Anasayfa/ Makale/ KVKK Kapsamında Temel Kavramlar ve Veri İşleme Şartları

KVKK Kapsamında Temel Kavramlar ve Veri İşleme Şartları

Bu makale, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca kişisel verilerin korunmasına ilişkin temel kavramları, veri sorumlusu ve işleyen statülerini, genel ilkeleri ve verilerin hukuka uygun şekilde işlenmesi için gerekli olan yasal şartları hukuki bir perspektifle ve güncel mevzuat ışığında detaylıca incelemektedir.
search
8 dk okuma Yayınlanma: Güncelleme:
AÇIK RIZA ÖZEL NİTELİKLİ KİŞİSEL VERİ AYDINLATMA YÜKÜMLÜLÜĞÜ KVKK

Ekonomik ve teknolojik gelişmelerle birlikte kişisel verilerin korunması ihtiyacı hukuki bir zorunluluk haline gelmiştir. Türk hukukunda bu alanın temelini oluşturan 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin hukuka uygun olarak işlenmesini güvence altına almaktadır. Hukuk büromuzun uzmanlık alanlarından biri olan veri koruma mevzuatı çerçevesinde, şirketlerin ve bireylerin Kanun'dan doğan hak ve yükümlülüklerini doğru anlamaları büyük önem taşımaktadır. KVKK, sadece verilerin izinsiz kullanılmasını engellemekle kalmaz, aynı zamanda bu verilerin işlenmesi sürecine dair katı kural ve şablonlar getirir. Bir veri işleme faaliyetinin hukuka uygun addedilebilmesi için, Kanun’da öngörülen genel ilkelere mutlak surette uyulması ve işleme şartlarından en az birinin somut olayda mevcut olması gerekmektedir. Bu hukuki metinde, kanunun uygulama alanını belirleyen temel kavramlar, açık rıza müessesesi ve gerek genel gerekse özel nitelikli kişisel verilerin işlenmesine dayanak teşkil eden hukuka uygunluk nedenleri yasal bir perspektifle mercek altına alınmaktadır.

Kişisel Veri ve Özel Nitelikli Kişisel Veri Kavramları

Kanun'un 3. maddesi uyarınca kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu tanımın unsurları incelendiğinde; verinin tüzel kişilere değil mutlak surette bir gerçek kişiye ilişkin olması ve bu kişiyi doğrudan ya da dolaylı yollarla belirlenebilir kılması şarttır. Örneğin; kimlik numarası, lokasyon bilgileri veya kişinin taşıdığı sosyo-kültürel izler bu kapsamdadır. Öte yandan, Kanun’un 6. maddesinde sınırlı sayma yöntemiyle listelenen özel nitelikli kişisel veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, kılık kıyafet, dernek veya sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve biyometrik ile genetik verileri kapsamaktadır. Bu verilerin başkaları tarafından öğrenilmesi, ilgili kişinin ayrımcılığa uğramasına veya mağduriyetine sebebiyet verebileceğinden, hukuken daha sıkı koruma rejimine tabi tutulmuşlardır. Hukuk uygulamalarında, özel nitelikli verilerin tespiti büyük hassasiyet gerektirmektedir.

Veri Sorumlusu ve Veri İşleyen Arasındaki Hukuki Statü

Kişisel verilerin işlenmesi sürecinde hukuki sorumluluğun tespiti açısından tarafların statülerinin netleştirilmesi elzemdir. KVKK kapsamında veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan tüzel veya gerçek kişidir. Bir şirket veya kamu kurumu bizzat veri sorumlusu statüsünü haiz olup, sorumluluk tüzel kişiliğin kendisine aittir. Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak ve tamamen onun talimatları doğrultusunda kendi adına değil veri sorumlusu adına veri işleyen dışarıdan hizmet alınan üçüncü kişilerdir. Hak ihlallerinde, aydınlatma yükümlülüğünün yerine getirilmesinde ve veri güvenliğinin sağlanmasına yönelik yasal tedbirlerin alınmasında asli hukuki sorumluluk veri sorumlusuna aittir. Bununla birlikte, teknik veri güvenliği yükümlülüklerinin ihlali halinde veri işleyenin de müştereken sorumlu tutulabileceği hususu mevzuatımızda düzenlenmiştir.

Veri İşlemede Uyulması Gereken Genel İlkeler

Kanun'un 4. maddesi, her türlü veri işleme faaliyetinin temelini oluşturan ve mutlak surette uyulması zorunlu olan genel ilkeleri düzenlemektedir. Bir hukuka uygunluk sebebi bulunsa dahi, bu ilkelere aykırı yapılan işlemeler Kanun'a aykırılık teşkil eder. Verilerin işlenmesinde başta Anayasa ve Türk Medeni Kanunu'ndaki dürüstlük kuralına uygun olma ilkesi aranır. Ayrıca verilerin doğru ve gerektiğinde güncel tutulması, belirli, açık ve meşru amaçlar için işlenmesi yasal bir mecburiyettir. İdari ve adli denetimlerde en çok karşılaşılan ihlallerden biri de verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma kuralına aykırı davranılmasıdır. Son olarak, işlenen veriler mevzuatta öngörülen veya işleme amacı için gerekli olan süre kadar muhafaza edilmeli, bu süre dolduğunda ise gecikmeksizin silinmeli, yok edilmeli veya anonim hale getirilmelidir.

Kişisel Verilerin İşlenme Şartları ve Hukuka Uygunluk Nedenleri

Kişisel veriler kural olarak veri sahibinin açık rızası olmaksızın işlenemez. Ancak Kanun'un 5. maddesinin 2. fıkrası, açık rıza alınmaksızın veri işlenmesini hukuka uygun kılan nedenleri yedi bent halinde saymıştır. Bunlar, mevzuatta açık bir hükmün bulunması durumunu ifade eden kanunlarda açıkça öngörülme, fiili imkânsızlık sebebiyle rıza verilememesi durumunda hayat veya beden bütünlüğünün korunması, bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi, verinin bizzat ilgili kişi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması ve son olarak ilgili kişinin temel haklarına zarar vermemek şartıyla veri sorumlusunun meşru menfaatleri için zorunlu olması halleridir. Bu istisnai durumların varlığında veri sorumluları, aydınlatma yükümlülüklerini yerine getirmek şartıyla kişisel verileri yasal sınırlar dahilinde işleme hakkına sahiptir.

Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Hassas verilere ilişkin işleme şartları Kanun'un 6. maddesinde düzenlenmiştir. Yakın tarihli olan ve 7499 sayılı Kanun ile yapılan yasal değişiklikler sonucunda, sağlık ve cinsel hayata dair veriler ile diğer özel nitelikli veriler arasındaki ayrım kaldırılarak, tüm özel nitelikli veriler bakımından yeknesak bir işleme rejimi benimsenmiştir. Bu kapsamda, ilgili kişinin açık rızası haricinde, aşağıdaki şartlardan birinin varlığı halinde özel nitelikli kişisel veriler hukuka uygun olarak işlenebilir:

  • İşleme faaliyetinin kanunlarda açıkça öngörülmesi.
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayan kişinin veya bir başkasının hayatının ya da beden bütünlüğünün korunması.
  • İlgili kişinin alenileştirdiği verilere ilişkin olması ve alenileştirme iradesine uygun olması.
  • Bir hakkın tesisi, kullanılması veya korunması için verinin işlenmesinin zorunlu olması.
  • Sır saklama yükümlülüğü altındaki kişi veya kurumlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis ve tedavi ile sağlık hizmetlerinin planlanması amacıyla gerekli olması.
  • İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik ile sosyal hizmetler alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için işlemenin zorunlu olması.

Açık Rıza Müessesesinin Hukuki Unsurları

Kanun kapsamında açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve hiçbir baskı altında kalmadan özgür iradeyle açıklanan rıza olarak tanımlanmaktadır. Bu kavramın hukuki geçerliliği, rızanın battaniye nitelikte olmamasına, sınırları net çizilmiş spesifik bir işlem türü için verilmesine bağlıdır. İlgili kişinin rıza göstermeden önce Kanun'un 10. maddesi kapsamında aydınlatma yükümlülüğü çerçevesinde verilerinin kim tarafından, hangi amaçla ve ne şekilde işleneceği konusunda şeffaf biçimde bilgilendirilmiş olması zorunludur. Ayrıca, rızanın özgür iradeyle verilmesi unsuru, bir mal veya hizmetin sunulmasının rıza şartına bağlanmamasını ifade eden bağlantı yasağını gündeme getirir. Zorunlu bir hizmetin alınabilmesi için rıza dayatılması işlemi sakatlayacaktır. Son olarak, hukuka uygun bir şekilde verilen açık rıza, ilgili kişi tarafından her zaman geri alınabilir ve rızanın geri alınması ileriye dönük olarak veri işleme faaliyetini durdurur.

Şirketimin ticari bilgileri KVKK kapsamında kişisel veri sayılır mı? expand_more
KVKK kapsamında kişisel veri olarak kabul edilen bilgilerin, mutlak surette belirli veya belirlenebilir bir gerçek kişiye ait olması gerekmektedir. Bu nedenle, tüzel kişilere yani şirketlere ait ticari bilgiler kişisel veri koruma mevzuatının koruma alanına girmemektedir. Hukuki bir uyuşmazlıkta veri ihlalinden söz edilebilmesi için, ilgili verinin doğrudan ya da dolaylı yollarla bir gerçek kişiyi belirlenebilir kılması yasal bir şarttır. Kanunun getirdiği veri işleme kuralları ve şablonları, tüzel kişileri değil bizzat bireyleri korumak amacıyla tasarlanmıştır.
Bir hizmeti alabilmem için zorla açık rızamı istemeleri yasal mı? expand_more
Kanun uyarınca açık rızanın geçerli olabilmesi için hiçbir baskı altında kalmadan, tamamen özgür iradeyle açıklanmış olması hukuki bir zorunluluktur. Bir mal veya hizmetin sunulmasının ilgili kişinin rıza şartına bağlanması durumu, mevzuatta "bağlantı yasağı" olarak adlandırılmaktadır ve bu tür dayatmalar alınan rızayı hukuken sakatlar. Zorunlu bir hizmetin verilmesi karşılığında rıza verilmesinin zorunlu tutulması kanuna aykırılık teşkil etmektedir. Ayrıca, hukuka uygun şekilde vermiş olduğunuz bir rızayı da dilediğiniz zaman geri alma hakkına sahipsiniz ve bu geri alma beyanı ileriye dönük olarak veri işleme faaliyetini durdurur.
Eskiden çalıştığım şirket kimlik bilgilerimi sonsuza kadar saklayabilir mi? expand_more
Kişisel verilerin işlenmesinde uyulması gereken temel ilkelerden biri, verilerin mevzuatta öngörülen veya işleme amacı için gerekli olan süre kadar muhafaza edilmesidir. Hukuki bir dayanak bulunsa dahi, söz konusu veriler amaçla bağlantılı, sınırlı ve ölçülü olma kuralına uygun olarak işlenmeli ve tutulmalıdır. Belirlenen yasal saklama süresi dolduğunda veya verinin işlenmesini gerektiren amaç ortadan kalktığında, veri sorumlusu sıfatını haiz olan bu şirket bilgileri gecikmeksizin silmeli, yok etmeli veya anonim hale getirmelidir. Bu ilkeye aykırı hareket edilmesi, KVKK'ya aykırılık teşkil edecek ve adli veya idari denetimlerde kurum aleyhine sonuçlar doğuracaktır.
Ben rıza vermesem bile kişisel bilgilerimi kafalarına göre işleyebilirler mi? expand_more
Kural olarak kişisel veriler, veri sahibinin açık rızası olmaksızın kesinlikle işlenemez; ancak kanun, rıza aranmaksızın veri işlenmesini hukuka uygun kılan bazı istisnai şartlar öngörmüştür. Örneğin, kanunlarda açıkça bu durumun öngörülmesi, bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması ya da veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi gibi durumlarda rızanız aranmaz. Bu istisnai durumların varlığında dahi, işlemi yapan kurum veya şirketlerin sizi ne amaçla veri işlediklerine dair aydınlatma yükümlülüklerini yerine getirmeleri mutlak bir yasal şarttır. Her halükarda, rızanız haricinde işlenen verilerinizin kanundaki meşru amaçlarla bağlantılı ve dürüstlük kuralı gibi genel ilkelere uygun olması aranır.
Hastaneye verdiğim sağlık bilgilerim diğer verilerle aynı kurallara mı tabi? expand_more
Sağlık verileriniz, kanunda sınırlı sayma yöntemiyle listelenen "özel nitelikli kişisel veriler" kategorisinde yer almaktadır. Bu verilerin ifşa olması veya başkaları tarafından öğrenilmesi, ayrımcılığa uğramanıza veya mağduriyet yaşamanıza sebebiyet verebileceğinden hukuken çok daha sıkı bir koruma rejimine tabi tutulmaktadırlar. Mevzuatımızda yapılan son yasal değişikliklerle tüm özel nitelikli veriler yeknesak bir işleme rejimine alınmıştır. Bu kapsamda, sır saklama yükümlülüğü altındaki kişilerce kamu sağlığının korunması, tıbbi teşhis ve tedavi gibi kanunda öngörülen zorunlu haller haricinde, sağlık verilerinizin açık rızanız olmadan işlenmesi hukuka aykırıdır.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir