Makale
7499 sayılı Kanun ile yürürlüğe giren KVKK madde 6 değişiklikleri, özel nitelikli kişisel verilerin işlenme şartlarını Avrupa Birliği Genel Veri Koruma Tüzüğü (GVKT) ile uyumlu hale getirmiştir. Bu makale, açık rıza istisnası olarak maddeye eklenen yeni hukuka uygunluk sebeplerini hukuki bir perspektifle detaylı biçimde incelemektedir.
KVKK Madde 6 Değişiklikleri ve Hukuka Uygunluk Sebepleri
Kişisel Verilerin Korunması Kanunu kapsamında özel nitelikli kişisel verilerin işlenme şartlarını düzenleyen altıncı madde, 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile köklü bir değişikliğe uğramıştır. Bu yasal reform, Avrupa Birliği Genel Veri Koruma Tüzüğü ile uyum sağlama hedefleri doğrultusunda hayata geçirilmiştir. Değişiklik öncesinde özel nitelikli kişisel verilerin işlenmesi, uygulamada genellikle yalnızca açık rıza şartına dayandırılmak zorunda kalınan, eksik ve belirsizlikler barındıran bir yapıya sahipti. Yeni düzenleme ile birlikte, açık rızanın yanı sıra Avrupa Birliği standartlarına uygun yeni hukuka uygunluk sebepleri kanun metnine dâhil edilmiştir. Böylelikle, özel nitelikli kişisel verilerin korunması rejiminde hukuki belirlilik artırılmış ve hukuka aykırı veri işleme risklerini en aza indirecek çağdaş bir yasal çerçeve oluşturulmuştur.
Özel Nitelikli Kişisel Verilerin İşlenmesinde Yeni Dönem
Kanun değişikliği öncesinde, sağlık ve cinsel hayata ilişkin kişisel veriler ile diğer özel nitelikli kişisel veriler arasında katı bir ayrıma gidilmekteydi. Bu ikili yapı, özellikle sağlık verilerinin işlenmesinde büyük ölçüde sır saklama yükümlülüğü altındaki kişiler sınırlaması getirdiğinden uygulamada tıkanıklıklara yol açmaktaydı. Yeni düzenleme, madde metnindeki bu ayrımları tamamen ortadan kaldırarak tüm özel nitelikli kişisel verileri aynı veri işleme şartlarına tabi tutmuştur. Ayrıca, açık rızanın diğer hukuka uygunluk sebeplerinden ayrı bir fıkrada düzenlenmesinin yarattığı hiyerarşi yanılgısı giderilmiştir. Artık açık rıza, kanunda sayılan diğer işleme şartları ile aynı hukuki düzlemde yer alan, eşit değerde bir hukuka uygunluk sebebi olarak konumlandırılmıştır. Tabi ki, işleme şartlarından en az biri karşılansa dahi, veri sorumlusunun Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemleri alma zorunluluğu geçerliliğini korumaktadır.
KVKK Madde 6 Kapsamında Yeni Hukuka Uygunluk Sebepleri
Yenilenen madde lafzı ile özel nitelikli kişisel verilerin işlenmesinin kural olarak yasak olduğu açıkça ifade edilmiş, bu yasağın istisnaları uluslararası metinlere benzer şekilde, ayrıntılı olarak sıralanmıştır. Yeni kanuni düzenleme, veri sorumlularına geniş ve sistematik bir istisnalar listesi sunmaktadır. Bu yenilikler, veri koruma hukuku ile diğer hukuki yükümlülükler arasında denge kurmayı başarmıştır. Söz konusu hukuka uygunluk sebepleri, veri işleme faaliyetlerinin meşru bir temele oturtulmasını sağlamaktadır. Aşağıdaki tabloda, kanun değişikliği ile benimsenen yeni hukuka uygunluk sebepleri ve bu sebeplerin temel kapsamları özetlenmektedir.
| Hukuka Uygunluk Sebebi | Kapsam ve Açıklama |
|---|---|
| Açık Rıza | İlgili kişinin belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle verdiği onaydır. |
| Kanunlarda Açıkça Öngörülme | Veri işleme faaliyetinin doğrudan yasal bir hükümle veya ikincil mevzuata yasal atıfla zorunlu kılınmasıdır. |
| Fiili İmkânsızlık | Rıza açıklanamayan hallerde ilgili kişinin veya bir başkasının hayatı ya da beden bütünlüğünün korunması zorunluluğudur. |
| Alenileştirme İradesine Uygunluk | Verinin bizzat ilgili kişi tarafından kamuoyuna açıklanmış olması ve bu alenileştirme amacına uygun olarak işlenmesidir. |
| Hakkın Tesisi, Kullanılması, Korunması | Dava, savunma ve benzeri resmi hukuki süreçlerde yasal hakların ileri sürülmesi için veri işlemenin zorunlu olmasıdır. |
| Sır Saklama Yükümlülüğü Altındaki Kişilerce İşleme | Kamu sağlığı, koruyucu hekimlik ve tıbbi teşhis amaçlarıyla yetkili kişi veya kurumlarca verilerin işlenmesidir. |
Kanunlarda Açıkça Öngörülme ve Fiili İmkânsızlık Şartları
Yeni düzenleme kapsamında tüm özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi şartıyla işlenebilecektir. Bu düzenleme ile herhangi bir kanunda bulunan açık bir hüküm ya da yasal bir atıfla yönlendirilen ikincil mevzuat dayanakları, hukuka uygunluk sebebi olarak kabul edilmektedir. Ancak, kanunlarda yer alan ifadenin veri işleme faaliyetine açık ve tereddütsüz bir yetki tanıması gerekmektedir. Bir diğer önemli yenilik ise genel kişisel veriler için var olan fiili imkânsızlık halinin özel nitelikli kişisel veriler için de getirilmesidir. Acil tıbbi müdahaleler, kaza veya şuur kaybı gibi ilgili kişinin rızasını açıklayamayacağı veya rızasına hukuki geçerlilik tanınmayan durumlarda, kişinin ya da başkasının hayatını ve beden bütünlüğünü korumak adına özel nitelikli kişisel veriler işlenebilecektir. Bu yenilik, uygulamadaki en ciddi boşluklardan birini doldurmuştur.
Sır Saklama Yükümlülüğü ve Bir Hakkın Tesisi
Önceki kanun metninde de yer alan kamu sağlığının korunması, tıbbi teşhis, koruyucu hekimlik ve sağlık hizmetlerinin finansmanı gibi amaçlarla kişisel verilerin işlenmesi istisnası, sır saklama yükümlülüğü altındaki kişiler veya yetkili kamu kurumları ile sınırlandırılmıştır. Bu şart, yalnızca mesleki bir sır saklama yükümlülüğüne tabi olan profesyonelleri kapsamaktadır. Diğer taraftan kanuna yeni eklenen bir hakkın tesisi, kullanılması veya korunması için zorunlu olma şartı, veri sorumlusunun olası bir dava veya yasal savunma gibi resmi hukuki süreçlerdeki haklarını kullanmasını güvence altına almaktadır. İlgili düzenleme uyarınca, veri sorumluları hukuki uyuşmazlıklarda kendi haklarını koruyabilmek amacıyla, işleme amacını aşmayacak ve ölçülülük ilkesine riayet edecek şekilde özel nitelikli kişisel verileri yasal zemin çerçevesinde kullanabilecektir.
İlgili Kişi Tarafından Alenileştirme ve Diğer İstisnai Şartlar
Kanun koyucu, alenileştirme kavramına özel nitelikli kişisel veriler bağlamında farklı bir koruma kalkanı getirmiştir. Genel kişisel verilerden farklı olarak, alenileştirilen özel nitelikli verilerin işlenebilmesi için yalnızca kamuoyuna açıklanmış olması yeterli görülmemekte, işleme faaliyetinin ilgili kişinin alenileştirme iradesine uygun olması zorunluluğu aranmaktadır. Bir kişinin acil durumlar için paylaştığı tıbbi bir bilginin, ticari bir pazarlama amacıyla kullanılması bu iradeye açıkça aykırılık teşkil edecektir. Ayrıca, kanuna eklenen bir diğer istisnai şart ile vakıf, dernek ve kâr amacı gütmeyen kuruluşların kendi faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklamamak kaydıyla kendi üyelerine ait özel nitelikli verileri işlemelerine de olanak tanınmıştır. Tüm bu yasal istisnaların varlığı durumunda dahi, veri minimizasyonu ve amaca bağlılık gibi genel hukuk ilkelerinin mutlaka gözetilmesi gerekmektedir.