Makale
Bu makalede, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında kişisel veri ve özel nitelikli veri kavramları incelenmekte, idare hukuku ve bilişim hukuku perspektifiyle verilerin işlenme şartları, açık rıza unsurları ve istisnai durumlar kapsamlı ve anlaşılır bir şekilde değerlendirilmektedir.
Kişisel Veri Kavramı ve Hukuki İşlenme Şartları
Günümüzde bilgi ve iletişim teknolojilerinin hızla gelişmesi, kişisel verilerin elektronik ortamlarda yoğun bir şekilde işlenmesine yol açmıştır. Bu durum, kişisel verilerin hukuki bir temele dayanarak korunması ihtiyacını hukuk devleti ilkesinin bir gereği olarak karşımıza çıkarmaktadır. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesini disiplin altına alarak bireylerin temel hak ve özgürlüklerini korumayı amaçlamaktadır. İdare hukuku boyutuyla bakıldığında, idarenin kamu hizmetlerini yürütebilmesi için insan kaynağına ve dolayısıyla kişisel verilere ihtiyaç duyması, devletin ilk veri sorumlusu konumunda olmasını beraberinde getirir. Bilişim hukuku uzmanları ve avukatlar açısından, veri işleme süreçlerinin hukuka ve dürüstlük kurallarına uygun yürütülmesi, ihlallerin önlenmesi adına kritik öneme sahiptir. Bu makalede, kişisel veri kavramının hukuki çerçevesi ve verilerin hukuka uygun olarak işlenebilmesi için gerekli olan şartlar analiz edilmektedir.
Kişisel Veri ve Özel Nitelikli Kişisel Veri Kavramları
Kanunun 3. maddesinin ilgili bendine göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Kanun koyucu, her türlü bilgi ifadesiyle koruma kapsamını olabildiğince geniş tutmayı hedeflemiştir. Bir bilginin kişisel veri sayılabilmesi için gerçek bir kişiye ait olması ve o kişiyle irtibat kurulabilmesi şarttır. Öte yandan, kanun koyucu bazı verilere daha sıkı bir koruma getirmiş ve bunları özel nitelikli kişisel veri olarak sınıflandırmıştır. Kanunun 6. maddesine göre kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti, güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Bu verilerin başkalarınca öğrenilmesi, ilgili kişinin mağdur olmasına veya ayrımcılığa uğramasına neden olabileceğinden, işlenmeleri çok daha sıkı şartlara bağlanmıştır.
Kişisel Verilerin İşlenmesinde Temel Kural: Açık Rıza
Kişisel verilerin işlenmesi, verilerin elde edilmesi, kaydedilmesi, depolanması veya aktarılması gibi veriler üzerinde gerçekleştirilen her türlü eylemi kapsar. Anayasal hükümler ve kanun uyarınca, kural olarak kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Açık rıza kavramı; belirli bir konuya ilişkin olma, bilgilendirmeye dayanma ve özgür iradeyle açıklanma unsurlarından oluşur. Belirli bir konuya ilişkin olma unsuru, verinin hangi amaçla işleneceğinin açıkça ifade edilmesini ve genel geçer onayların geçersiz sayılmasını gerektirir. Bilgilendirmeye dayanma, veri sorumlusunun veri işleme amacı, süresi ve aktarılacak üçüncü kişiler hakkında veri sahibini aydınlatmasını ifade eder. Son olarak, özgür iradeyle açıklama, kişinin herhangi bir baskı veya tehdit altında kalmaksızın, kendi geleceğini belirleme hakkı çerçevesinde rıza göstermesidir. İşçi-işveren veya idare-birey gibi eşitsiz ilişkilerde özgür iradenin varlığı titizlikle değerlendirilmelidir.
Açık Rıza Aranmaksızın Kişisel Verilerin İşlenebileceği Haller
Kanunun 5. maddesinde, idarenin kanuniliği ilkesiyle de uyumlu olarak, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenebileceği istisnai durumlar düzenlenmiştir. Bu istisnaların varlığı durumunda gerçekleştirilen veri işleme faaliyetleri hukuka uygun kabul edilir. Aşağıda bu istisnai haller listelenmiştir:
- Kanunlarda açıkça öngörülmesi.
- Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan kişinin kendisinin ya da başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Özel Nitelikli Kişisel Verilerin İşlenme Şartları
Özel nitelikli kişisel verilerin hukuka aykırı işlenmesi, bireyler için ciddi mağduriyetler yaratabileceğinden, bu verilerin işlenmesi kanunda daha katı kurallara bağlanmıştır. Kural olarak, özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Ancak, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise, yalnızca kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması amacıyla işlenebilir. Üstelik bu işlemeyi yapacak kişilerin veya kurumların mutlaka sır saklama yükümlülüğü altında bulunması zorunludur. Tüm bu istisnaların varlığına rağmen, yetkili kurul tarafından belirlenen yeterli önlemlerin alınması kanuni bir zorunluluktur.