Makale
Bilişim hukuku uyarınca kişisel verilerin işlenmesi, temel hakları korumak adına sıkı şartlara bağlanmıştır. Bu makalede, 6698 sayılı Kanun çerçevesinde veri işleme faaliyetinin hukuki dayanakları, açık rıza şartı ve veri işlemede uyulması zorunlu evrensel hukuk ilkeleri bir bilişim avukatı perspektifiyle incelenmektedir.
Kişisel Veri İşleme Şartları ve Hukuki İlkeler
Teknolojinin hızla geliştiği günümüz bilişim hukuku uygulamaları çerçevesinde, bireylerin mahremiyetini merkeze alan kişisel verilerin korunması büyük bir hukuki hassasiyet gerektirmektedir. Bireye ait her türlü bilgiyi kapsayan kişisel verilerin işlenmesi, rastgele yapılamayacak kadar önemli bir eylemdir ve mutlak surette hukuki bir zemine oturmak zorundadır. 6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin otomatik olan ya da olmayan yollarla elde edilmesi, kaydedilmesi, değiştirilmesi, aktarılması veya erişilebilir hale getirilmesi gibi işlemleri oldukça katı kurallara bağlamıştır. Bir bilişim hukuku avukatı perspektifiyle yaklaşıldığında, veri işleme faaliyetinin hukuka uygun kabul edilebilmesi için mevzuatta belirtilen temel ilkelere uyulması ve istisnai durumlar haricinde mutlaka açık rıza şartının yerine getirilmesi esastır. Bu noktada veri sorumlularının, verileri kaydederken veya işlerken kanunun emrettiği evrensel ilkelere ve işleme şartlarına titizlikle riayet etmeleri yasal bir mecburiyettir.
Kişisel Verilerin İşlenmesinde Hâkim Temel İlkeler
Kişisel verilerin işlenmesi sürecinde uyulması gereken temel ilkeler, uluslararası sözleşmeler ve ulusal mevzuatımızla sıkı bir güvence altına alınmıştır. Bu evrensel ilkelerin başında hukuka ve dürüstlük kurallarına uygunluk gelmektedir. Veri sorumluları, veri işleme faaliyetlerini gerçekleştirirken hukukun çizdiği sınırların dışına çıkmamalı ve şeffaflık barındıran dürüst bir yaklaşım sergilemelidir. Ayrıca, toplanan verilerin belirli, açık ve meşru amaçlar için işlenmesi yasal bir zorunluluktur. Yani, ileride lazım olabileceği ihtimaline dayanarak, amacı tam netleşmemiş bir veri toplama faaliyeti hukuka kesinlikle aykırıdır. İşlenen verilerin doğru ve gerektiğinde güncel olması da kişinin temel haklarının ihlal edilmemesi adına hayati bir öneme sahiptir. Yanlış veya güncelliğini yitirmiş verilerin saklanması, veri sahibinin mağduriyetine yol açabileceği için büyük bir hukuki risk yaratır. Son olarak, işlenen veriler, işlendikleri amaç için gerekli olan süre kadar muhafaza edilmeli, amaca ulaşıldıktan sonra hukuki bir gerekçe kalmadığında silinmeli veya yok edilmelidir.
Kişisel Veri İşleme Şartları ve Açık Rıza
Kişisel verilerin hukuka uygun olarak işlenmesinde temel kural, ilgili kişinin açık rızasının bulunmasıdır. Hukuki bağlamda açık rıza; belirli bir konuya ilişkin, detaylı bilgilendirmeye dayanan ve özgür iradeyle tereddüde yer bırakmayacak şekilde açıklanan onayı ifade eder. Zımni veya üstü kapalı onaylar, veri koruma hukuku çerçevesinde geçerli bir açık rıza olarak kabul görmez. Ancak yasa koyucu, hukuki ve ticari hayatın akışını tıkamamak adına açık rıza aranmaksızın veri işlenebilecek istisnai haller de öngörmüştür. Örneğin; veri işlemenin kanunlarda açıkça öngörülmesi veya fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan kişinin hayatı veya beden bütünlüğünün korunması için zorunlu olması durumlarında rıza aranmaz. Aynı şekilde, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla taraflara ait kişisel verilerin işlenmesi hukuka uygundur. Ayrıca, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi, ilgili kişinin veriyi bizzat alenileştirmesi, bir hakkın tesisi veya veri sorumlusunun meşru menfaatleri için zorunlu olması gibi durumlarda da açık rızaya gerek duyulmadan veri işleme faaliyeti yasal olarak yürütülebilir.
Özel Nitelikli (Hassas) Kişisel Verilerin İşlenmesi
Normal kişisel verilerin ötesinde, ifşa olması halinde kişinin doğrudan ayrımcılığa uğramasına veya ciddi mağduriyetler yaşamasına neden olabilecek bilgiler özel nitelikli kişisel veri veya hassas veri olarak tanımlanır. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, dini, mezhebi, sendika üyeliği, sağlık durumu ve cinsel hayatı ile genetik ve biyometrik verileri bu zorlu kategoriye girer. Bir bilişim hukuku uzmanı olarak belirtmek gerekir ki, hassas verilerin işlenmesi kural olarak yasaktır ve normal verilere kıyasla çok daha katı şartlara bağlanmıştır. Sağlık ve cinsel hayat dışındaki hassas veriler, ancak kanunların açıkça öngördüğü hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin veriler ise sadece kamu sağlığının korunması, tıbbî teşhis ve tedavi hizmetlerinin yürütülmesi gibi son derece spesifik amaçlarla, sır saklama yükümlülüğü altındaki kişiler veya yetkili kurumlar tarafından açık rıza aranmadan işlenebilir.
| Veri Türü | Temel İşleme Şartı | İstisnai İşleme Şartları (Rıza Aranmayan Haller) |
|---|---|---|
| Genel Kişisel Veriler | Açık Rıza | Sözleşme ifası, kanuni zorunluluk, hayati tehlike, meşru menfaat, alenileştirme, hakkın tesisi. |
| Özel Nitelikli Veriler (Sağlık/Cinsel Hayat Hariç) | Açık Rıza | Yalnızca kanunlarda açıkça öngörülen kati durumlar. |
| Sağlık ve Cinsel Hayat Verileri | Açık Rıza | Sadece kamu sağlığı, tıbbi teşhis ve tedavi amacıyla sır saklama yükümlülüğü olan yetkililerce işleme. |