Anasayfa/ Makale/ Hukuki Perspektiften KVKK ve GDPR Kapsamında Veri İşleme

Hukuki Perspektiften KVKK ve GDPR Kapsamında Veri İşleme

Kişisel verilerin işlenmesi, hem ülkemizde yürürlükte olan KVKK hem de Avrupa Birliği mevzuatı olan GDPR kapsamında sıkı kurallara bağlanmıştır. Bu makalede, veri işleme şartları, hukuka uygunluk sebepleri ve veri sorumlusu ile veri işleyen kavramları hukuki bir perspektifle, güncel mevzuat ışığında karşılaştırmalı olarak incelenmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
KVKK AYDINLATMA YÜKÜMLÜLÜĞÜ GDPR (GENEL VERİ KORUMA TÜZÜĞÜ) ÖZEL NİTELİKLİ KİŞİSEL VERİ AÇIK RIZA

Günümüzde bilişim teknolojilerinin hızla gelişmesi, kişisel verilerin korunması ihtiyacını her zamankinden daha önemli bir hale getirmiştir. Ülkemizde yürürlükte olan 6698 sayılı Kişisel Verilerin Korunması Kanunu, Avrupa Birliği'nin 95/46/AT sayılı Direktifi temel alınarak hazırlanmış olup, temel hak ve özgürlükleri korumayı amaçlamaktadır. Ancak uluslararası alanda standart kabul edilen Genel Veri Koruma Tüzüğü, kişisel verilerin işlenmesi konusunda çok daha detaylı ve güncel teknolojilere uyumlu düzenlemeler içermektedir. Bir bilişim hukuku avukatı perspektifiyle değerlendirildiğinde, şirketlerin veri işleme faaliyetlerini bu iki temel mevzuatın kesişim noktasında, hukuka ve dürüstlük kurallarına uygun bir şekilde yürütmesi hukuki bir zorunluluktur. Kişisel verilerin işlenmesi, verilerin elde edilmesinden başlayarak kaydedilmesi, depolanması, değiştirilmesi ve sınıflandırılması gibi süreçlerin tamamını kapsayan geniş bir hukuki kavramdır. Bu süreçte ihlallerin önüne geçmek için veri işleme şartlarının ve tarafların sorumluluklarının net bir şekilde anlaşılması şarttır.

Kişisel Veri ve Özel Nitelikli Veri Kavramları

KVKK ve GDPR kapsamında koruma altına alınan temel unsur, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanan kişisel veridir. Sadece doğrudan kimlik teşhisi sağlayan bilgiler değil, dolaylı olarak kişiyi belirlenebilir kılan veriler de bu kapsama girmektedir. Hukuk uygulamalarında özellikle dikkat edilmesi gereken nokta, özel nitelikli kişisel veri kavramıdır. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, sağlığı, cinsel hayatı, genetik ve biyometrik verileri bu hassas kategoriye girmektedir. Bu verilerin işlenmesi, kişilerin ayrımcılığa uğrama veya ciddi mağduriyetler yaşama riskini barındırdığı için, kural olarak yasaklanmış ve ancak kanunda açıkça belirtilen istisnai hallerde veya ilgili kişinin açık rızası ile işlenebileceği hüküm altına alınmıştır. Sağlık verilerinin işlenmesi gibi durumlarda, sır saklama yükümlülüğü altındaki meslek mensuplarının varlığı gibi çok sıkı istisnai şartlar aranmaktadır.

Veri Sorumlusu ve Veri İşleyen Arasındaki Hukuki İlişki

Veri işleme süreçlerinin hukuki sorumluluk boyutu, veri sorumlusu ve veri işleyen kavramları üzerinden şekillenmektedir. Mevzuata göre veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına verileri işleyen taraftır. Avrupa mevzuatı uygulamasında bu kavramlar kontrolör ve işlemci olarak adlandırılır. Hukuki açıdan bakıldığında, veri sorumlusu organizasyonel süreçlerin hukuka uygunluğundan ve hesap verilebilirlik ilkesi üzerinden doğrudan sorumludur. Ancak veri işleyenin de veri sorumlusu ile birlikte müteselsil bir sorumluluğa sahip olduğu unutulmamalıdır. İşletmelerin uyum süreçlerinde, bu iki aktör arasındaki sınırların ve talimat ilişkisinin sözleşmelerle net bir biçimde çizilmesi, olası idari yaptırımların önüne geçmek için kritik öneme sahiptir.

Kişisel Verilerin İşlenmesinde Temel İlkeler ve Hukuka Uygunluk

Gerek ulusal kanunumuz gerekse Avrupa mevzuatı, kişisel verilerin işlenmesinde uyulması zorunlu evrensel temel ilkeler belirlemiştir. Bir veri işleme faaliyetinin hukuka uygun kabul edilebilmesi için bu ilkelere titizlikle uyulması şarttır. Hukuka ve dürüstlük kurallarına uygun olma ilkesi, işlemlerin şeffaf bir şekilde ve ilgili kişinin temel hakları ihlal edilmeden yürütülmesini emreder. Amaca bağlılık ilkesi, verilerin önceden belirlenmiş, meşru amaçlar doğrultusunda toplanmasını gerektirirken; veri minimizasyonu ilkesi, sadece gerektiği kadar verinin işlenmesini hukuki bir sınır olarak çizer. Aşağıdaki tabloda, veri işlenmesinin temel dayanakları olan hukuka uygunluk sebepleri özetlenmiştir:

Hukuka Uygunluk Sebebi Açıklama ve Hukuki Kapsam
Açık Rıza Bilgilendirmeye dayanan ve özgür iradeyle açıklanan net onaydır.
Sözleşmenin İfası Sözleşmenin kurulması veya ifasıyla doğrudan ilgili işlemlerdir.
Meşru Menfaat İlgili kişinin temel haklarına zarar vermemek kaydıyla zorunlu işlemedir.

Bu sebeplerden herhangi birine dayanmayan faaliyetler, hukuka aykırı kabul edilmekte ve veri sorumluları nezdinde ağır idari yaptırımlara yol açabilmektedir.

Açık Rıza ve Aydınlatma Yükümlülüğünün Önemi

Hukuk pratiğinde en çok ihtilaf yaşanan konuların başında açık rıza ve aydınlatma yükümlülüğü gelmektedir. Mevzuata göre açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve kişinin özgür iradesiyle verdiği onaydır. Hukuken geçerli bir rızanın oluşabilmesi için, veri sorumlusunun işlem öncesinde veri sahibini eksiksiz biçimde aydınlatmış olması gerekir. Aydınlatma yükümlülüğü, veri sorumlusunun kimliği, işleme amacı, hukuki sebep ve ilgili kişinin hakları gibi kritik bilgileri şeffaf bir dille aktarmasını zorunlu kılar. Tıbbi müdahalelerde alınan onam formları ile kişisel verilerin işlenmesine yönelik alınan açık rıza metinleri birbirinden hukuken farklıdır ve ayrı ayrı alınmaları şarttır. İlgili kişi dilediği zaman açık rızasını geri alma hakkına sahiptir; bu durumda kişisel veri işleme faaliyetinin derhal durdurulması ve mevcut verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi kanuni bir zorunluluktur.

Hastalığım veya parmak izim gibi özel bilgilerimi her şirket kaydedebilir mi? expand_more
Sağlık verileriniz veya parmak iziniz gibi biyometrik verileriniz, kanunlarımızda özel nitelikli kişisel veri olarak kabul edilmektedir. Bu hassas bilgilerin herhangi bir şirket tarafından keyfi olarak işlenmesi kural olarak kesinlikle yasaklanmıştır. Söz konusu verilerin hukuka uygun bir şekilde işlenebilmesi için mutlaka açık rızanızın alınması gerekmektedir. Açık rızanız bulunmuyorsa, ancak kanunda açıkça belirtilen çok sıkı istisnai şartların varlığı halinde bu veriler kayıt altına alınabilir.
Bir siteye üye olurken verdiğim bilgi onayını sonradan iptal edebilir miyim? expand_more
Evet, kişisel verilerinizin işlenmesine yönelik vermiş olduğunuz açık rızayı dilediğiniz zaman özgürce geri alma hakkına tamamen sahipsiniz. Siz onayınızı geri çektiğiniz andan itibaren, ilgili şirketin veri işleme faaliyetini derhal durdurması kanuni bir zorunluluktur. Veri işlemeyi durdurmakla kalmayıp, bu rızaya dayanarak daha önce elde ettikleri verileri de ortadan kaldırmaları gerekir. Yani firmanın elinde bulunan mevcut kişisel verilerinizin gecikmeksizin silinmesi, yok edilmesi veya anonim hale getirilmesi hukuki bir şarttır.
Benden bilgi istiyorlar ama ne için kullanacaklarını söylemiyorlar, yasal mı? expand_more
Hayır, verilerinizin ne amaçla kullanılacağını belirtmeden sizden bilgi talep etmeleri mevzuata ve dürüstlük kuralına kesinlikle aykırıdır. Kanunlarımıza göre veri sorumlusu konumundaki kişi veya şirketlerin, sizden onay almadan önce mutlaka yerine getirmesi gereken bir aydınlatma yükümlülüğü bulunmaktadır. Bu yükümlülük, sizden neden veri istendiğinin, bu verilerin hangi hukuki sebebe dayanılarak işleneceğinin ve haklarınızın neler olduğunun şeffaf bir dille size aktarılmasını emreder. Dolayısıyla, öncesinde eksiksiz bir bilgilendirme yapılmadan geçerli bir açık rızanızın varlığından bahsedilemez ve bu tür usulsüz işlemler ağır idari yaptırımlara tabidir.
Sadece kargo göndermek için bile benden bir sürü gereksiz bilgi istiyorlar! expand_more
Şirketlerin sundukları hizmetle doğrudan ilgisi olmayan gereksiz bilgileri sizden talep etmesi hukuken uygun bir yaklaşım değildir. Hukukumuzda kişisel verilerin işlenmesine yönelik amaca bağlılık ve veri minimizasyonu adı verilen çok temel sınırlandırıcı ilkeler bulunmaktadır. Bu ilkeler çerçevesinde işletmeler, sadece yerine getirecekleri meşru işlem için gerektiği kadar veriyi talep etmek zorundadır. İşlemin amacı dışında, gereğinden fazla bilginin toplanması kanunun açık bir ihlalidir ve veri sorumluları nezdinde idari yaptırımlara yol açar.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir