Anasayfa/ Makale/ KVKK Kapsamında Veri İşleme Şartları ve Temel İlkeler

KVKK Kapsamında Veri İşleme Şartları ve Temel İlkeler

Kişisel verilerin hukuka uygun olarak işlenmesi için 6698 sayılı Kanun kapsamında belirlenen ilkelere ve veri işleme şartlarına uyulması zorunludur. Bu makalede, veri sorumlularının uyması gereken genel ilkeler ile kişisel veriler ve özel nitelikli kişisel verilerin işlenme şartları incelenmektedir.
search
7 dk okuma Yayınlanma: Güncelleme:
ÖZEL NİTELİKLİ KİŞİSEL VERİ HASTA HAKLARI KVKK KİŞİSEL VERİLERİN İŞLENMESİ

Günümüzde kişisel verilerin korunması, dijitalleşen dünyada bireylerin temel hak ve özgürlüklerinin güvence altına alınması bakımından kritik bir öneme sahiptir. Bu kapsamda mevzuatımızın temel dayanağı olan 6698 sayılı Kişisel Verilerin Korunması Kanunu, verilerin keyfi olarak işlenmesini önlemek amacıyla sıkı düzenlemeler getirmektedir. Kişisel verilerin işlenmesi, verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması ve aktarılması gibi her türlü işlemi kapsamaktadır. Veri işleme faaliyetinin hukuka uygun kabul edilebilmesi için mevzuatta sınırlı sayım ilkesiyle belirlenmiş olan veri işleme şartlarından en az birine dayanması ve tüm süreç boyunca genel ilkelere riayet edilmesi zorunludur. Hukuka aykırı şekilde gerçekleştirilen her türlü veri işleme faaliyeti, veri sorumlusu açısından idari ve cezai yaptırımların doğmasına sebebiyet vereceği gibi, ilgili kişinin maddi veya manevi zararlarının tazmini sorumluluğunu da beraberinde getirmektedir.

Kişisel Verilerin İşlenmesinde Hakim Olan Genel İlkeler

Kanun kapsamında gerçekleştirilen tüm kişisel veri işleme faaliyetleri, özünde kanunun dördüncü maddesinde öngörülen beş temel ilkeye uygun olarak yürütülmelidir. Bu ilkelerin ilki olan hukuka ve dürüstlük kurallarına uygun olma, veri işleme süreçlerinde hem yasal düzenlemelere hem de evrensel hukuk prensiplerine riayet edilmesini gerektirir. Dürüstlük kuralı, veri sorumlusunun makul ve orta zekalı bir kimsenin göstereceği özeni göstermesini, ilgili kişilerin makul beklentilerini dikkate alarak şeffaf davranmasını zorunlu kılar. İşlenen verilerin doğru ve gerektiğinde güncel olması ise, verinin gerçek durumu yansıtmasını ifade eder; zira hatalı veya güncel olmayan veriler üzerinden işlem yapılması, ilgili kişi aleyhine telafisi güç zararlar doğurabilmektedir. Bu sebeple veri sorumluları, verilerin güncelliğini temin edecek idari ve teknik mekanizmaları her daim açık tutmakla yükümlüdür.

Bir diğer kritik kural ise verilerin belirli, açık ve meşru amaçlar için işlenmesi ilkesidir. Bu ilke uyarınca, veri sorumlusunun hangi verileri hangi amaçla işleyeceğini en geç işlem anında net bir şekilde belirlemesi ve faaliyetin hukuk düzeni tarafından korunmaya değer meşru bir amaca hizmet etmesi şarttır. Ayrıca, işlenen veriler amaçla bağlantılı, sınırlı ve ölçülü olma kriterini sağlamalıdır; yani hedeflenen amaca ulaşmak için gerekli olmayan, ileride kullanılabileceği varsayımıyla toplanan fazla verilerin işlenmesinden kaçınılmalıdır. Son olarak, işlenen kişisel veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmeli, işlenmesini gerektiren hukuki sebeplerin ortadan kalkması durumunda gecikmeksizin silinmeli, yok edilmeli veya anonim hale getirilmelidir. Belirtilen bu genel ilkelere aykırılık, doğrudan veri güvenliği ihlali sayılarak idari para cezası yaptırımına yol açmaktadır.

Kişisel Verilerin İşlenme Şartları Nelerdir?

Kişisel verilerin işlenmesi, temel hak ve özgürlüklerin korunması bakımından istisnai bir durum olarak kabul edildiğinden, kanunun beşinci maddesinde veri işlemeyi hukuka uygun hale getiren sınırlı haller düzenlenmiştir. Bu düzenlemeye göre, kural olarak veri işlemenin yasak olduğu durumlarda, kanunda sayılan istisnai durumlardan en az birinin somut olayda mevcut olması gerekmektedir. Önemle belirtmek gerekir ki, kanunda sayılan bu veri işleme şartları arasında herhangi bir öncelik-sonralık ilişkisi veya yasal hiyerarşi bulunmamaktadır; dolayısıyla şartlardan sadece bir tanesinin varlığı, işleme faaliyetini yasal bir zemine oturtmak için yeterlidir. İlgili veri işleme şartları şu şekilde sıralanmaktadır:

  • Kanunlarda açıkça öngörülmesi: Veri işleme faaliyetinin yürürlükteki yasal mevzuat tarafından açıkça emredilmesi veya zorunlu kılınması durumudur.
  • Fiili imkânsızlık hali: İlgili kişinin fiili imkânsızlık sebebiyle rızasını açıklayamayacağı durumlarda, kendisinin veya başkasının hayatı ya da beden bütünlüğünün korunması için zorunlu olan hallerdir.
  • Sözleşmenin kurulması veya ifası: Bir sözleşmenin kurulması veya doğrudan doğruya ifasıyla ilgili olmak kaydıyla, sözleşme taraflarına ait kişisel verilerin işlenmesinin zaruri olmasıdır.
  • Hukuki yükümlülüğün yerine getirilmesi: Veri sorumlusunun mevzuattan veya hukuki niteliği haiz bir işlemden doğan yükümlülüklerini yerine getirebilmesi için zorunlu olan hallerdir.
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması: Kişisel verinin, ilgili kişinin bizzat kendi iradesiyle ve belirli bir amaç doğrultusunda kamuoyunun bilgisine sunulmuş olmasıdır.
  • Bir hakkın tesisi, kullanılması veya korunması: İlgili kişiye veya üçüncü bir kişiye ait bir hakkın yasal yollardan tesisi veya korunması için veri işlemenin zorunlu olması durumudur.
  • Veri sorumlusunun meşru menfaati: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için zorunlu olan hallerdir.

Özel Nitelikli Kişisel Verilerin İşlenmesi

Kanun koyucu, öğrenilmesi halinde kişilerin mağdur olmasına veya ayrımcılığa maruz kalmasına yol açabilecek daha hassas verileri özel nitelikli kişisel veri statüsünde değerlendirmiş ve bu verilerin işlenmesini kanunun altıncı maddesinde çok daha katı şartlara bağlamıştır. Irk, etnik köken, siyasi düşünce, felsefi inanç, din, kılık kıyafet, dernek veya sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerdir ve gerekli hukuka uygunluk sebepleri bulunmayan hallerde ancak kanunlarda öngörülen hallerde işlenebilir. Kanunlarda buna ilişkin açık bir hüküm bulunmuyorsa, bu verilerin işlenmesi hukuka aykırı kabul edilmektedir.

Sağlık ve cinsel hayata ilişkin kişisel veriler ise kanunda en üst düzeyde korunan veri kategorisini oluşturmaktadır. Bu veriler istisnai olarak ancak; kamu sağlığının korunması, koruyucu hekimlik faaliyetlerinin yürütülmesi, tıbbî teşhis, tedavi ve bakım hizmetlerinin sağlanması, ayrıca sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçlarıyla işlenebilmektedir. Dahası, bu istisnai durumların geçerli olabilmesi için, veri işleme faaliyetinin muhakkak surette sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından gerçekleştirilmesi kanuni bir zorunluluktur. Belirtilen bu şartların ihlali, telafisi imkansız ihlallere yol açacağından veri sorumluları aleyhine ağır cezai müeyyideler doğurmaktadır.

Şirket benden hiç gereği olmayan tonla bilgimi istiyor, buna hakları var mı? expand_more
Kanunumuz kapsamında kişisel verilerin işlenmesinde "amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesine uyulması zorunludur. Yani şirketlerin hedeflenen amaca ulaşmak için gerekli olmayan ve ileride kullanılabileceği varsayımıyla gereksiz veri toplaması yasaktır. Sizden istenen veriler muhakkak önceden belirlenmiş, açık ve meşru bir amaca hizmet etmelidir. Bu yasal ilkelere aykırı davranılması doğrudan bir veri güvenliği ihlali sayılır ve ilgili şirket aleyhine idari para cezası yaptırımına yol açar.
Eski iş yerim hala bilgilerimi tutuyor, bunları silmeleri gerekmiyor mu? expand_more
Mevzuatımıza göre kişisel veriler, ilgili mevzuatta öngörülen veya işlendikleri meşru amaç için gerekli olan süre kadar muhafaza edilebilir. Verilerinizin işlenmesini gerektiren sözleşmesel veya hukuki sebeplerin ortadan kalkması durumunda, bu kayıtların gecikmeksizin silinmesi, yok edilmesi veya anonim hale getirilmesi emredici bir kuraldır. Eski iş yeriniz verilerinizi yasal bir dayanak olmadan tutmaya devam ediyorsa, bu faaliyet açıkça hukuka aykırı kabul edilecektir. Verilerin saklanması veya güncel olmaması sebebiyle doğabilecek hukuki ve maddi zararlardan da veri sorumlusu sıfatıyla eski işvereniniz sorumlu olacaktır.
Hastaneye verdim diye hastalık geçmişimi herkes görebilir mi? expand_more
Hayır, sağlık ve cinsel hayata ilişkin bilgiler kanunumuzda en üst düzeyde koruma kalkanına sahip "özel nitelikli kişisel veri" statüsündedir. Bu son derece hassas veriler kural olarak ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis ve tedavi hizmetlerinin sunulması gibi sınırlı amaçlarla işlenebilir. Üstelik bu yasal istisnaların geçerli olabilmesi için, veri işleme sürecinin mutlaka sır saklama yükümlülüğü altındaki kişiler veya yetkili kuruluşlarca yürütülmesi kanuni bir mecburiyettir. Aksi bir durum telafisi imkansız ihlallere yol açacağından, sağlık verilerinizi hukuka aykırı şekilde ifşa eden veya işleyenler hakkında ağır cezai müeyyideler uygulanacaktır.
İznim ve rızam olmadan bir kurumun kişisel verilerimi işlemesi yasal olabilir mi? expand_more
Kişisel verilerin izinsiz işlenmesi temel haklar bağlamında yasak olmakla birlikte, kanun koyucu bu kurala bazı yasal istisnalar getirmiştir. Örneğin; bir sözleşmenin kurulması, veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi, fiili imkânsızlık veya kanunlarda açıkça öngörülmesi gibi hukuka uygunluk şartları varsa verileriniz rızanız aranmaksızın da işlenebilir. Kanunda sayılan bu veri işleme şartlarından yalnızca bir tanesinin somut olayda mevcut olması, işlemi yasal bir zemine oturtmak için yeterli görülmektedir. Ancak yasal bir şarta dayanılsa dahi, her halükarda temel haklarınıza zarar verilmemesi ve dürüstlük kuralına uygun hareket edilmesi zorunludur.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir