Anasayfa Makale KVKK ve GDPR Işığında Veri İşleme Şartları

Makale

Kişisel verilerin işlenmesi, hem 6698 sayılı KVKK hem de Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında sıkı hukuki şartlara bağlanmıştır. Bu makalede, veri sorumlularının hukuka uygun faaliyet yürütebilmeleri için esas alacakları temel kurallar, açık rıza unsurları ve diğer hukuka uygunluk nedenleri uzman bir bakışla incelenmektedir.

KVKK ve GDPR Işığında Veri İşleme Şartları

KVKK GDPR (GENEL VERİ KORUMA TÜZÜĞÜ) AYDINLATMA YÜKÜMLÜLÜĞÜ AÇIK RIZA ÖZEL NİTELİKLİ KİŞİSEL VERİ

Günümüzde dijitalleşmenin hız kazanmasıyla birlikte işletmelerin ve kurumların temel varlıklarından biri hâline gelen kişisel veriler, temel insan hakları ekseninde üst düzey bir korumayı zorunlu kılmaktadır. 6698 sayılı Kişisel Verilerin Korunması Kanunu ve küresel bir standart hâline gelen Avrupa Birliği Genel Veri Koruma Tüzüğü, veri sorumlularına söz konusu verileri işlerken sıkı hukuki yükümlülükler yüklemektedir. Bu bağlamda, her türlü kişisel veri işleme sürecinin mutlaka kanunda öngörülen hukuka uygunluk nedenlerinden birine dayandırılması yasal bir zorunluluktur. İşletmelerin kişisel veri işleme amaçları ve araçlarını belirleyen veri sorumlusu sıfatıyla faaliyet gösterirken, işledikleri verilerin niteliğine uygun bir hukuki dayanak bulmaları ve temel ilkelere riayet etmeleri elzemdir. Zira kişisel verilerin korunması hukukunda genel kural, veri işlemenin yasak olması, kanunda belirtilen meşru şartların varlığı hâlinde ise bu işlemenin hukuka uygun hâle gelmesidir.

Genel Nitelikli Kişisel Verilerin İşlenmesinde Açık Rıza ve Özellikleri

Kişisel verilerin işlenmesinde en çok başvurulan ve en temel hukuka uygunluk nedeni olan açık rıza, kişinin kendi verileri üzerindeki geleceğini belirleme hakkının en net yansımasıdır. Kanun kapsamında açık rıza; belirli bir konuya ilişkin olma, bilgilendirmeye dayanma ve özgür iradeyle açıklanma unsurlarını barındırmalıdır. İlgili kişinin, verilerinin hangi amaçlarla, ne kadar süreyle ve kimlere aktarılarak işleneceğini tam olarak bilmesi ve buna tereddüde yer bırakmayacak şekilde onay vermesi gerekmektedir. Yabancı mevzuat yaklaşımında da benzer şekilde rızanın geçerli olabilmesi için ilgili kişinin özgür iradesi ile spesifik ve aydınlatılmış bir onayı aranmakta, rızanın açık bir eylemle verilmesi zorunlu tutulmaktadır. Dolayısıyla, önceden işaretlenmiş kutucuklar veya susma, geçerli bir rıza olarak kabul edilmez.

Açık rızanın alınması sürecinde uygulamada en çok karşılaşılan sorunlardan biri, aydınlatma yükümlülüğü ile açık rıza onayının birbirine karıştırılması veya aynı metin içinde genel geçer ifadelerle sunulmasıdır. Oysa açık rızanın belirli ve açık olması prensibi gereğince, veri sorumluları tarafından aydınlatma metninde yer almayan muğlak amaçlar veya belirsiz alıcı grupları için rıza istenemez. Rızanın bir ürün veya hizmetin sunulması için ön şart hâline getirilmesi ise kişinin karar verme özgürlüğünü kısıtladığı için rızayı sakatlar. Mevzuatlarımız uyarınca, açık rıza her zaman tek taraflı olarak geri alınabilir bir irade beyanıdır ve rıza geri alındığında veri işleme faaliyetinin derhal durdurulması yasal bir gerekliliktir.

Açık Rıza Dışındaki Diğer Hukuka Uygunluk Nedenleri

Kişisel verilerin işlenmesi için her durumda açık rıza alınması zorunlu değildir. Hem iç hukukumuz hem de uluslararası metinler, veri sorumlularının faaliyetlerini yürütebilmeleri için alternatif hukuka uygunluk şartları öngörmüştür. Veri sorumlularının her veri işleme faaliyeti için açık rızaya başvurmak yerine, faaliyetin niteliğine uyan doğru hukuki sebebi tespit etmeleri hukuka ve dürüstlük kurallarına uygun veri işleme ilkesinin bir gereğidir. Özellikle veri sorumlularının meşru menfaatine dayanılan durumlarda, veri işlemenin ilgili kişinin temel hak ve özgürlüklerine zarar verip vermediğinin tespiti için özenli bir denge testi yapılması zorunludur. İlgili mevzuatlarda yer alan ve açık rıza aranmayan temel veri işleme şartları şunlardır:

  • Kanunlarda açıkça öngörülme: Veri sorumlusunun kanunlardan doğan görevlerini yerine getirmesi için yapılan veri işleme faaliyetleridir.
  • Sözleşmenin kurulması veya ifasıyla doğrudan ilgili olma: Taraflar arasındaki sözleşmesel edimlerin yerine getirilmesi için kişisel verilerin işlenmesinin zorunlu olduğu hâllerdir.
  • Hukuki yükümlülüğün yerine getirilmesi: Veri sorumlusunun mevzuattan kaynaklanan yasal zorunlulukları bağlamındaki işlemedir.
  • Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması: Dava açılması veya savunma hakkının kullanılması gibi durumlarda verilerin işlenmesidir.
  • Veri sorumlusunun meşru menfaati: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun haklı menfaati için zorunlu olan veri işleme süreçleridir.
  • Fiili imkânsızlık durumu: Hayati tehlike gibi acil durumlarda rıza alınamayan kişinin kendisinin veya başkasının hayatını korumak için verilerinin işlenmesidir.
  • İlgili kişi tarafından alenileştirilmiş olma: Kişinin verisini kendi hür iradesiyle ve alenileştirme amacıyla kamuya sunmasıdır.

Özel Nitelikli Kişisel Verilerin İşlenmesine Dair Rejim

Öğrenilmesi hâlinde ilgili kişinin ayrımcılığa uğramasına veya ciddi mağduriyetler yaşamasına neden olabilecek nitelikteki bilgiler, kanun koyucu tarafından özel nitelikli kişisel veri olarak ayrı bir koruma rejimine tâbi tutulmuştur. Irk, etnik köken, siyasi düşünce, dini inanç, dernek veya sendika üyeliği, sağlık, cinsel hayat, biyometrik ve genetik veriler bu kategoride yer alır. Yabancı mevzuat metinleri de genetik ve biyometrik verileri kişiyi benzersiz şekilde tanımlamak amacıyla işlendikleri takdirde hassas veri kabul ederek yüksek güvenlik düzeyi sağlama yükümlülüğü getirmiştir. Bu verilerin işlenmesi kural olarak yasak olup, yalnızca kanunlarda öngörülen çok sıkı istisnai şartların varlığı veya ilgili kişinin açık rızası ile işlenebilmesi mümkündür.

İç hukuk uygulamasında, özel nitelikli verilerin işlenme rejiminde yakın zamanda önemli yasal değişiklikler yapılarak uluslararası standartlara uyum yönünde adımlar atılmıştır. Geleneksel düzenlemede sağlık ve cinsel hayata ilişkin veriler yalnızca sır saklama yükümlülüğü altındaki kişiler tarafından çok kısıtlı amaçlarla işlenebilirken; sekizinci yargı paketi ile getirilen ve Haziran ayında yürürlüğe girecek olan yeni düzenleme uyarınca işleme şartları genişletilmiştir. Bu kapsamda sağlık ve cinsel hayata yönelik veri işlemesindeki katı ayrım kaldırılarak, istihdam, iş sağlığı ve güvenliği, sosyal güvenlik ile kamu sağlığının korunması gibi belirli durumlarda özel nitelikli verilerin işlenebilmesine imkân tanıyan yeni hukuka uygunluk nedenleri sisteme dâhil edilmiştir. Bu değişim, veri sorumlularının operasyonel ihtiyaçları ile mahremiyetin korunması arasında daha fonksiyonel bir denge kurmayı hedeflemektedir.

5 dk okuma Yayınlanma: Güncelleme: