Makale
Kişisel verilerin hukuka uygun olarak işlenebilmesi için Kişisel Verilerin Korunması Kanunu'nda yer alan temel ilkelere uyulması şarttır. Bu makalede, veri işlemede dürüstlük kuralları, belirli ve meşru amaçlar gibi genel ilkeler ile açık rıza ve açık rızanın aranmadığı kanuni istisnalar hukuki bir perspektifle detaylıca incelenmektedir.
Kişisel Veri İşleme İlkeleri ve Hukuka Uygunluk Sebepleri
6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca, kişisel verilerin işlenmesi belirli bir disiplin altına alınmış ve keyfiliğin önüne geçilmesi hedeflenmiştir. Uygulamada sıkça karşılaşıldığı üzere, bir veri işleme faaliyetinin hukuka uygun kabul edilebilmesi için yalnızca bir işlenme şartına dayanması yeterli değildir; aynı zamanda kanunda emredici olarak düzenlenen genel ilkelere mutlak surette uyulması gerekmektedir. Kanun koyucu, bu ilkeleri birer tavsiye niteliğinde değil, her türlü veri işleme sürecinin temelini oluşturan zorunlu kurallar olarak kurgulamıştır. Bu bağlamda, veri sorumlularının faaliyetlerini yürütürken hukuka ve dürüstlük kurallarına riayet etmesi, işleme amacını baştan açıkça belirlemesi ve orantılılık ekseninde hareket etmesi şarttır. Bununla birlikte, verilerin işlenebilmesi için açık rıza mekanizması kural olarak benimsenmiş olsa da, kanun koyucu ticari ve sosyal hayatın olağan akışını sekteye uğratmamak adına çeşitli hukuka uygunluk sebepleri öngörerek açık rızanın istisnalarını da yasal zemine oturtmuştur.
Kişisel Verilerin İşlenmesinde Genel İlkeler
Kişisel veri işleme faaliyetlerinin yasal zeminini oluşturan genel ilkeler, birbirleriyle yakın ilişki içinde olan ve her biri eşit öneme sahip emredici kurallardır. Bu ilkelerden ilki olan hukuka ve dürüstlük kurallarına uygun olma şartı, yalnızca şekli bir kanuniliğe değil, tüm hukuk sistemine, evrensel hukuk prensiplerine ve hakkaniyete uygunluğu ifade etmektedir. Bu ilke çerçevesinde, veri işlerken ilgili kişilerin menfaatlerinin ve makul beklentilerinin mutlaka dikkate alınması, şeffaf bir tutum sergilenmesi gerekmektedir. Aynı zamanda işlenen verilerin doğru ve gerektiğinde güncel olma zorunluluğu, kişilerin eksik veya hatalı veriler nedeniyle maddi ya da manevi mağduriyet yaşamasını engellemeyi amaçlar. Bunun yanı sıra, kişisel veriler zorunlu olarak belirli, açık ve meşru amaçlar için işlenmeli, veri işleme faaliyeti henüz başlamadan önce bu amaçlar somut ve net bir biçimde ortaya konmalıdır. İşleme amacı ne kadar hukuka uygun ve meşru olursa olsun, toplanan verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması yani veri minimizasyonu kuralına riayet edilmesi hukuka uygunluğun en temel gerekliliklerinden biridir.
Kişisel Verilerin İşlenme Şartları ve Açık Rıza
Mevzuatta, kişisel verilerin kural olarak ancak ilgili kişinin açık rızası ile işlenebileceği ana kural olarak benimsenmiştir. Hukuki niteliği itibarıyla kişiye sıkı sıkıya bağlı bir hak olan açık rızanın yasal olarak geçerli kabul edilebilmesi için üç temel unsurun bir arada bulunması zorunludur. Bunlar; rızanın belirli bir konuya ilişkin olması, şeffaf bir bilgilendirmeye dayanması ve hiçbir baskı altında kalmadan özgür iradeyle açıklanmış olmasıdır. Hukuk pratiğinde veri sorumlusu tarafından genel, sınırları çizilmemiş ve torba niteliğindeki bir "battaniye rıza" alınması kesinlikle geçersiz kabul edilmektedir. İlgili kişi, rıza vermesinin veya vermemesinin sonuçları hakkında önceden tam olarak aydınlatılmalıdır. Ayrıca taraflar arasında işçi-işveren ilişkisi gibi belirgin bir güç dengesizliğinin bulunduğu ya da bir hizmetin sunulmasının doğrudan rıza verme şartına bağlandığı sözleşmelerde özgür iradenin sakatlandığı kabul edilir. Hukuken unutulmamalıdır ki, açık rızanın her zaman geri alınabilmesi mümkündür; rıza geri alındığında veri işleme faaliyetinin dayanağı olan hukuki sebep tamamen ortadan kalktığı için işleme faaliyetine derhal son verilmelidir.
Açık Rızanın Aranmadığı Hukuka Uygunluk Sebepleri
Veri koruma mevzuatı, kişisel verilerin korunması hakkı ile toplumsal ve ticari hayatın gereklilikleri arasında adil bir denge kurmayı hedefler. Bu doğrultuda, açık rızanın bulunmadığı hallerde dahi, kanunda tahdidi olarak sayılan ve sınırları kesin olarak çizilen hukuka uygunluk sebeplerinden en az birinin mevcudiyeti durumunda kişisel verilerin işlenmesine yasal olarak imkan tanınmıştır. Eğer planlanan veri işleme faaliyeti hali hazırda bu istisnai şartlardan birine dayanıyorsa, veri sorumlusunun ilgili kişiden ayrıca açık rıza talep etmesi, kanunun ruhuna ve dürüstlük kuralına aykırı yanıltıcı bir hukuki uygulama olarak değerlendirilmektedir. Kişisel veri işleme sürecini hukuka uygun kılan ve ana kural olarak benimsenen açık rızanın istisnaları niteliğindeki bu gereklilik ve zorunluluk halleri uygulamada büyük önem taşır ve şu şekilde sıralanır:
- Kanunlarda açıkça öngörülmesi: Veri işleme faaliyetini zorunlu kılan açık bir yasal düzenlemenin (kanun hükmünün) bulunması durumudur.
- Fiili imkânsızlık hali: Bilincini kaybetmiş veya rızasını açıklayamayacak durumda olan kişinin ya da bir başkasının hayatını, beden bütünlüğünü korumak için veri işlemenin zorunlu olmasıdır.
- Sözleşmenin kurulması veya ifası: Bir sözleşmenin taraflarına ait kişisel verilerin, yalnızca o sözleşmenin gereklerinin yerine getirilmesiyle doğrudan doğruya ilgili olmak kaydıyla işlenmesinin gerekli olmasıdır.
- Hukuki yükümlülüğün yerine getirilmesi: Veri sorumlusunun tabi olduğu yasal mevzuatlardan doğan hukuki yükümlülüklerini ifa edebilmesi için veri işlemenin mecbur kılındığı durumlardır.
- Alenileştirme: İlgili kişinin kendi hür iradesiyle ve belirli bir amaç doğrultusunda kişisel verisini bizzat herkesin erişimine açık hale getirmesidir.
- Bir hakkın tesisi, kullanılması veya korunması: Hukuken tanınmış meşru bir hakkın yargı mercileri önünde ileri sürülmesi, ispatı veya savunulması için veri işlemenin kaçınılmaz olduğu hallerdir.
- Veri sorumlusunun meşru menfaati: İlgili kişinin temel hak ve hürriyetlerine zarar vermemek şartıyla, veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olduğu spesifik durumlardır.
Meşru Menfaat ve İlgili Kişi Haklarının Dengelenmesi
Açık rızanın istisnaları arasında hukuki uygulamada en çok başvurulan ancak en dikkatle incelenmesi gereken şartlardan biri veri sorumlusunun meşru menfaati maddesidir. Hukuk düzeni içerisinde kabul edilebilir düzeyde olan hukuki, ekonomik veya kişisel bir menfaate dayanan bu işlenme şartı, veri sorumlusuna kesinlikle sınırsız ve keyfi bir kişisel veri işleme yetkisi tanımaz. Bu hukuka uygunluk sebebine hukuken dayanak yapılabilmesi için, iddia edilen menfaatin hali hazırda mevcut, belirli ve yasalara tam uyumlu olması şarttır. Hukuki açıdan en kritik aşama ise, söz konusu meşru menfaat ile ilgili kişinin temel hak ve özgürlükleri arasında zorunlu bir denge testinin yani bir ölçülülük değerlendirmesinin titizlikle yapılmasıdır. Veri işleme faaliyeti sonucunda ilgili kişinin göreceği olası zarar veya mahremiyet ihlali, işletmenin elde edeceği menfaatten daha ağır basıyorsa, bu şarta dayanılarak veri işlenmesi hukuka aykırı kabul edilecektir. Diğer tüm istisnai işleme şartlarının uygulanamadığı durumlarda adeta bir hukuki son çare niteliği taşıyan bu hukuka uygunluk sebebi, kanunun lafzını ve amacını aşacak şekilde geniş yorumlanamaz.