Makale
Kişisel verilerin hukuka uygun olarak işlenmesi için 6698 sayılı Kanun kapsamında belirlenen ilkelere ve veri işleme şartlarına uyulması zorunludur. Bu makalede, veri sorumlularının uyması gereken genel ilkeler ile kişisel veriler ve özel nitelikli kişisel verilerin işlenme şartları incelenmektedir.
KVKK Kapsamında Veri İşleme Şartları ve Temel İlkeler
Günümüzde kişisel verilerin korunması, dijitalleşen dünyada bireylerin temel hak ve özgürlüklerinin güvence altına alınması bakımından kritik bir öneme sahiptir. Bu kapsamda mevzuatımızın temel dayanağı olan 6698 sayılı Kişisel Verilerin Korunması Kanunu, verilerin keyfi olarak işlenmesini önlemek amacıyla sıkı düzenlemeler getirmektedir. Kişisel verilerin işlenmesi, verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması ve aktarılması gibi her türlü işlemi kapsamaktadır. Veri işleme faaliyetinin hukuka uygun kabul edilebilmesi için mevzuatta sınırlı sayım ilkesiyle belirlenmiş olan veri işleme şartlarından en az birine dayanması ve tüm süreç boyunca genel ilkelere riayet edilmesi zorunludur. Hukuka aykırı şekilde gerçekleştirilen her türlü veri işleme faaliyeti, veri sorumlusu açısından idari ve cezai yaptırımların doğmasına sebebiyet vereceği gibi, ilgili kişinin maddi veya manevi zararlarının tazmini sorumluluğunu da beraberinde getirmektedir.
Kişisel Verilerin İşlenmesinde Hakim Olan Genel İlkeler
Kanun kapsamında gerçekleştirilen tüm kişisel veri işleme faaliyetleri, özünde kanunun dördüncü maddesinde öngörülen beş temel ilkeye uygun olarak yürütülmelidir. Bu ilkelerin ilki olan hukuka ve dürüstlük kurallarına uygun olma, veri işleme süreçlerinde hem yasal düzenlemelere hem de evrensel hukuk prensiplerine riayet edilmesini gerektirir. Dürüstlük kuralı, veri sorumlusunun makul ve orta zekalı bir kimsenin göstereceği özeni göstermesini, ilgili kişilerin makul beklentilerini dikkate alarak şeffaf davranmasını zorunlu kılar. İşlenen verilerin doğru ve gerektiğinde güncel olması ise, verinin gerçek durumu yansıtmasını ifade eder; zira hatalı veya güncel olmayan veriler üzerinden işlem yapılması, ilgili kişi aleyhine telafisi güç zararlar doğurabilmektedir. Bu sebeple veri sorumluları, verilerin güncelliğini temin edecek idari ve teknik mekanizmaları her daim açık tutmakla yükümlüdür.
Bir diğer kritik kural ise verilerin belirli, açık ve meşru amaçlar için işlenmesi ilkesidir. Bu ilke uyarınca, veri sorumlusunun hangi verileri hangi amaçla işleyeceğini en geç işlem anında net bir şekilde belirlemesi ve faaliyetin hukuk düzeni tarafından korunmaya değer meşru bir amaca hizmet etmesi şarttır. Ayrıca, işlenen veriler amaçla bağlantılı, sınırlı ve ölçülü olma kriterini sağlamalıdır; yani hedeflenen amaca ulaşmak için gerekli olmayan, ileride kullanılabileceği varsayımıyla toplanan fazla verilerin işlenmesinden kaçınılmalıdır. Son olarak, işlenen kişisel veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmeli, işlenmesini gerektiren hukuki sebeplerin ortadan kalkması durumunda gecikmeksizin silinmeli, yok edilmeli veya anonim hale getirilmelidir. Belirtilen bu genel ilkelere aykırılık, doğrudan veri güvenliği ihlali sayılarak idari para cezası yaptırımına yol açmaktadır.
Kişisel Verilerin İşlenme Şartları Nelerdir?
Kişisel verilerin işlenmesi, temel hak ve özgürlüklerin korunması bakımından istisnai bir durum olarak kabul edildiğinden, kanunun beşinci maddesinde veri işlemeyi hukuka uygun hale getiren sınırlı haller düzenlenmiştir. Bu düzenlemeye göre, kural olarak veri işlemenin yasak olduğu durumlarda, kanunda sayılan istisnai durumlardan en az birinin somut olayda mevcut olması gerekmektedir. Önemle belirtmek gerekir ki, kanunda sayılan bu veri işleme şartları arasında herhangi bir öncelik-sonralık ilişkisi veya yasal hiyerarşi bulunmamaktadır; dolayısıyla şartlardan sadece bir tanesinin varlığı, işleme faaliyetini yasal bir zemine oturtmak için yeterlidir. İlgili veri işleme şartları şu şekilde sıralanmaktadır:
- Kanunlarda açıkça öngörülmesi: Veri işleme faaliyetinin yürürlükteki yasal mevzuat tarafından açıkça emredilmesi veya zorunlu kılınması durumudur.
- Fiili imkânsızlık hali: İlgili kişinin fiili imkânsızlık sebebiyle rızasını açıklayamayacağı durumlarda, kendisinin veya başkasının hayatı ya da beden bütünlüğünün korunması için zorunlu olan hallerdir.
- Sözleşmenin kurulması veya ifası: Bir sözleşmenin kurulması veya doğrudan doğruya ifasıyla ilgili olmak kaydıyla, sözleşme taraflarına ait kişisel verilerin işlenmesinin zaruri olmasıdır.
- Hukuki yükümlülüğün yerine getirilmesi: Veri sorumlusunun mevzuattan veya hukuki niteliği haiz bir işlemden doğan yükümlülüklerini yerine getirebilmesi için zorunlu olan hallerdir.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması: Kişisel verinin, ilgili kişinin bizzat kendi iradesiyle ve belirli bir amaç doğrultusunda kamuoyunun bilgisine sunulmuş olmasıdır.
- Bir hakkın tesisi, kullanılması veya korunması: İlgili kişiye veya üçüncü bir kişiye ait bir hakkın yasal yollardan tesisi veya korunması için veri işlemenin zorunlu olması durumudur.
- Veri sorumlusunun meşru menfaati: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için zorunlu olan hallerdir.
Özel Nitelikli Kişisel Verilerin İşlenmesi
Kanun koyucu, öğrenilmesi halinde kişilerin mağdur olmasına veya ayrımcılığa maruz kalmasına yol açabilecek daha hassas verileri özel nitelikli kişisel veri statüsünde değerlendirmiş ve bu verilerin işlenmesini kanunun altıncı maddesinde çok daha katı şartlara bağlamıştır. Irk, etnik köken, siyasi düşünce, felsefi inanç, din, kılık kıyafet, dernek veya sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerdir ve gerekli hukuka uygunluk sebepleri bulunmayan hallerde ancak kanunlarda öngörülen hallerde işlenebilir. Kanunlarda buna ilişkin açık bir hüküm bulunmuyorsa, bu verilerin işlenmesi hukuka aykırı kabul edilmektedir.
Sağlık ve cinsel hayata ilişkin kişisel veriler ise kanunda en üst düzeyde korunan veri kategorisini oluşturmaktadır. Bu veriler istisnai olarak ancak; kamu sağlığının korunması, koruyucu hekimlik faaliyetlerinin yürütülmesi, tıbbî teşhis, tedavi ve bakım hizmetlerinin sağlanması, ayrıca sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçlarıyla işlenebilmektedir. Dahası, bu istisnai durumların geçerli olabilmesi için, veri işleme faaliyetinin muhakkak surette sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından gerçekleştirilmesi kanuni bir zorunluluktur. Belirtilen bu şartların ihlali, telafisi imkansız ihlallere yol açacağından veri sorumluları aleyhine ağır cezai müeyyideler doğurmaktadır.