Makale
Kişisel veriler, modern hukuk sistemlerinde mülkiyet veya fikri haktan ziyade kişilik hakkının ayrılmaz bir parçası olarak kabul edilmektedir. Bu makalede, kişisel verilerin hukuki niteliği ve 6698 sayılı Kanun kapsamında veri işleme faaliyetlerinin hukuka uygunluğunu sağlayan açık rıza ve istisnai işleme şartları detaylıca incelenmektedir.
Kişisel Verilerin Hukuki Niteliği ve Temel İşleme Şartları
Dijitalleşmenin ve teknolojik gelişmelerin hız kazanmasıyla birlikte, kişisel verilerin korunması günümüz hukuk dünyasının en önemli ve tartışmalı alanlarından biri hâline gelmiştir. Bireyleri doğrudan veya dolaylı olarak belirlenebilir kılan her türlü bilgi olarak tanımlanan kişisel veriler, salt bir bilgi yığını olmanın ötesinde, kişinin kimliğini ve özel hayatını şekillendiren temel bir değerdir. Hukuk sistemimizde, verilerin ne şekilde korunacağı ve hangi şartlar altında işlenebileceği 6698 sayılı Kişisel Verilerin Korunması Kanunu ile sıkı kurallara bağlanmıştır. Veri işlemenin kural olarak yasak, istisnai olarak serbest olduğu bu sistemde, verinin hukuki doğasını doğru kavramak ve veri işleme şartlarını titizlikle uygulamak, muhtemel ihlallerin önüne geçmek adına kritik bir öneme sahiptir. Bu yazıda, verinin hukuk dünyasındaki konumu ve işlenmesine olanak tanıyan meşru zeminler ele alınacaktır.
Kişisel Verilerin Hukuki Niteliğine İlişkin Yaklaşımlar
Doktrinde kişisel verilerin hukuki niteliği hususunda birbirinden farklı üç temel yaklaşım öne sürülmektedir. İlk olarak, özellikle Amerikan hukukunda rağbet gören mülkiyet hakkı görüşü, veriyi ticari bir meta ve üzerinde tasarruf edilebilir bir eşya olarak kabul eder. Ancak bu görüş, verinin kişiliğe sıkı sıkıya bağlı doğasını göz ardı ettiği ve ekonomik asimetrilere yol açabileceği gerekçesiyle eleştirilmektedir. İkinci bir yaklaşım olan fikri hak görüşü ise, kişisel verileri bir eser gibi değerlendirir. Ne var ki, kişinin göz rengi veya parmak izi gibi genetik olarak doğuştan gelen özelliklerinin fikri bir çabanın ürünü olmaması, bu görüşün de zayıf noktasıdır. Kıta Avrupası ve Türk hukuk sisteminde baskın olan görüş, kişisel verileri kişilik hakkının bir parçası olarak nitelendiren yaklaşımdır. Bu çerçevede veri, bireyin özünü oluşturan, özel hayatın gizliliği ve insan hakları kapsamında korunması gereken mutlak bir değer olarak konumlandırılmaktadır.
Kişisel Verilerin İşlenmesi ve Açık Rıza Kavramı
Kişisel verilerin işlenmesi; verilerin elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi veya aktarılması gibi veriler üzerinde gerçekleştirilen her türlü işlemi kapsamaktadır. Kanun sistematiğinde, veri işlemenin temel hukuka uygunluk sebebi açık rıza olarak belirlenmiştir. Açık rıza; belirli bir konuya ilişkin, yeterli bilgilendirmeye dayanan ve bireyin özgür iradesiyle açıklanan onayı ifade eder. Rızanın geçerli olabilmesi için, veri sorumlusunun işlemi hangi amaçla yapacağını net, şeffaf ve tereddüde yer bırakmayacak şekilde açıklaması şarttır. Genel nitelikli ve sınırları çizilmemiş onaylar, hukuken battaniye rıza olarak adlandırılır ve geçersiz kabul edilir. Ayrıca, rızanın geri alınması durumunda veri sorumlusunun işleme faaliyetini derhal durdurması gerekmektedir. Şekil şartına tabi olmamakla birlikte, açık rızanın hukuka uygun şekilde alındığını ispat külfeti her zaman veri sorumlusunun üzerindedir.
Açık Rıza Aranmaksızın Kişisel Verilerin İşlenebileceği Haller
Kanunun 5. maddesinin 2. fıkrası, açık rıza aranmaksızın kişisel verilerin işlenebileceği istisnai durumları kanunda sınırlı sayıda olarak saymıştır. Bu hukuka uygunluk şartlarından herhangi birinin somut olayda varlığı hâlinde, veri sorumlusu ilgili kişinin ayrıca onayına ihtiyaç duymadan veri işleme faaliyetini meşru ve hukuka uygun şekilde yürütebilir. Söz konusu istisnai haller; kamu yararı, yasal zorunluluklar ve ticari hayatın sürdürülebilirliği gibi menfaat dengeleri gözetilerek özenle kurgulanmıştır. İlgili kanun maddesinde yer alan işleme şartlarının sınırları yasa ile kesin olarak çizildiğinden, bu şartların yorum yoluyla genişletilmesi veya kıyas yapılması kesinlikle mümkün değildir.
- Kanunlarda açıkça öngörülmesi: İlgili yasal mevzuatın veri işlemeyi zorunlu kıldığı spesifik durumlar.
- Fiili imkânsızlık hali: İlgili kişinin rızasını açıklayamayacak durumda olması ve işlemenin zorunlu olması.
- Sözleşmenin kurulması veya ifası: Taraflar arasındaki bir sözleşmenin gerekliliklerini yerine getirmek.
- Hukuki yükümlülüğün yerine getirilmesi: Veri sorumlusunun yasal sorumluluklarını ifa edebilmesi.
- İlgili kişi tarafından alenileştirme: Bireyin kendi iradesiyle kamuoyuna sunduğu verilerin işlenmesi.
- Bir hakkın tesisi, kullanılması veya korunması: Yargı süreçleri gibi durumlarda hakkın savunulması.
- Meşru menfaat: İlgili kişinin temel haklarına zarar vermemek kaydıyla, çıkarlar için işlemenin zorunlu olması.
Özel Nitelikli Kişisel Verilerde İşleme Şartları
Bireylerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, sağlığı, cinsel hayatı, ceza mahkûmiyeti, biyometrik ve genetik verileri gibi bilgiler özel nitelikli kişisel veri statüsündedir. Bu verilerin başkaları tarafından öğrenilmesi, ilgili kişinin mağduriyetine veya ayrımcılığa uğramasına sebep olabileceğinden, çok daha sıkı bir koruma rejimine tabi tutulmuştur. Kural olarak bu verilerin işlenmesi yasaktır; ancak ilgili kişinin açık rızasının bulunması hâlinde işlenebilirler. Yakın zamanda mevzuatta yapılan güncellemelerle birlikte, bu verilerin işlenme şartları uluslararası standartlara daha uyumlu hâle getirilmiştir. Açık rıza dışındaki istisnalar; fiili imkânsızlık, bir hakkın tesisi veya korunması, sır saklama yükümlülüğü altındaki kişilerce kamu sağlığının korunması gibi spesifik ve dar yorumlanması gereken yasal dayanaklarla sınırlandırılmıştır. Ayrıca bu verilerin işlenmesinde yetkili kurul tarafından belirlenen yeterli güvenlik önlemlerinin alınması mutlak bir zorunluluktur.