Makale

Günümüz dijital çağında veri sorumlularının en çok dikkat etmesi gereken hususların başında 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında belirlenen hukuka uygunluk nedenleri gelmektedir. Hukuk uygulamaları bağlamında değerlendirildiğinde, bir kişisel verinin işlenebilmesi için kural olarak ilgili kişinin açık rızası bulunmalıdır. Ancak kanun koyucu, ticari ve sosyal hayatın olağan akışını sekteye uğratmamak adına KVKK madde 5 ve madde 6 düzenlemelerinde birtakım istisnai veri işleme şartlarına yer vermiştir. Açık rıza kavramı; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmıştır. Bir ürün veya hizmetin sunulmasının rıza ön şartına bağlanması, iradeyi sakatlayacağı için hukuken geçersiz kabul edilmektedir. İlgili kişinin açık rızası olmadığı durumlarda veri işleme faaliyetinin hukuka aykırı olmaması için, kanun metninde sınırlı sayıda sayılan diğer işleme şartlarından en az birinin somut olayda vücut bulması yasal bir zorunluluktur.

Açık Rıza Aranmaksızın Veri İşleme Halleri

KVKK madde 5/2 uyarınca, açık rıza bulunmayan hallerde veri işlemenin hukuka uygun kabul edilebilmesi için belirli yasal dayanaklar aranır. Veri sorumlularının hukuki denetim süreçlerinde, aşağıda belirtilen şartların varlığından emin olmaları gerekmektedir:

• Kanunlarda açıkça öngörülmesi
• Fiili imkânsızlık sebebiyle rıza verilememesi
• Sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi
• Verinin bizzat ilgili kişi tarafından alenileştirilmiş olması
• Bir hakkın tesisi, kullanılması veya korunması
• İlgilinin temel haklarına zarar vermeden meşru menfaat bulunması

Bu şartların herhangi birinin varlığı, başlı başına bir hukuka uygunluk nedeni teşkil eder. Acil tıbbi müdahale gerektiren durumlarda bilinci kapalı hastanın bilgilerinin kaydedilmesi fiili imkânsızlığa; İş Kanunu kapsamındaki işçi özlük dosyası oluşturulması ise kanunlarda açıkça öngörülme şartına hukuki birer örnek oluşturmaktadır.

Sözleşme İfası ve Hukuki Yükümlülük Kapsamında İşleme

Hukuk ve ticaret pratiğinde en sık karşılaşılan veri işleme şartı, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla taraflara ait kişisel verilerin işlenmesinin gerekli olmasıdır. Kredi kartı tahsisi için bankaların mali durum incelemesi yapması veya kargo gönderimi için adres bilgilerinin işlenmesi bu kapsama girer. Ayrıca, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olan hallerde, Sosyal Güvenlik Kurumu veya vergi dairelerine yapılan yasal bildirimler katı birer zorunluluktur. Öte yandan, ilgili kişinin kendisi tarafından kamuoyuna açıklanmış ve alenileştirilmiş kişisel veriler, alenileştirme amacıyla sınırlı, bağlantılı ve ölçülü olmak şartıyla işlenebilir. Ancak, kişinin verilerini internet ortamında paylaşmış olması, bu verilerin şirketler veya üçüncü şahıslar tarafından sınırsız bir şekilde kullanılabileceği anlamını taşımaz; burada kullanım amacı denetimi titizlikle yapılmalıdır.

Hakkın Tesisi ve Meşru Menfaat Kriterinin Değerlendirilmesi

Hukuki uyuşmazlıklarda sıklıkla dayanılan bir diğer veri işleme şartı, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması durumudur. Bir işverenin eski çalışanı tarafından açılan davada ispat amacıyla elindeki verileri yargı mercilerine sunması bu şarta yasal bir örnek teşkil eder. Kanunun getirdiği bir diğer istisna ise veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması halidir. Bu şartın yasal olarak uygulanabilmesi için ilgili kişinin temel hak ve özgürlüklerine zarar verilmemesi mutlak surette gereklidir. İşyerinde personelin terfi veya maaş zamlarının belirlenebilmesi için performans verilerinin işlenmesi, meşru menfaat kapsamında hukuka uygun kabul edilmektedir. Ancak burada menfaat dengesi idari ve teknik tedbirlerle titizlikle kurulmalı, haksız veri madenciliği gibi hukuka aykırı uygulamalara mahal verilmemelidir.

Özel Nitelikli Kişisel Verilerin İşlenme Şartları

KVKK kapsamında ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, kılık kıyafet, dernek veya sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli kişisel veriler olarak kategorize edilmiştir. Bu veriler, doğaları gereği ihlal edildiklerinde ayrımcılık yaratma veya kişiler aleyhine çok daha ağır zararlara yol açma potansiyeline sahiptir. Kanunun altıncı maddesine göre, özel nitelikli kişisel verilerin işlenmesi kural olarak mutlak surette ilgilinin açık rızasına tabidir. Açık rıza bulunmadığı takdirde, sağlık ve cinsel hayata ilişkin veriler dışındaki özel nitelikli veriler ancak kanunlarda öngörülen hallerde işlenebilir. Ek olarak, bu hassas verilerin hukuka uygun işlenebilmesi için Kişisel Verileri Koruma Kurulu tarafından önceden belirlenen yeterli önlemlerin alınması da mutlak bir hukuki zorunluluk olarak düzenlenmiştir.

Sağlık ve Cinsel Hayata İlişkin Verilerin İşlenmesi

Kanun koyucu, sağlık ve cinsel hayata ilişkin kişisel veriler bakımından oldukça katı ve sınırları daraltılmış bir koruma rejimi öngörmüştür. Bu veriler, ilgili kişinin açık rızası bulunmadığı hallerde; yalnızca kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi gibi son derece spesifik ve tıbbi amaçlarla işlenebilmektedir. Dahası, bu istisnai işlemler ancak sır saklama yükümlülüğü altında bulunan kişiler veya yasal olarak yetkili kurum ve kuruluşlar tarafından gerçekleştirilebilir. Bu yasal çerçevede, sıradan bir veri sorumlusunun, söz gelimi bir şirketin insan kaynakları departmanının, çalışanın sağlık verilerini sadece kanunlarda yer alıyor gerekçesiyle açık rıza almaksızın işlemesi açık bir hukuka aykırılık teşkil edecektir. Bu tür hassas veriler ancak işyeri hekimleri gibi profesyoneller aracılığıyla yasalara uygun olarak işlenebilir.