Makale
6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca, kişisel verilerin hukuka uygun şekilde işlenebilmesi için kanunda belirtilen işleme şartlarından en az birinin varlığı zorunludur. Bu makalede, genel ve özel nitelikli kişisel verilerin işlenme şartları, yasal dayanaklar ve uygulamadaki sınırları hukuki bir perspektifle incelenmektedir.
KVKK Kapsamında Kişisel Veri İşleme Şartları
Kişisel verilerin işlenmesi, bireylerin temel hak ve özgürlüklerine doğrudan etki eden kritik bir hukuki süreçtir. Türk hukuk sisteminde bu süreç, 6698 sayılı Kişisel Verilerin Korunması Kanunu ile sıkı bir çerçeveye oturtulmuştur. Hukuka uygun bir veri işleme faaliyetinden söz edebilmek için, kanunun 5. ve 6. maddelerinde sınırlı sayma yoluyla belirlenmiş olan işleme şartlarından en az birinin varlığı kesin bir zorunluluktur. Herhangi bir hukuki dayanağı bulunmayan veri işleme faaliyetleri, veri sorumluları açısından ciddi idari para cezaları ve hukuki yaptırımları beraberinde getirmektedir. Bu nedenle, hangi verilerin, hangi amaçla ve hangi yasal dayanakla işlenebileceğinin doğru tespit edilmesi, uyum sürecinin temel taşını oluşturur. Uygulamada sıkça düşülen en büyük yanılgı, her türlü veri işleme faaliyeti için ilgili kişinin açık rızasının alınması gerektiği düşüncesidir. Oysa kanun, açık rızayı alternatiflerden yalnızca biri olarak düzenlemiş, rıza dışındaki hukuka uygunluk nedenlerine de geniş bir uygulama alanı tanımıştır.
Genel Nitelikli Kişisel Verilerin İşlenme Şartları
Kanunun 5. maddesi, genel nitelikli kişisel verilerin işlenme şartlarını düzenlemektedir. Temel kural olarak kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmaktadır. Ancak veri işleme faaliyetinin hukuka uygun sayılması için her durumda açık rızaya başvurmak gerekmez. Kanun koyucu, ilgili mevzuatta açıkça öngörülmesi durumunda rıza alınmaksızın verilerin işlenebilmesine olanak tanımıştır. Örneğin, İş Kanunu uyarınca işverenin çalışanlarına ait özlük dosyasını tutması veya Bankacılık Kanunu gereği müşteri bilgilerinin kayıt altına alınması, kanunlarda açıkça öngörülen hukuka uygunluk nedenleridir. Bu gibi hallerde, açık rıza aramak yerine doğrudan kanun hükmüne dayanılarak veri işleme faaliyeti gerçekleştirilmelidir.
Bir diğer önemli işleme şartı ise, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşme taraflarına ait verilerin işlenmesidir. Bir malın teslimi için müşterinin adresinin kargo firmasına verilmesi bu kapsama girer. Benzer şekilde, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması durumu da rıza dışı işleme şartlarındandır. Çalışanlara maaş ödenebilmesi için banka hesap bilgilerinin işlenmesi bu istisnaya örnektir. Ayrıca, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan kişilerin veya bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması hali de kanunda yer almaktadır. Örneğin, bilinci kapalı bir hastaya tıbbi müdahalede bulunulması için kan grubunun veya kimlik bilgilerinin işlenmesi bu çerçevede hukuka uygun kabul edilir.
Genel kişisel verilerin işlenmesinde öne çıkan diğer dayanaklar ise alenileştirme, hakkın tesisi ve meşru menfaattir. İlgili kişinin kendisi tarafından alenileştirilmiş kişisel veriler, alenileştirme amacına uygun ve bu amaçla sınırlı olmak kaydıyla rıza aranmaksızın işlenebilir. Bunun yanı sıra, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması da geçerli bir hukuki sebeptir; bir davanın ispatı için gerekli belgelerin mahkemeye sunulması bu kapsamdadır. Son olarak, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hali uygulamada sıkça başvurulan bir yoldur. Şirket içi terfi süreçlerinin yönetilmesi veya personelin liyakat değerlendirmesinin yapılması, veri sorumlusunun meşru menfaati kapsamında değerlendirilerek hukuka uygun kabul edilmektedir.
| Veri Kategorisi | Temel Hukuki Dayanaklar | İlgili Kanun Maddesi |
|---|---|---|
| Genel Nitelikli | Açık rıza, sözleşme ifası, hukuki yükümlülük, meşru menfaat | Madde 5 |
| Özel Nitelikli | Açık rıza, kanun hükmü, sır saklama yükümlülüğü, fiili imkansızlık | Madde 6 |
Özel Nitelikli Kişisel Verilerin İşlenme Şartları
Bireylerin temel hak ve özgürlükleri üzerinde daha derin olumsuz etkiler yaratma riski taşıyan özel nitelikli kişisel veriler, kanunun 6. maddesinde sınırlı sayı ilkesiyle belirlenmiştir. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi, kılık ve kıyafeti, dernek veya sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti, biyometrik ve genetik verileri özel nitelikli kişisel veri statüsündedir. Kanun metninde yer alan genel kişisel veri tanımının aksine, bu alan sınırlı sayma yöntemiyle çizildiğinden kapsama girmeyen veri türlerinin kıyas yoluyla dahil edilmesi hukuken mümkün değildir. Kural olarak özel nitelikli verilerin işlenmesi kanunla yasaklanmıştır. Ancak kanunda açıkça sayılan istisnai hallerden birinin varlığı ve veri sorumlusu tarafından Kurul tarafından belirlenen yeterli önlemlerin alınması şartıyla bu veriler katı kurallar çerçevesinde hukuka uygun şekilde işlenebilmektedir.
Özel nitelikli kişisel verilerin işlenebilmesi için öngörülen temel dayanaklardan ilki, ilgili kişinin açık rızasının olması hâlidir. Bunun dışında, faaliyetin kanunlarda açıkça öngörülmesi veya fiili imkânsızlık nedeniyle rızasını açıklayamayacak kişilerin hayatı veya beden bütünlüğünün korunması için zorunlu olması da işleme şartı olarak kabul edilmiştir. Benzer şekilde, verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması ve işleme faaliyetinin alenileştirme iradesine uygun gerçekleştirilmesi; ya da bir hakkın tesisi, kullanılması veya korunması için zorunlu olması durumlarında açık rıza aranmaz. Burada genel verilerden farklı olarak, istihdam, iş sağlığı ve güvenliği, sosyal güvenlik ile sosyal hizmetler alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması hâli yalnızca özel nitelikli veriler bakımından ayrı ve sınırlandırılmış bir işleme sebebi olarak hukuki zemin bulmuştur.
Sağlık verileri ve sivil toplum kuruluşlarının faaliyetleri bağlamında da özel düzenlemeler getirilmiştir. Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve yönetimi amacıyla sağlık verileri işlenebilmektedir. Ayrıca, siyasi, felsefi, dini veya sendikal amaçlarla kurulan kâr amacı gütmeyen kuruluşların, kendi tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı kalmak ve üçüncü kişilere açıklanmamak kaydıyla kendi mensuplarına veya düzenli temasta oldukları kişilere yönelik özel nitelikli veri işlemesi hukuka uygun kabul edilmiştir. Tüm bu istisnaların varlığında dahi, veri güvenliğine ilişkin yeterli teknik ve idari tedbirlerin alınması kanuni bir mecburiyettir.