Anasayfa Makale KVKK ve GDPR Işığında İstisnai Veri İşleme

Makale

Kişisel verilerin işlenmesinde temel kural açık rıza olsa da KVKK ve GDPR, veri sorumlularına bazı hallerde rızasız işlem yapma imkanı tanır. Makalemizde kanunlarda öngörülme, sözleşme ifası, hukuki yükümlülük ve meşru menfaat gibi istisnai veri işleme şartları hukuki bir perspektifle incelenmektedir.

KVKK ve GDPR Işığında İstisnai Veri İşleme

GDPR (GENEL VERİ KORUMA TÜZÜĞÜ) AÇIK RIZA KVKK

Dijitalleşen dünyada kişisel verilerin işlenmesi süreçleri, bireylerin temel hak ve özgürlükleri ile veri sorumlularının ticari veya idari faaliyetleri arasında hassas bir denge gerektirmektedir. Kural olarak veri işleme faaliyetleri veri sahibinin iradesine dayansa da, yasa koyucu tarafından hem 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) hem de Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında belirli istisnai durumlar öngörülmüştür. Bu istisnalar, veri sorumlularına hukuka uygun bir zemin sunarak, kamu düzeni, ticari gereklilikler ve hayati durumlar gibi senaryolarda rıza aranmaksızın veri işleme imkânı tanımaktadır. Sadece tek bir hukuki sebebe dayanılması, uygulamada rıza yorgunluğu gibi problemlere yol açabileceği gibi veri sorumlusunu orantısız kısıtlamalara maruz bırakabilir. Bu nedenle, kanunlarda sınırlı sayıda sayılan istisnai veri işleme şartları, eşdeğer bir hukuka uygunluk sebebi olarak değerlendirilmelidir. Bu kapsamda, istisnai hallerin hukuki niteliği ve sınırlarının doğru tayin edilmesi, olası hukuki uyuşmazlıkların ve idari yaptırımların önüne geçilmesi adına kritik bir öneme sahiptir.

Kanunlarda Açıkça Öngörülme ve Hukuki Yükümlülük

Veri işleme faaliyetinin kanunlarda açıkça öngörülmesi durumu, KVKK'nın ilgili hükümleri uyarınca rıza aranmaksızın veri işlenmesine olanak tanıyan temel bir istisnadır. Bu hükmün uygulanabilmesi için, veri işleme yetkisinin alt düzenleyici işlemlerle değil, doğrudan bir kanun hükmü ile tereddüde yer bırakmayacak şekilde verilmiş olması şarttır. Örneğin, Bankacılık Kanunu veya Polis Vazife ve Salahiyet Kanunu kapsamındaki faaliyetler bu meşruiyete dayanmaktadır. Benzer şekilde, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması da KVKK ve GDPR çerçevesinde hukuka uygunluk sebebidir. İşverenin, çalışanlarının maaşlarını ödemek veya ilgili resmi kurumlara gerekli bildirimleri yapmak amacıyla sosyal sigorta numarası gibi verileri işlemesi, bu yasal zorunluluğun en somut yansımalarından biridir. Avrupa Adalet Divanı içtihatlarında da hukuki yükümlülüklere dayalı işlemlerin, bireylerin temel haklarını zedelemeyecek ölçüde, amaca hizmet edecek mahiyette ve orantılı olması gerektiği özellikle vurgulanmaktadır.

Sözleşmenin İfası ve Hayati Çıkarların Korunması

Taraflar arasında kurulan bir sözleşmenin ifası veya kurulmasıyla doğrudan doğruya ilgili olması kaydıyla kişisel verilerin işlenmesi, KVKK ve GDPR uyarınca özel onay gerektirmeyen önemli bir diğer istisnadır. Bu kapsamda, bir e-ticaret platformunun siparişi teslim etmek için müşterinin adres bilgisini kullanması veya bir kredi sözleşmesi bağlamında bankanın maaş bordrosu talep etmesi hukuka uygun kabul edilir. Ancak burada dikkat edilmesi gereken asıl husus, toplanan verilerin sözleşme amacıyla orantılı olmasıdır; örneğin, ifa için alınan iletişim bilgilerinin pazarlama faaliyetlerinde kullanılması açık bir hukuka aykırılık teşkil eder. Öte yandan, ilgili kişinin fiili imkânsızlık nedeniyle iradesini açıklayamayacak durumda olması halinde, hayat veya beden bütünlüğünün korunması istisnası devreye girer. Bilinci kapalı bir hastaya acil tıbbi müdahale yapılması veya can güvenliğinden endişe edilen bir kişinin konumunun tespit edilmesi, bireyin veya üçüncü kişilerin hayati menfaatlerini koruma gayesiyle yetki tanınan son derece kritik hukuki senaryolardır.

Meşru Menfaat ve Hakkın Tesisi Bağlamında Veri İşleme

KVKK ve GDPR ile düzenlenen meşru menfaat kavramı, veri sorumlusunun ticari ve idari faaliyetlerini sürdürebilmesi için kişisel haklar ile dengeli bir biçimde veri işlemesine imkân verir. Bir hakkın tesisi, kullanılması veya korunması amacıyla veri işlenmesinin zorunlu olduğu durumlar da, örneğin işverenin kendisine açılan bir davada özlük dosyasını delil olarak sunması, bu istisnalar kapsamında yasal bir haktır. Hukuk uygulamaları bağlamında, veri sorumlusunun meşru menfaat şartına dayanabilmesi için aşağıdaki temel unsurların varlığı aranmaktadır:

  • İlgili kişinin temel hak ve özgürlüklerine kesinlikle zarar verilmemesi,
  • Elde edilecek menfaatin mevcut, belirli, açık ve öngörülebilir nitelik taşıması,
  • Söz konusu menfaatin salt ekonomik fayda elde etme amacı gütmemesi,
  • Veri işlemenin, arzulanan menfaate ulaşmak için kaçınılmaz ve ölçülü bir zorunluluk olması.

Bu katı şartlar ışığında, bir şirketin bilgi güvenliğini sağlamak için ağ trafiğini izlemesi hukuka uygun kabul edilebilirken, orantısız personel takibi ağır bir ihlal sayılacaktır. Avrupa Adalet Divanı kararlarında da vurgulandığı üzere, meşru menfaat istisnası idareye sınırsız bir yetki vermez; katı şeffaflık ve denge testinin her somut olayda dikkatle yapılması yasal bir şarttır.

4 dk okuma Yayınlanma: Güncelleme: