili kişinin rızasını açıklayamayacak durumda olması veya rızasına hukuken geçerlilik tanınmayacak durumda olunması gerekmektedir. Yine bu hukuka uygunluk sebebinin uygulanabilmesi için ilgili kişinin kendisinin ya da bir başkasının hayati veya beden bütünlüğünün korunmasının zorunlu olması gerekir. Mevcut her iki kıstasın da birlikte olmadığı hallerde veri işlemenin meşru olduğu söylenemez. Kişi rızasını açıklayabilecek konumda ise bu kişisel veri işleme şartına dayanılamayacaktır.
Bir Sözleşmenin Kurulması İçin Gerekli Olması (KVKK m.5/2-c)
Bu kişisel veri işleme şartını tam metinle birlikte “Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan Doğruya İlgili Olması Kaydıyla Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesinin Gerekli Olması” olarak ifade etmemiz gerekir.
Sözleşmeler doğası gereği hukuki sonuç doğurma amacında olduğundan, tarafların bir takım kişisel verilerinin sözleşmenin kurulması veya ifası adına işlenmesi gereklidir. Bu sebeple sözleşme kurulması veya ifası amacı güdülerek tarafların kişisel verileri gereklilik ve ölçülülük ilkeleri ile dürüstlük kuralı çerçevesinde işlenebilecektir.
Örneğin, bir alım satım sözleşmesi kuruluyor ise bu sözleşmede tarafların IBAN bilgilerinin yer alması, borcu yüklenen tarafın ücreti ödemesi sözleşmenin ifası adına gerekli olduğundan; IBAN numarasının işlenmesi meşrudur.
Özel nitelikli kişisel verilerin sözleşmenin kurulması veya ifası kapsamında işlenmesi, kişisel veri işleme şartı olarak düzenlenmediğinden, bu şarta dayanılarak özel nitelikli kişisel veri işlenemeyecektir.
Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirebilmesi İçin Zorunlu Olması (KVKK m.5/2-ç)
Bu veri işleme şartı ile bir veri sorumlusu, hukuki yükümlülüğünü yerine getirmek adına kişisel veri işleyebilir. Bu veri işleme şartına dayanarak kişisel veri işleyen veri sorumlusunun ilgili kişiden açık rıza almasına gerek yoktur.
Veri sorumlusunun bu şarta dayanarak kişisel veri işleyebilmesi için tek zorunlu unsur; veri işlemenin hukuki yükümlülük olmasıdır. Örneğin bir işverenin, işçisine ait banka hesap numarasını işlemesi işveren bakımından hukuki bir yükümlülüktür. Aynı zamanda bu durumun sözleşmenin ifası adına bir gereklilik olduğu da açıktır. Dolayısıyla bu örnekte her iki veri işleme şartının bir arada olduğu anlaşılmaktadır. Bu durumda işverenin her iki veri işleme şartına dayanarak işçisinden açık rıza almasına gerek yoktur.
İlgili Kişinin Kendisi Tarafından Alenileştirilmiş Olması (KVKK m.5/2-d)
İlgili kişinin kendisi tarafından kişisel verilerini alenileştirmiş olması halinde açık rıza almaksızın kişisel veriler işlenebilmektedir. Burada ilgili kişi, kişisel verilerini herkes tarafından görünür kılarak kişisel verilerine herkesin erişebilmesini sağlamaktadır.
Kamuoyuna açıklanmış, herkesçe bilinir kılınan kişisel verilerin işlenmesi için, alenileştirilmenin yalnızca ilgili kişi tarafından yapılması gerekir. İlgili kişi dışında aleni hale getirilen kişisel verilerin işlenmesi, bu meşru şarta dayanılarak gerçekleştirilemez. Sosyal medya hesaplarından yapılan paylaşımlar alenileştirilmiş kişisel verilere en iyi örnektir.
Diğer yandan ilgili kişi tarafından alenileştirilmiş kişisel veriler, ilgili kişinin alenileştirme amacı dışında işlenmemelidir. Bu durumda alenileştirme iradesine aykırı bir veri işleme faaliyetinden söz konusu olacağından, işlemenin hukuka uygun olduğundan bahsedilemeyecektir. Örneğin, internet sitesi üzerinde ikinci el ilanı veren ilgili kişinin telefon numara bilgisinin, sırf kişisel verinin alenileştirilmiş olması dolayısıyla pazarlama amacıyla kullanılmaması gerekir.
Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Veri İşlemenin Zorunlu Olması (KVKK m.5/2-e)
Veri sorumlusu bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olduğu hallerde kişisel veri işleyebilecektir. Buradaki bir hakkın tesisi, kullanılması veya korunmasından ne anlaşılacağı sorgulanmalı, bu yönde bir çerçeve çizilmelidir. Kanun madde gerekçesinde bu şarta yönelik, bir şirketin kendi çalışanı tarafından açılan bir davada ispat için çalışanın kişisel verilerini kullanması veya kısıtlı bir kişinin haklarının korunması amacıyla vasinin veya kayyımın, kısıtlının mali bilgilerini tutması örneklendirilmiştir.
Veri Sorumlusunun Meşru Menfaatleri İçin Veri İşlenmesinin Zorunlu Olması (KVKK m.5/2-f)
Veri sorumlusu meşru menfaatleri gereği, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla açık rıza almaksızın kişisel veri işleyebilecektir. Bu durumda işleme zorunlu olmalı ve ilgili kişi ile veri sorumlusunun menfaatleri dengelenmelidir.
Meşru menfaat kavramından ne anlaşılması gerektiği yönünde çok sayıda tartışma bulunmaktadır. Nitekim kanunda meşru menfaatin ne olduğuna yönelik herhangi bir tanımlama yoluna gidilmemiştir. Madde gerekçesinde meşru menfaat kavramına yönelik, işverenin çalışanlarının temel hak ve özgürlüklerine zarar vermemek kaydıyla, terfi, maaş zamları yahut sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve yol dağıtımında esas alınmak üzere çalışanların kişisel verilerini işlemesinin bu şarta ilişkin olduğu ifade edilmiştir.
Bu şarta dayanmadan evvel, veri sorumlusunun meşru menfaati adına gerçekten ilgili kişinin kişisel verilerinin işlemesinin gerekli olup olmadığı, gereklilik ve ölçülülük ilkesi kapsamında değerlendirilmelidir. Bu veri işleme şartına dayanmak için öncelikle veri sorumlusunun meşru menfaati dürüstlük kuralına uygun olarak tespit edilmeli, sonrasında veri işlemenin ilgili kişinin temel hak ve özgürlüklerine zarar verip vermediği değerlendirilmelidir. Meşru menfaat, veri sorumlusunun işleme sonrasında elde edeceği faydaya yöneliktir. Bu faydanın, ilgili kişinin temel hak ve özgürlükleriyle yarışacak düzeyde etkin, belirli ve hazır olması gerekir. Aksi halde bu şarta dayanılarak veri işlemenin hukuka uygun olmayacağı açıktır. Nitekim bu şart, veri sorumlusuna meşru menfaat kavramı ile sınırsız bir veri işleme imkânı vermemektedir.