Makale
Kişisel verilerin işlenmesi, hem ülkemizde yürürlükte olan KVKK hem de Avrupa Birliği mevzuatı olan GDPR kapsamında sıkı kurallara bağlanmıştır. Bu makalede, veri işleme şartları, hukuka uygunluk sebepleri ve veri sorumlusu ile veri işleyen kavramları hukuki bir perspektifle, güncel mevzuat ışığında karşılaştırmalı olarak incelenmektedir.
Hukuki Perspektiften KVKK ve GDPR Kapsamında Veri İşleme
Günümüzde bilişim teknolojilerinin hızla gelişmesi, kişisel verilerin korunması ihtiyacını her zamankinden daha önemli bir hale getirmiştir. Ülkemizde yürürlükte olan 6698 sayılı Kişisel Verilerin Korunması Kanunu, Avrupa Birliği'nin 95/46/AT sayılı Direktifi temel alınarak hazırlanmış olup, temel hak ve özgürlükleri korumayı amaçlamaktadır. Ancak uluslararası alanda standart kabul edilen Genel Veri Koruma Tüzüğü, kişisel verilerin işlenmesi konusunda çok daha detaylı ve güncel teknolojilere uyumlu düzenlemeler içermektedir. Bir bilişim hukuku avukatı perspektifiyle değerlendirildiğinde, şirketlerin veri işleme faaliyetlerini bu iki temel mevzuatın kesişim noktasında, hukuka ve dürüstlük kurallarına uygun bir şekilde yürütmesi hukuki bir zorunluluktur. Kişisel verilerin işlenmesi, verilerin elde edilmesinden başlayarak kaydedilmesi, depolanması, değiştirilmesi ve sınıflandırılması gibi süreçlerin tamamını kapsayan geniş bir hukuki kavramdır. Bu süreçte ihlallerin önüne geçmek için veri işleme şartlarının ve tarafların sorumluluklarının net bir şekilde anlaşılması şarttır.
Kişisel Veri ve Özel Nitelikli Veri Kavramları
KVKK ve GDPR kapsamında koruma altına alınan temel unsur, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanan kişisel veridir. Sadece doğrudan kimlik teşhisi sağlayan bilgiler değil, dolaylı olarak kişiyi belirlenebilir kılan veriler de bu kapsama girmektedir. Hukuk uygulamalarında özellikle dikkat edilmesi gereken nokta, özel nitelikli kişisel veri kavramıdır. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, sağlığı, cinsel hayatı, genetik ve biyometrik verileri bu hassas kategoriye girmektedir. Bu verilerin işlenmesi, kişilerin ayrımcılığa uğrama veya ciddi mağduriyetler yaşama riskini barındırdığı için, kural olarak yasaklanmış ve ancak kanunda açıkça belirtilen istisnai hallerde veya ilgili kişinin açık rızası ile işlenebileceği hüküm altına alınmıştır. Sağlık verilerinin işlenmesi gibi durumlarda, sır saklama yükümlülüğü altındaki meslek mensuplarının varlığı gibi çok sıkı istisnai şartlar aranmaktadır.
Veri Sorumlusu ve Veri İşleyen Arasındaki Hukuki İlişki
Veri işleme süreçlerinin hukuki sorumluluk boyutu, veri sorumlusu ve veri işleyen kavramları üzerinden şekillenmektedir. Mevzuata göre veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına verileri işleyen taraftır. Avrupa mevzuatı uygulamasında bu kavramlar kontrolör ve işlemci olarak adlandırılır. Hukuki açıdan bakıldığında, veri sorumlusu organizasyonel süreçlerin hukuka uygunluğundan ve hesap verilebilirlik ilkesi üzerinden doğrudan sorumludur. Ancak veri işleyenin de veri sorumlusu ile birlikte müteselsil bir sorumluluğa sahip olduğu unutulmamalıdır. İşletmelerin uyum süreçlerinde, bu iki aktör arasındaki sınırların ve talimat ilişkisinin sözleşmelerle net bir biçimde çizilmesi, olası idari yaptırımların önüne geçmek için kritik öneme sahiptir.
Kişisel Verilerin İşlenmesinde Temel İlkeler ve Hukuka Uygunluk
Gerek ulusal kanunumuz gerekse Avrupa mevzuatı, kişisel verilerin işlenmesinde uyulması zorunlu evrensel temel ilkeler belirlemiştir. Bir veri işleme faaliyetinin hukuka uygun kabul edilebilmesi için bu ilkelere titizlikle uyulması şarttır. Hukuka ve dürüstlük kurallarına uygun olma ilkesi, işlemlerin şeffaf bir şekilde ve ilgili kişinin temel hakları ihlal edilmeden yürütülmesini emreder. Amaca bağlılık ilkesi, verilerin önceden belirlenmiş, meşru amaçlar doğrultusunda toplanmasını gerektirirken; veri minimizasyonu ilkesi, sadece gerektiği kadar verinin işlenmesini hukuki bir sınır olarak çizer. Aşağıdaki tabloda, veri işlenmesinin temel dayanakları olan hukuka uygunluk sebepleri özetlenmiştir:
| Hukuka Uygunluk Sebebi | Açıklama ve Hukuki Kapsam |
|---|---|
| Açık Rıza | Bilgilendirmeye dayanan ve özgür iradeyle açıklanan net onaydır. |
| Sözleşmenin İfası | Sözleşmenin kurulması veya ifasıyla doğrudan ilgili işlemlerdir. |
| Meşru Menfaat | İlgili kişinin temel haklarına zarar vermemek kaydıyla zorunlu işlemedir. |
Bu sebeplerden herhangi birine dayanmayan faaliyetler, hukuka aykırı kabul edilmekte ve veri sorumluları nezdinde ağır idari yaptırımlara yol açabilmektedir.
Açık Rıza ve Aydınlatma Yükümlülüğünün Önemi
Hukuk pratiğinde en çok ihtilaf yaşanan konuların başında açık rıza ve aydınlatma yükümlülüğü gelmektedir. Mevzuata göre açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve kişinin özgür iradesiyle verdiği onaydır. Hukuken geçerli bir rızanın oluşabilmesi için, veri sorumlusunun işlem öncesinde veri sahibini eksiksiz biçimde aydınlatmış olması gerekir. Aydınlatma yükümlülüğü, veri sorumlusunun kimliği, işleme amacı, hukuki sebep ve ilgili kişinin hakları gibi kritik bilgileri şeffaf bir dille aktarmasını zorunlu kılar. Tıbbi müdahalelerde alınan onam formları ile kişisel verilerin işlenmesine yönelik alınan açık rıza metinleri birbirinden hukuken farklıdır ve ayrı ayrı alınmaları şarttır. İlgili kişi dilediği zaman açık rızasını geri alma hakkına sahiptir; bu durumda kişisel veri işleme faaliyetinin derhal durdurulması ve mevcut verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi kanuni bir zorunluluktur.