Makale
6698 sayılı KVKK kapsamında kişisel veri, veri sorumlusu, veri işleyen ve açık rıza gibi temel kavramlar ile genel ve özel nitelikli verilerin işlenme şartları, hukuki uyumluluk için hayati öneme sahiptir. Bu makale, veri işleme süreçlerini ve uyulması gereken temel ilkeleri uzman hukuki perspektifle incelemektedir.
KVKK Çerçevesinde Temel Kavramlar ve Veri İşleme Şartları
Gelişen teknoloji ve dijitalleşme ile birlikte, kişisel verilerin korunması hakkı, modern toplumların en önemli hukuki gereksinimlerinden biri haline gelmiştir. Ülkemizde 6698 sayılı Kişisel Verilerin Korunması Kanunu ile teminat altına alınan bu hukuki süreç, bireylerin mahremiyetini korumayı ve hak ihlallerini gidermeyi amaçlamaktadır. Bir hukuki uyumluluk sürecinin başarıyla yönetilebilmesi için öncelikle kanundaki temel kavramların doğru anlaşılması ve mevzuatta öngörülen veri işleme şartlarının titizlikle uygulanması gerekmektedir. İnsan hakları temelinde şekillenen bu düzenlemeler, sadece bireylerin değil, aynı zamanda verileri toplayan ve kullanan şirketlerin de uyması gereken katı sınırlar çizer. Uygulamada karşılaşılan hukuki ihtilafların büyük bir kısmı, yasada yer alan kavramların ve işleme prensiplerinin somut olaylara hatalı uyarlanmasından kaynaklanmaktadır. Bu sebeple, veri koruma hukukunun prensiplerinin hukuki bir perspektifle detaylı olarak incelenmesi, idari ve hukuki yaptırımlarla karşılaşmamak adına büyük önem taşımaktadır.
Kişisel Verilerin Korunmasına İlişkin Temel Kavramlar
Hukukumuzda kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Bu kapsamda, tüzel kişilere ait veriler kanunun doğrudan koruması altında olmayıp, yalnızca gerçek kişilere ait veriler hukuki güvence altına alınmıştır. Bir verinin kişisel veri niteliği taşıyabilmesi için öncelikle ortada bir bilgi olması, bu bilginin gerçek kişiyi belirlenebilir kılması ve bilginin spesifik bir kişiye aidiyetinin tespit edilebilmesi şarttır. Kanun kapsamında kişisel verisi işlenen bu gerçek kişiler, mevzuatta ilgili kişi veya hukuki doktrindeki adıyla veri öznesi olarak adlandırılır. Öte yandan, kişisel verilerin işleme amaçlarını ve vasıtalarını hukuken belirleyen, veri kayıt sisteminin kurulmasından ve mevzuata uygun yönetilmesinden birinci derecede sorumlu olan gerçek veya tüzel kişiler veri sorumlusu sıfatını haizdir. Veri sorumlusunun rızası ve verdiği yetkiye dayanarak onun adına veri işleme faaliyetlerini yürütenler ise veri işleyen olarak kabul edilir. Sorumluluk rejiminin doğru tespiti için bu aktörlerin kesin hatlarla ayrılması şarttır.
Açık Rıza ve İrade Beyanı
Veri işleme faaliyetlerinin en temel hukuka uygunluk nedenlerinden biri olan açık rıza, kanunda; belirli bir konuya ilişkin, detaylı bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmıştır. Açık rızanın geçerli bir hukuki dayanak oluşturabilmesi için öncelikle aydınlatma yükümlülüğünün veri sorumlusu tarafından usulüne eksiksiz olarak uygun şekilde yerine getirilmesi şarttır. İlgili kişiye, verilerinin tam olarak hangi hukuki gerekçelerle ve amaçla işleneceği, kimlere aktarılabileceği açıkça bildirilmeli; aydınlatma ve rıza metinleri birbirinden tamamen bağımsız belgeler halinde sunulmalıdır. Bir ticari hizmetin sunulmasının doğrudan kişisel veri işleme rızasına bağlanması, kişinin iradesini sakatlayacağından hukuka aykırı kabul edilir. Ayrıca, işveren ile işçi ilişkisinde olduğu gibi bariz bir güç dengesizliğinin bulunduğu durumlarda, rızanın baskı altında kalmadan verilip verilmediği Kurul tarafından titizlikle incelenmekte olup, irade sakatlığı tespit edilen rıza beyanları hukuken geçersiz sayılmaktadır.
Kişisel Verilerin İşlenmesinde Uyulması Gereken Genel İlkeler
Kişisel verilerin hangi hukuki sebebe veya dayanağa göre işlendiğine bakılmaksızın, veri sorumlularının istisnasız olarak uymakla mükellef olduğu evrensel nitelikte veri koruma ilkeleri bulunmaktadır. İlgili kişinin hukuken geçerli bir açık rızası bulunsa dahi, veri işleme faaliyetinin kanunun 4. maddesinde emredilen bu temel ilkelere aykırılık teşkil etmesi, söz konusu veri işleme eylemini doğrudan hukuka aykırı hale getirir. İdari yaptırımların ve hukuki ihlal kararlarının temel dayanağını oluşturan bu ilkeler, hakkın kötüye kullanılmasını engelleyen sınırlar çizer. Kişisel veri işleme faaliyetlerinde genel ilkelere uygunluk, ceza ve idare hukuku bakımından mutlak bir zorunluluktur. Uygulamada her veri işleme sürecinde gözetilmesi gereken genel hukuki ilkeler şunlardır:
- Hukuka ve dürüstlük kurallarına uygun olma.
- Doğru ve gerektiğinde güncel olma.
- Belirli, açık ve meşru amaçlar için işlenme.
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma (veri minimizasyonu ilkesi).
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Kişisel Verilerin İşlenme Şartları ve Hukuki Nedenler
Kural olarak kişisel verilerin işlenebilmesi için ilgili kişinin açık rızası kurucu unsurdur; ancak kanun, hukuki gereklilikler ve ticari hayatın olağan akışını sağlamak adına rıza aranmaksızın veri işlenebilecek emredici hukuka uygunluk nedenlerini de düzenlemiştir. Genel nitelikli veriler için, işlemenin kanunlarda açıkça öngörülmesi en sık başvurulan hukuki dayanaktır. Bunun yanı sıra, fiili imkânsızlık sebebiyle iradesini açıklayamayacak durumda olan kişilerin hayatının veya beden bütünlüğünün korunması ile bir sözleşmenin kurulması veya ifası için verilerin işlenmesinin zaruri olduğu anlarda rıza şartı aranmaz. Ayrıca, veri sorumlusunun doğrudan hukuki yükümlülüğünü yerine getirebilmesi, verinin bizzat ilgili kişi tarafından kendi hür iradesiyle alenileştirilmiş olması, bir hakkın tesisi veya korunması için veri işlemenin mecburi olması ve kişinin temel haklarına zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri durumlarında da veri işleme eylemi hukuka uygun kabul edilmektedir.
Özel Nitelikli Kişisel Veriler ve İşlenme Rejimi
Bireylerin toplumsal yaşamda ayrımcılığa uğramasına neden olabilecek nitelikteki; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, sağlık durumu, cinsel hayat, ceza mahkûmiyeti bilgileri ile biyometrik ve genetik veriler, kanun koyucu tarafından özel nitelikli kişisel veriler statüsünde kabul edilerek çok daha katı bir koruma rejimine tabi tutulmuştur. Kural olarak bu nitelikteki verilerin işlenmesi mutlak surette yasaktır ve açık rıza olmaksızın işlenmeleri istisnai, dar kapsamlı yasal koşullara bağlanmıştır. Mevzuata göre, sağlık ve cinsel hayata ilişkin veriler ancak kamu sağlığının korunması, tıbbî teşhis veya tedavi hizmetlerinin yürütülmesi ile sağlık finansmanının planlanması amacıyla, sır saklama yükümlülüğü altında bulunan hekim ve yetkili kurumlar tarafından açık rıza aranmaksızın işlenebilir. Diğer özel nitelikli veriler ise ancak kanunların açıkça yetki verdiği veya zorunlu kıldığı istisnai durumlarda işlenebilir. Tüm bu işleme aşamalarında Kurul tarafından ilan edilen idari ve teknik tedbirlerin alınması zorunludur.