Makale
Bu makale, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca kişisel verilerin korunmasına ilişkin temel kavramları, veri sorumlusu ve işleyen statülerini, genel ilkeleri ve verilerin hukuka uygun şekilde işlenmesi için gerekli olan yasal şartları hukuki bir perspektifle ve güncel mevzuat ışığında detaylıca incelemektedir.
KVKK Kapsamında Temel Kavramlar ve Veri İşleme Şartları
Ekonomik ve teknolojik gelişmelerle birlikte kişisel verilerin korunması ihtiyacı hukuki bir zorunluluk haline gelmiştir. Türk hukukunda bu alanın temelini oluşturan 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin hukuka uygun olarak işlenmesini güvence altına almaktadır. Hukuk büromuzun uzmanlık alanlarından biri olan veri koruma mevzuatı çerçevesinde, şirketlerin ve bireylerin Kanun'dan doğan hak ve yükümlülüklerini doğru anlamaları büyük önem taşımaktadır. KVKK, sadece verilerin izinsiz kullanılmasını engellemekle kalmaz, aynı zamanda bu verilerin işlenmesi sürecine dair katı kural ve şablonlar getirir. Bir veri işleme faaliyetinin hukuka uygun addedilebilmesi için, Kanun’da öngörülen genel ilkelere mutlak surette uyulması ve işleme şartlarından en az birinin somut olayda mevcut olması gerekmektedir. Bu hukuki metinde, kanunun uygulama alanını belirleyen temel kavramlar, açık rıza müessesesi ve gerek genel gerekse özel nitelikli kişisel verilerin işlenmesine dayanak teşkil eden hukuka uygunluk nedenleri yasal bir perspektifle mercek altına alınmaktadır.
Kişisel Veri ve Özel Nitelikli Kişisel Veri Kavramları
Kanun'un 3. maddesi uyarınca kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu tanımın unsurları incelendiğinde; verinin tüzel kişilere değil mutlak surette bir gerçek kişiye ilişkin olması ve bu kişiyi doğrudan ya da dolaylı yollarla belirlenebilir kılması şarttır. Örneğin; kimlik numarası, lokasyon bilgileri veya kişinin taşıdığı sosyo-kültürel izler bu kapsamdadır. Öte yandan, Kanun’un 6. maddesinde sınırlı sayma yöntemiyle listelenen özel nitelikli kişisel veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, kılık kıyafet, dernek veya sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve biyometrik ile genetik verileri kapsamaktadır. Bu verilerin başkaları tarafından öğrenilmesi, ilgili kişinin ayrımcılığa uğramasına veya mağduriyetine sebebiyet verebileceğinden, hukuken daha sıkı koruma rejimine tabi tutulmuşlardır. Hukuk uygulamalarında, özel nitelikli verilerin tespiti büyük hassasiyet gerektirmektedir.
Veri Sorumlusu ve Veri İşleyen Arasındaki Hukuki Statü
Kişisel verilerin işlenmesi sürecinde hukuki sorumluluğun tespiti açısından tarafların statülerinin netleştirilmesi elzemdir. KVKK kapsamında veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan tüzel veya gerçek kişidir. Bir şirket veya kamu kurumu bizzat veri sorumlusu statüsünü haiz olup, sorumluluk tüzel kişiliğin kendisine aittir. Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak ve tamamen onun talimatları doğrultusunda kendi adına değil veri sorumlusu adına veri işleyen dışarıdan hizmet alınan üçüncü kişilerdir. Hak ihlallerinde, aydınlatma yükümlülüğünün yerine getirilmesinde ve veri güvenliğinin sağlanmasına yönelik yasal tedbirlerin alınmasında asli hukuki sorumluluk veri sorumlusuna aittir. Bununla birlikte, teknik veri güvenliği yükümlülüklerinin ihlali halinde veri işleyenin de müştereken sorumlu tutulabileceği hususu mevzuatımızda düzenlenmiştir.
Veri İşlemede Uyulması Gereken Genel İlkeler
Kanun'un 4. maddesi, her türlü veri işleme faaliyetinin temelini oluşturan ve mutlak surette uyulması zorunlu olan genel ilkeleri düzenlemektedir. Bir hukuka uygunluk sebebi bulunsa dahi, bu ilkelere aykırı yapılan işlemeler Kanun'a aykırılık teşkil eder. Verilerin işlenmesinde başta Anayasa ve Türk Medeni Kanunu'ndaki dürüstlük kuralına uygun olma ilkesi aranır. Ayrıca verilerin doğru ve gerektiğinde güncel tutulması, belirli, açık ve meşru amaçlar için işlenmesi yasal bir mecburiyettir. İdari ve adli denetimlerde en çok karşılaşılan ihlallerden biri de verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma kuralına aykırı davranılmasıdır. Son olarak, işlenen veriler mevzuatta öngörülen veya işleme amacı için gerekli olan süre kadar muhafaza edilmeli, bu süre dolduğunda ise gecikmeksizin silinmeli, yok edilmeli veya anonim hale getirilmelidir.
Kişisel Verilerin İşlenme Şartları ve Hukuka Uygunluk Nedenleri
Kişisel veriler kural olarak veri sahibinin açık rızası olmaksızın işlenemez. Ancak Kanun'un 5. maddesinin 2. fıkrası, açık rıza alınmaksızın veri işlenmesini hukuka uygun kılan nedenleri yedi bent halinde saymıştır. Bunlar, mevzuatta açık bir hükmün bulunması durumunu ifade eden kanunlarda açıkça öngörülme, fiili imkânsızlık sebebiyle rıza verilememesi durumunda hayat veya beden bütünlüğünün korunması, bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi, verinin bizzat ilgili kişi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması ve son olarak ilgili kişinin temel haklarına zarar vermemek şartıyla veri sorumlusunun meşru menfaatleri için zorunlu olması halleridir. Bu istisnai durumların varlığında veri sorumluları, aydınlatma yükümlülüklerini yerine getirmek şartıyla kişisel verileri yasal sınırlar dahilinde işleme hakkına sahiptir.
Özel Nitelikli Kişisel Verilerin İşlenme Şartları
Hassas verilere ilişkin işleme şartları Kanun'un 6. maddesinde düzenlenmiştir. Yakın tarihli olan ve 7499 sayılı Kanun ile yapılan yasal değişiklikler sonucunda, sağlık ve cinsel hayata dair veriler ile diğer özel nitelikli veriler arasındaki ayrım kaldırılarak, tüm özel nitelikli veriler bakımından yeknesak bir işleme rejimi benimsenmiştir. Bu kapsamda, ilgili kişinin açık rızası haricinde, aşağıdaki şartlardan birinin varlığı halinde özel nitelikli kişisel veriler hukuka uygun olarak işlenebilir:
- İşleme faaliyetinin kanunlarda açıkça öngörülmesi.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayan kişinin veya bir başkasının hayatının ya da beden bütünlüğünün korunması.
- İlgili kişinin alenileştirdiği verilere ilişkin olması ve alenileştirme iradesine uygun olması.
- Bir hakkın tesisi, kullanılması veya korunması için verinin işlenmesinin zorunlu olması.
- Sır saklama yükümlülüğü altındaki kişi veya kurumlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis ve tedavi ile sağlık hizmetlerinin planlanması amacıyla gerekli olması.
- İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik ile sosyal hizmetler alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için işlemenin zorunlu olması.
Açık Rıza Müessesesinin Hukuki Unsurları
Kanun kapsamında açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve hiçbir baskı altında kalmadan özgür iradeyle açıklanan rıza olarak tanımlanmaktadır. Bu kavramın hukuki geçerliliği, rızanın battaniye nitelikte olmamasına, sınırları net çizilmiş spesifik bir işlem türü için verilmesine bağlıdır. İlgili kişinin rıza göstermeden önce Kanun'un 10. maddesi kapsamında aydınlatma yükümlülüğü çerçevesinde verilerinin kim tarafından, hangi amaçla ve ne şekilde işleneceği konusunda şeffaf biçimde bilgilendirilmiş olması zorunludur. Ayrıca, rızanın özgür iradeyle verilmesi unsuru, bir mal veya hizmetin sunulmasının rıza şartına bağlanmamasını ifade eden bağlantı yasağını gündeme getirir. Zorunlu bir hizmetin alınabilmesi için rıza dayatılması işlemi sakatlayacaktır. Son olarak, hukuka uygun bir şekilde verilen açık rıza, ilgili kişi tarafından her zaman geri alınabilir ve rızanın geri alınması ileriye dönük olarak veri işleme faaliyetini durdurur.