Anasayfa/ Makale/ KVKK Kapsamında Kişisel Veri İşleme Şartları

KVKK Kapsamında Kişisel Veri İşleme Şartları

6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca, kişisel verilerin hukuka uygun şekilde işlenebilmesi için kanunda belirtilen işleme şartlarından en az birinin varlığı zorunludur. Bu makalede, genel ve özel nitelikli kişisel verilerin işlenme şartları, yasal dayanaklar ve uygulamadaki sınırları hukuki bir perspektifle incelenmektedir.
search
7 dk okuma Yayınlanma: Güncelleme:
AÇIK RIZA KVKK ÖZEL NİTELİKLİ KİŞİSEL VERİ

Kişisel verilerin işlenmesi, bireylerin temel hak ve özgürlüklerine doğrudan etki eden kritik bir hukuki süreçtir. Türk hukuk sisteminde bu süreç, 6698 sayılı Kişisel Verilerin Korunması Kanunu ile sıkı bir çerçeveye oturtulmuştur. Hukuka uygun bir veri işleme faaliyetinden söz edebilmek için, kanunun 5. ve 6. maddelerinde sınırlı sayma yoluyla belirlenmiş olan işleme şartlarından en az birinin varlığı kesin bir zorunluluktur. Herhangi bir hukuki dayanağı bulunmayan veri işleme faaliyetleri, veri sorumluları açısından ciddi idari para cezaları ve hukuki yaptırımları beraberinde getirmektedir. Bu nedenle, hangi verilerin, hangi amaçla ve hangi yasal dayanakla işlenebileceğinin doğru tespit edilmesi, uyum sürecinin temel taşını oluşturur. Uygulamada sıkça düşülen en büyük yanılgı, her türlü veri işleme faaliyeti için ilgili kişinin açık rızasının alınması gerektiği düşüncesidir. Oysa kanun, açık rızayı alternatiflerden yalnızca biri olarak düzenlemiş, rıza dışındaki hukuka uygunluk nedenlerine de geniş bir uygulama alanı tanımıştır.

Genel Nitelikli Kişisel Verilerin İşlenme Şartları

Kanunun 5. maddesi, genel nitelikli kişisel verilerin işlenme şartlarını düzenlemektedir. Temel kural olarak kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmaktadır. Ancak veri işleme faaliyetinin hukuka uygun sayılması için her durumda açık rızaya başvurmak gerekmez. Kanun koyucu, ilgili mevzuatta açıkça öngörülmesi durumunda rıza alınmaksızın verilerin işlenebilmesine olanak tanımıştır. Örneğin, İş Kanunu uyarınca işverenin çalışanlarına ait özlük dosyasını tutması veya Bankacılık Kanunu gereği müşteri bilgilerinin kayıt altına alınması, kanunlarda açıkça öngörülen hukuka uygunluk nedenleridir. Bu gibi hallerde, açık rıza aramak yerine doğrudan kanun hükmüne dayanılarak veri işleme faaliyeti gerçekleştirilmelidir.

Bir diğer önemli işleme şartı ise, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşme taraflarına ait verilerin işlenmesidir. Bir malın teslimi için müşterinin adresinin kargo firmasına verilmesi bu kapsama girer. Benzer şekilde, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması durumu da rıza dışı işleme şartlarındandır. Çalışanlara maaş ödenebilmesi için banka hesap bilgilerinin işlenmesi bu istisnaya örnektir. Ayrıca, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan kişilerin veya bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması hali de kanunda yer almaktadır. Örneğin, bilinci kapalı bir hastaya tıbbi müdahalede bulunulması için kan grubunun veya kimlik bilgilerinin işlenmesi bu çerçevede hukuka uygun kabul edilir.

Genel kişisel verilerin işlenmesinde öne çıkan diğer dayanaklar ise alenileştirme, hakkın tesisi ve meşru menfaattir. İlgili kişinin kendisi tarafından alenileştirilmiş kişisel veriler, alenileştirme amacına uygun ve bu amaçla sınırlı olmak kaydıyla rıza aranmaksızın işlenebilir. Bunun yanı sıra, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması da geçerli bir hukuki sebeptir; bir davanın ispatı için gerekli belgelerin mahkemeye sunulması bu kapsamdadır. Son olarak, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hali uygulamada sıkça başvurulan bir yoldur. Şirket içi terfi süreçlerinin yönetilmesi veya personelin liyakat değerlendirmesinin yapılması, veri sorumlusunun meşru menfaati kapsamında değerlendirilerek hukuka uygun kabul edilmektedir.

Veri Kategorisi Temel Hukuki Dayanaklar İlgili Kanun Maddesi
Genel Nitelikli Açık rıza, sözleşme ifası, hukuki yükümlülük, meşru menfaat Madde 5
Özel Nitelikli Açık rıza, kanun hükmü, sır saklama yükümlülüğü, fiili imkansızlık Madde 6

Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Bireylerin temel hak ve özgürlükleri üzerinde daha derin olumsuz etkiler yaratma riski taşıyan özel nitelikli kişisel veriler, kanunun 6. maddesinde sınırlı sayı ilkesiyle belirlenmiştir. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi, kılık ve kıyafeti, dernek veya sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti, biyometrik ve genetik verileri özel nitelikli kişisel veri statüsündedir. Kanun metninde yer alan genel kişisel veri tanımının aksine, bu alan sınırlı sayma yöntemiyle çizildiğinden kapsama girmeyen veri türlerinin kıyas yoluyla dahil edilmesi hukuken mümkün değildir. Kural olarak özel nitelikli verilerin işlenmesi kanunla yasaklanmıştır. Ancak kanunda açıkça sayılan istisnai hallerden birinin varlığı ve veri sorumlusu tarafından Kurul tarafından belirlenen yeterli önlemlerin alınması şartıyla bu veriler katı kurallar çerçevesinde hukuka uygun şekilde işlenebilmektedir.

Özel nitelikli kişisel verilerin işlenebilmesi için öngörülen temel dayanaklardan ilki, ilgili kişinin açık rızasının olması hâlidir. Bunun dışında, faaliyetin kanunlarda açıkça öngörülmesi veya fiili imkânsızlık nedeniyle rızasını açıklayamayacak kişilerin hayatı veya beden bütünlüğünün korunması için zorunlu olması da işleme şartı olarak kabul edilmiştir. Benzer şekilde, verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması ve işleme faaliyetinin alenileştirme iradesine uygun gerçekleştirilmesi; ya da bir hakkın tesisi, kullanılması veya korunması için zorunlu olması durumlarında açık rıza aranmaz. Burada genel verilerden farklı olarak, istihdam, iş sağlığı ve güvenliği, sosyal güvenlik ile sosyal hizmetler alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması hâli yalnızca özel nitelikli veriler bakımından ayrı ve sınırlandırılmış bir işleme sebebi olarak hukuki zemin bulmuştur.

Sağlık verileri ve sivil toplum kuruluşlarının faaliyetleri bağlamında da özel düzenlemeler getirilmiştir. Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve yönetimi amacıyla sağlık verileri işlenebilmektedir. Ayrıca, siyasi, felsefi, dini veya sendikal amaçlarla kurulan kâr amacı gütmeyen kuruluşların, kendi tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı kalmak ve üçüncü kişilere açıklanmamak kaydıyla kendi mensuplarına veya düzenli temasta oldukları kişilere yönelik özel nitelikli veri işlemesi hukuka uygun kabul edilmiştir. Tüm bu istisnaların varlığında dahi, veri güvenliğine ilişkin yeterli teknik ve idari tedbirlerin alınması kanuni bir mecburiyettir.

Şirketler benden izin almadan kişisel verilerimi işleyebilir mi? expand_more
Vatandaşlar ve uygulamacılar arasında her türlü veri işleme faaliyeti için mutlaka açık rıza alınması gerektiği gibi çok yaygın bir yanılgı bulunmaktadır. Oysa 6698 sayılı Kanun, açık rızayı hukuka uygunluk alternatiflerinden yalnızca biri olarak düzenlemiştir. Örneğin; bir sözleşmenin kurulması, veri sorumlusunun hukuki yükümlülüklerini yerine getirmesi veya meşru menfaatleri gibi kanunda açıkça sayılan durumlarda sizden rıza alınmadan da verileriniz hukuka uygun şekilde işlenebilmektedir. Dolayısıyla, mevzuatta açıkça öngörülen yahut kanundaki diğer şartları karşılayan hallerde şirketlerin onayınıza başvurması zorunlu değildir.
Patronum maaşımı yatırmak için banka bilgilerimi izinsiz kullanabilir mi? expand_more
Evet, işvereninizin size maaş ödeyebilmesi amacıyla banka hesap bilgilerinizi işlemesi hukuken tamamen geçerli ve yasaldır. Kanunumuz, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olan hallerde kişilerin açık rızasının aranmayacağını açıkça belirtmektedir. Bu durum, İş Kanunu gibi temel mevzuatlardan doğan özlük dosyası tutma gibi yükümlülüklerin bir gereği olup, rıza dışı veri işleme şartlarının en tipik örneklerinden biridir. Bu sebeple işvereniniz bu işlem için sizden ayrıca bir açık rıza beyanı almak zorunda değildir.
Hastaneler rızam olmadan sağlık bilgilerimi işleyebilir mi? expand_more
Sağlık verileri kanunumuzda "özel nitelikli kişisel veri" statüsünde kabul edildiğinden, kural olarak işlenmeleri çok daha katı kurallara bağlanmıştır ve genel verilerden ayrılır. Ancak kanun koyucu; kamu sağlığının korunması, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi amacıyla sır saklama yükümlülüğü altındaki kişiler ile yetkili kurumların bu verileri açık rızanız olmaksızın işlemesine özel bir istisna getirmiştir. Bilinci kapalı bir hastaya müdahale edilmesi gibi fiili imkânsızlık durumlarında da rıza aranmaz, ancak tüm bu istisnai hallerde dahi Kurul tarafından belirlenen yeterli önlemlerin alınması mecburi bir yasal şarttır.
İnternette kendim paylaştığım bilgilerimi başkaları kullanabilir mi? expand_more
Kişinin bizzat kendisi tarafından alenileştirilmiş, yani kamuoyunun bilgisine sunulmuş kişisel verilerinin üçüncü kişilerce işlenmesi belirli yasal sınırlar dâhilinde mümkündür. Kanunumuz, alenileştirilen verilerin açık rıza aranmaksızın işlenebileceğini belirtse de, bu durum verilerinizi işleyenlere sınırsız bir hak tanımaz. İlgili veri işleme faaliyetinin, mutlak surette sizin veriyi alenileştirme iradenize ve alenileştirme amacınıza uygun şekilde, bu amaçla sınırlı olarak gerçekleştirilmesi hukuki bir zorunluluktur.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir