Anasayfa/ Makale/ Kişisel Veri Kavramı ve Hukuki İşlenme Şartları

Kişisel Veri Kavramı ve Hukuki İşlenme Şartları

Bu makalede, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında kişisel veri ve özel nitelikli veri kavramları incelenmekte, idare hukuku ve bilişim hukuku perspektifiyle verilerin işlenme şartları, açık rıza unsurları ve istisnai durumlar kapsamlı ve anlaşılır bir şekilde değerlendirilmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
AÇIK RIZA ÖZEL NİTELİKLİ KİŞİSEL VERİ TEHDİT KVKK

Günümüzde bilgi ve iletişim teknolojilerinin hızla gelişmesi, kişisel verilerin elektronik ortamlarda yoğun bir şekilde işlenmesine yol açmıştır. Bu durum, kişisel verilerin hukuki bir temele dayanarak korunması ihtiyacını hukuk devleti ilkesinin bir gereği olarak karşımıza çıkarmaktadır. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesini disiplin altına alarak bireylerin temel hak ve özgürlüklerini korumayı amaçlamaktadır. İdare hukuku boyutuyla bakıldığında, idarenin kamu hizmetlerini yürütebilmesi için insan kaynağına ve dolayısıyla kişisel verilere ihtiyaç duyması, devletin ilk veri sorumlusu konumunda olmasını beraberinde getirir. Bilişim hukuku uzmanları ve avukatlar açısından, veri işleme süreçlerinin hukuka ve dürüstlük kurallarına uygun yürütülmesi, ihlallerin önlenmesi adına kritik öneme sahiptir. Bu makalede, kişisel veri kavramının hukuki çerçevesi ve verilerin hukuka uygun olarak işlenebilmesi için gerekli olan şartlar analiz edilmektedir.

Kişisel Veri ve Özel Nitelikli Kişisel Veri Kavramları

Kanunun 3. maddesinin ilgili bendine göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Kanun koyucu, her türlü bilgi ifadesiyle koruma kapsamını olabildiğince geniş tutmayı hedeflemiştir. Bir bilginin kişisel veri sayılabilmesi için gerçek bir kişiye ait olması ve o kişiyle irtibat kurulabilmesi şarttır. Öte yandan, kanun koyucu bazı verilere daha sıkı bir koruma getirmiş ve bunları özel nitelikli kişisel veri olarak sınıflandırmıştır. Kanunun 6. maddesine göre kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti, güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Bu verilerin başkalarınca öğrenilmesi, ilgili kişinin mağdur olmasına veya ayrımcılığa uğramasına neden olabileceğinden, işlenmeleri çok daha sıkı şartlara bağlanmıştır.

Kişisel Verilerin İşlenmesinde Temel Kural: Açık Rıza

Kişisel verilerin işlenmesi, verilerin elde edilmesi, kaydedilmesi, depolanması veya aktarılması gibi veriler üzerinde gerçekleştirilen her türlü eylemi kapsar. Anayasal hükümler ve kanun uyarınca, kural olarak kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Açık rıza kavramı; belirli bir konuya ilişkin olma, bilgilendirmeye dayanma ve özgür iradeyle açıklanma unsurlarından oluşur. Belirli bir konuya ilişkin olma unsuru, verinin hangi amaçla işleneceğinin açıkça ifade edilmesini ve genel geçer onayların geçersiz sayılmasını gerektirir. Bilgilendirmeye dayanma, veri sorumlusunun veri işleme amacı, süresi ve aktarılacak üçüncü kişiler hakkında veri sahibini aydınlatmasını ifade eder. Son olarak, özgür iradeyle açıklama, kişinin herhangi bir baskı veya tehdit altında kalmaksızın, kendi geleceğini belirleme hakkı çerçevesinde rıza göstermesidir. İşçi-işveren veya idare-birey gibi eşitsiz ilişkilerde özgür iradenin varlığı titizlikle değerlendirilmelidir.

Açık Rıza Aranmaksızın Kişisel Verilerin İşlenebileceği Haller

Kanunun 5. maddesinde, idarenin kanuniliği ilkesiyle de uyumlu olarak, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenebileceği istisnai durumlar düzenlenmiştir. Bu istisnaların varlığı durumunda gerçekleştirilen veri işleme faaliyetleri hukuka uygun kabul edilir. Aşağıda bu istisnai haller listelenmiştir:

  • Kanunlarda açıkça öngörülmesi.
  • Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan kişinin kendisinin ya da başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Özel nitelikli kişisel verilerin hukuka aykırı işlenmesi, bireyler için ciddi mağduriyetler yaratabileceğinden, bu verilerin işlenmesi kanunda daha katı kurallara bağlanmıştır. Kural olarak, özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Ancak, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise, yalnızca kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması amacıyla işlenebilir. Üstelik bu işlemeyi yapacak kişilerin veya kurumların mutlaka sır saklama yükümlülüğü altında bulunması zorunludur. Tüm bu istisnaların varlığına rağmen, yetkili kurul tarafından belirlenen yeterli önlemlerin alınması kanuni bir zorunluluktur.

Şirketler benden habersiz kişisel bilgilerimi kullanabilir mi? expand_more
Kural olarak, kişisel verileriniz sizin açık rızanız olmaksızın şirketler veya diğer kurumlar tarafından işlenemez ve kullanılamaz. Verilerinizin işlenebilmesi için size hangi amaçla işleneceğinin açıkça belirtilmesi ve gerekli bilgilendirmenin yapılması zorunludur. Ayrıca, bu rızayı hiçbir baskı altında kalmadan, tamamen kendi özgür iradenizle vermiş olmanız gerekmektedir. Özellikle işçi ve işveren gibi aralarında eşitsizlik bulunan ilişkilerde, bu özgür iradenin gerçekten var olup olmadığı hukuken çok daha titiz bir şekilde incelenmektedir.
İznim olmadan bilgilerimin kullanılabileceği istisnai durumlar var mı? expand_more
Evet, Kanun belirli istisnai hallerde açık rızanız aranmaksızın kişisel verilerinizin hukuka uygun olarak işlenmesine olanak tanımaktadır. Örneğin; fiili bir imkânsızlık nedeniyle rıza veremeyecek durumdaysanız ve hayatınızı veya beden bütünlüğünüzü korumak zorunluysa verileriniz işlenebilir. Aynı şekilde, taraf olduğunuz bir sözleşmenin kurulması veya ifası için gerekliyse yahut veriyi kendiniz zaten alenileştirmişseniz rızanız aranmaz. Buna ek olarak, veri sorumlusunun meşru menfaatleri veya hukuki bir yükümlülüğünü yerine getirmesi zorunlu olduğunda da temel haklarınıza zarar vermemek kaydıyla bilgileriniz kullanılabilir.
Sağlık bilgilerim veya cinsel hayatım rızam dışında işlenebilir mi? expand_more
Sağlık ve cinsel hayata ilişkin verileriniz "özel nitelikli kişisel veri" statüsünde yer aldığından, hukuka aykırı işlenmeleri mağduriyet ve ayrımcılık riski taşıdığı için çok daha katı kurallarla korunmaktadır. Bu nedenle kural olarak, özel nitelikli kişisel verilerinizin açık rızanız olmadan işlenmesi kesinlikle yasaktır. Söz konusu sağlık ve cinsel hayat verileriniz ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis ve tedavi hizmetlerinin yürütülmesi gibi spesifik amaçlarla işlenebilir. Üstelik bu istisnai durumlarda dahi işlemi yapacak kişi veya kurumların mutlaka sır saklama yükümlülüğü altında bulunması yasal bir şarttır.
Sabıka kaydım veya parmak izim de normal kişisel veri mi sayılıyor? expand_more
Sabıka kaydınız (ceza mahkumiyeti verileriniz) ve parmak iziniz (biyometrik verileriniz) sıradan kişisel verilerden ayrılarak kanun nezdinde "özel nitelikli kişisel veri" olarak sınıflandırılmıştır. Kanun koyucu; bu verilerin yanında kişilerin ırkı, etnik kökeni, siyasi düşüncesi, dini, kılık kıyafeti ile dernek veya sendika üyeliği gibi bilgilerini de bu hassas kapsama dahil etmiştir. Bu tür verilerin üçüncü kişilerce öğrenilmesi, doğrudan mağdur olmanıza veya toplumsal ayrımcılığa uğramanıza yol açabileceği için işlenme şartları ciddi şekilde sınırlandırılmıştır. Dolayısıyla, bu verileriniz ancak Kanun'da sıkı sıkıya belirlenmiş şartların varlığı ve yeterli yasal önlemlerin alınması halinde işlenebilir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir