Anasayfa/ Makale/ KVKK Kapsamında Kişisel Verilerin İşlenme Şartları

KVKK Kapsamında Kişisel Verilerin İşlenme Şartları

6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca kişisel verilerin işlenmesi, hukuka ve dürüstlük kurallarına uygunluk gibi temel ilkelere dayanmalıdır. Veri işleme faaliyetleri açık rıza veya kanunda sınırlı sayılan diğer hukuka uygunluk nedenlerinden birine dayandırılarak yasal sınırlar içerisinde meşru bir zeminde yürütülmelidir.
search
6 dk okuma Yayınlanma: Güncelleme:
AÇIK RIZA KVKK AYDINLATMA YÜKÜMLÜLÜĞÜ

6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin yasal sınırlar çerçevesinde ve bireylerin temel hak ve özgürlüklerini ihlal etmeyecek şekilde işlenmesini güvence altına almaktadır. Veri sorumluları tarafından gerçekleştirilen kişisel veri işleme faaliyeti, verilerin ilk defa elde edilmesinden başlayarak depolanması, değiştirilmesi, aktarılması veya erişilebilir hale getirilmesi gibi çok çeşitli işlemleri kapsamaktadır. Bu faaliyetlerin hukuka uygun kabul edilebilmesi için, kanun koyucu tarafından belirlenen genel ilkelere mutlak surette uyulması ve işlemenin kanunda tahdidi olarak sayılan hukuka uygunluk nedenlerinden en az birine dayandırılması gerekmektedir. İster otomatik yollarla ister bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlensin, tüm veri işleme süreçleri anayasal güvenceler ışığında titizlikle yürütülmelidir. Hukuki dayanaktan yoksun veya genel ilkelere aykırı olarak gerçekleştirilen her türlü işleme faaliyeti, yasal yaptırımları beraberinde getirecektir.

Kişisel Verilerin İşlenmesinde Hâkim Olan Temel İlkeler

KVKK'nın dördüncü maddesinde düzenlenen genel ilkeler, kişisel veri işleme faaliyetinin adeta ruhunu oluşturmakta olup, bu ilkelere uyulması mutlak bir hukuki zorunluluktur. Öncelikle tüm veri işleme süreçlerinin hukuka ve dürüstlük kurallarına uygun olması, ilgili kişinin menfaatlerinin gözetilerek şeffaf bir şekilde yürütülmesi şarttır. İşlenen verilerin doğru ve gerektiğinde güncel tutulması, veri sahibinin maddi ve manevi zararlara uğramasını engellemek adına veri sorumlusuna aktif bir özen yükümlülüğü yüklemektedir. Verilerin belirli, açık ve meşru amaçlar için işlenmesi kuralı, veri toplama amacının hukuki çerçevede net olarak belirlenmesini emreder. Buna ek olarak, işlenen veriler amaçla bağlantılı, sınırlı ve ölçülü olmalı; yani amaca hizmet etmeyen veya ileride kullanılabileceği ihtimaliyle ihtiyaç dışı veri toplanmasından, diğer bir deyişle veri minimizasyonu ilkesine aykırı hareketlerden kaçınılmalıdır. Son olarak, kişisel veriler ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmeli, süre bitiminde yasal usullere uygun şekilde silinmeli veya yok edilmelidir.

Kişisel Verilerin İşlenmesinde Hukuka Uygunluk Nedenleri

Açık Rıza ve Geçerlilik Şartları

Kişisel verilerin işlenmesinde temel kural, veri işleme faaliyetinin hukuka uygunluk sebeplerine ve ilgili kişinin rızasına dayanmasıdır. KVKK kapsamında açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmıştır. Bu tanımdan anlaşılacağı üzere, açık rızanın geçerli olabilmesi için verilerin ne amaçla işleneceğinin belirli olması, ilgili kişinin aydınlatma yükümlülüğü çerçevesinde eksiksiz şekilde bilgilendirilmesi ve iradesinin hiçbir baskı altında kalmadan özgürce açıklanmış olması gerekmektedir. Kanun, rızanın şekli konusunda özel bir şart öngörmese de, hukuki ihtilafları önlemek adına rızanın tereddüde yer bırakmayacak bir açıklıkta verilmesi şarttır; dolayısıyla örtülü rıza hukuken geçerli kabul edilmemektedir. Veri sorumlusunun çoklu veri işleme amaçları gütmesi halinde, her bir amaç için ayrıca rıza alması hukuki bir gerekliliktir. İlgili kişinin verdiği açık rızayı geri alması durumunda ise veri işleme faaliyeti derhal durdurulmalıdır, aksi takdirde hakkın kötüye kullanılması yasağı ihlal edilmiş sayılacaktır.

Açık Rıza Aranmayan İstisnai Durumlar

KVKK, açık rıza alınmasının kural olduğunu belirtmekle birlikte, beşinci maddesinde açık rıza aranmaksızın kişisel veri işlenebilecek bazı istisnai hukuka uygunluk nedenlerini sınırlı sayı ilkesiyle saymıştır. Bu şartlardan herhangi birinin varlığı halinde, veri sorumlusunun ayrıca açık rıza talep etmesi hukuka aykırı ve ilgili kişiyi yanıltıcı bir tutum olarak değerlendirilmektedir. Açık rıza olmaksızın veri işlenebilmesi için aşağıdaki yasal dayanıklardan birinin bulunması zorunludur:

  • Fiilin işlenmesinin kanunlarda açıkça öngörülmesi.
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan kişinin hayatı veya beden bütünlüğünün korunması.
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla taraflara ait verilerin işlenmesinin gerekli olması.
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  • İlgili kişinin kişisel verisini kendi iradesiyle alenileştirmiş olması.
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin mecburi olması.
  • Kişinin temel haklarına zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için zorunlu olması.

Özel Nitelikli Kişisel Verilerin İşlenme Şartları

KVKK'nın altıncı maddesinde, bireylerin ayrımcılığa uğrama riskini barındıran özel nitelikli kişisel veriler daha katı bir koruma rejimine tabi tutulmuştur. Kural olarak bu verilerin işlenmesi yasaklanmış olmakla birlikte, mevzuatta yapılan güncellemeler ışığında açık rıza şartı ile diğer hukuka uygunluk sebepleri eşit ağırlıkta alternatifler olarak düzenlenmiştir. Özel nitelikli verilerin işlenebilmesi için ilgili kişinin açık rızasının varlığı, fiili imkânsızlık, söz konusu verinin bizzat ilgili kişi tarafından alenileştirilmiş olması veya bir hakkın tesisi gibi sınırlı yasal sebeplerden birinin bulunması gerekmektedir. Ayrıca, istihdam ilişkilerinde iş sağlığı ve güvenliği yükümlülüklerinin yerine getirilmesi amacıyla da bu veriler işlenebilmektedir. Önemle vurgulanmalıdır ki, hukuka uygunluk şartları mevcut olsa dahi, özel nitelikli kişisel verilerin işlenmesi süreçlerinde Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemlerin alınması veri sorumlusu için mutlak bir idari ve teknik zorunluluktur.

Verdiğim izni sonradan iptal edebilir miyim? İptal edince bilgilerimi silerler mi? expand_more
Kişisel verilerinizin işlenmesi için vermiş olduğunuz açık rızayı dilediğiniz zaman özgürce geri alma hakkına mutlak surette sahipsiniz. Siz rızanızı geri aldığınız andan itibaren, veri sorumlusunun ilgili veri işleme faaliyetini derhal durdurması yasal bir zorunluluktur. Aksi takdirde, işlemi sürdüren şirket hakkın kötüye kullanılması yasağını ihlal etmiş sayılacak ve çeşitli yasal yaptırımlarla karşılaşacaktır. Ayrıca, işlenme amacı ortadan kalkan veya yasal muhafaza süresi dolan kişisel verilerin, kanuni usullere uygun şekilde silinmesi veya yok edilmesi gerekmektedir.
Sadece bir ürün satın alırken gereksiz bir sürü kişisel bilgi istemeleri yasal mı? expand_more
Hayır, veri sorumlularının amaca hizmet etmeyen ve ihtiyaç dışı bilgileri toplaması hukuka aykırıdır. Kişisel Verilerin Korunması Kanunu'na göre, işlenen veriler mutlaka belirli ve meşru bir amaca yönelik olmalı; bu amaçla bağlantılı, sınırlı ve ölçülü şekilde toplanmalıdır. Hukukumuzda "veri minimizasyonu" ilkesi olarak bilinen bu emredici kural uyarınca, ileride lazım olabileceği ihtimaliyle gereksiz veri depolanması yasaklanmıştır. Tarafınızdan yalnızca yapılacak işlemin gerektirdiği kadar veri talep edilebilir ve bu süreçlerin dürüstlük kuralları çerçevesinde şeffaf yürütülmesi şarttır.
Benden hiçbir onay almadan sözleşme yapmak için bilgilerimi kullanabilirler mi? expand_more
Evet, kanunumuzda açık rıza aranmaksızın kişisel veri işlenebilecek bazı istisnai hukuka uygunluk sebepleri sınırlı sayı ilkesiyle düzenlenmiştir. Eğer kişisel verilerinizin işlenmesi, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgiliyse ve taraflar için zorunluluk teşkil ediyorsa, ayrıca açık rızanıza başvurulmasına gerek yoktur. Hatta böyle bir istisnai yasal dayanak mevcutken kurumun sizden açık rıza talep etmesi, Kişisel Verileri Koruma Kurulu tarafından hukuka aykırı ve yanıltıcı bir tutum olarak kabul edilmektedir. Ancak bu istisnai durumlarda dahi, verilerinizin genel ilkelere ve anayasal güvencelere uygun olarak işlenmesi zorunluluğu ortadan kalkmaz.
Bilgilerimi ne yapacaklarını tam söylemediler ama zımnen onaylamış sayılır mıyım? expand_more
Hukuken kişisel verilerinizin işlenmesinde örtülü (zımni) rıza hiçbir şekilde geçerli kabul edilmemektedir. Geçerli bir açık rızanın oluşabilmesi için, veri sorumlusunun aydınlatma yükümlülüğü çerçevesinde verilerinizin ne amaçla işleneceğini size eksiksiz ve net biçimde bildirmiş olması şarttır. İradenizin hiçbir baskı altında kalmadan özgürce açıklanması ve tereddüde yer bırakmayacak bir açıklık barındırması hukuki bir zorunluluktur. Şayet veri sorumlusunun birden fazla veri işleme amacı bulunuyorsa, toptan bir onay almak yerine her bir işlem amacı için sizden ayrıca rıza alması yasal bir gerekliliktir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir