Makale
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında şirketlerin veri işleme faaliyetlerinde hakim olması gereken temel kavramlar ve hukuka uygun veri işleme şartları büyük önem taşımaktadır. Bu makalede kişisel veri, veri sorumlusu gibi kavramlar ile veri işleme şartları hukuki bir perspektifle incelenmektedir.
Şirketlerde KVKK: Temel Kavramlar ve Veri İşleme Şartları
Günümüzde teknolojik gelişmeler ve dijitalleşmenin ticari hayata entegrasyonu ile birlikte, şirketlerin faaliyetlerini yürütürken kişisel veri işlemesi kaçınılmaz bir hale gelmiştir. Şirketler, müşteri deneyimini iyileştirmek, pazar avantajı sağlamak ve operasyonel süreçlerini yönetmek amacıyla çok sayıda veri işlemektedir. Ancak bu durum, verisi işlenen gerçek kişiler açısından çeşitli gizlilik ve güvenlik endişelerini de beraberinde getirmektedir. Türk hukukunda yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumayı amaçlamaktadır. Bir hukuk bürosu pratiği açısından yaklaştığımızda, şirketlerin hukuki süreçlerini başarıyla yürütebilmeleri için öncelikle kanunda yer alan temel kavramları ve veri işleme şartlarını doğru bir şekilde analiz etmeleri gerekmektedir. İlgili yasal düzenlemeler, kamu veya özel sektör ayrımı yapmaksızın, kişisel verileri tamamen veya kısmen otomatik yollarla ya da bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen tüm gerçek ve tüzel kişilere uygulanmaktadır. Dolayısıyla, şirketlerin hukuki sorumluluk doğuracak süreçleri yönetirken bu kavramsal çerçeveyi rehber edinmeleri şarttır.
KVKK Kapsamında Temel Kavramların Analizi
KVKK uygulamasında şirketlerin karşısına çıkan en önemli kavramların başında kişisel veri gelmektedir. Kanun, kişisel veriyi kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlamaktadır. Tüzel kişilere ait bilgiler bu kapsama girmemekle birlikte, bir şirketin veritabanında yer alan müşterilerin, çalışanların veya tedarikçilerin adı, motorlu taşıt plakası, IP adresleri ve ses kayıtları gibi veriler kişisel veri niteliği taşımaktadır. Bunun yanında, öğrenilmesi halinde kişinin ayrımcılığa maruz kalmasına neden olabilecek ırk, etnik köken, siyasi düşünce, felsefi inanç, dernek veya sendika üyeliği, sağlık, cinsel hayat ve biyometrik veriler gibi bilgiler ise özel nitelikli kişisel veri olarak daha üst düzey bir hukuki korumaya tabi tutulmuştur. Bu kavramların yanı sıra, veri işleme süreçlerinde amaca ve yönteme karar verme yetkisini haiz olan veri sorumlusu ile veri sorumlusunun verdiği yetkiye dayanarak onun adına veri işleyen veri işleyen sıfatlarının tespiti hukuki uyuşmazlıklarda hayati bir öneme sahiptir. Şirketler tüzel kişilik olarak bizzat veri sorumlusu sıfatını taşırken, veri işleme yetkisi devredilen tedarikçiler genellikle veri işleyen konumunda olmaktadır. Verisi işlenen gerçek kişi ise kanunda ilgili kişi olarak tanımlanmaktadır.
Kişisel Verilerin İşlenmesindeki Hukuki Sebepler
Kişisel verilerin işlenmesi, verilerin ilk defa elde edilmesinden başlayarak kaydedilmesi, depolanması, değiştirilmesi, aktarılması veya erişilebilir hale getirilmesi gibi oldukça geniş bir faaliyet alanını kapsamaktadır. Kanun sistematiğinde, kişisel verilerin hukuka uygun olarak işlenebilmesi için kanunda sınırlı sayıda sayılmış olan veri işleme şartlarından en az birinin bulunması kesinlikle zorunludur. Kural olarak kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenemez. Açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan yasal onayı ifade eder. Şirketlerin uygulamada sıkça düştüğü hatalardan biri, açık rızayı genel nitelikte bir torba rıza şeklinde almaları veya bir hizmetin sunulmasını açık rıza şartına bağlamalarıdır. Bu yaklaşım hukuka ve dürüstlük kurallarına açıkça aykırılık teşkil etmektedir. Kanun koyucu, açık rıza dışında da kişisel verilerin işlenebileceği hukuki sebepleri belirlemiştir. Bu hukuki sebeplere dayanıldığı durumlarda ayrıca açık rıza alınması yoluna gidilmemelidir, zira bu durum aldatıcı ve hakkın kötüye kullanımı niteliğinde değerlendirilecektir.
Açık Rıza Dışındaki Veri İşleme Şartları
Şirketler, ticari ve operasyonel iş süreçlerini tasarlarken açık rıza mekanizmasına başvurmadan önce mutlaka alternatif hukuka uygunluk sebeplerinin varlığını değerlendirmelidir. Hukuki uyuşmazlıklarda veri sorumlusu şirketlerin dayanabileceği başlıca açık rıza dışı veri işleme şartları kanunda tahdidi olarak sayılmıştır. Bir hukuk uygulayıcısı olarak şirketlere, veri işleme süreçlerini bu şartlardan birine dayandırmalarını ve bu durumu aydınlatma yükümlülüğü çerçevesinde ilgili kişiye açıkça bildirmelerini önemle tavsiye etmekteyiz. İlgili kişinin açık rızası aranmaksızın kişisel verilerin işlenebileceği hukuki durumlar şunlardır:
- İlgili veri işleme faaliyetinin kanunlarda açıkça öngörülmesi.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan kişinin hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, taraflara ait verilerin işlenmesinin gerekli olması.
- Veri sorumlusu şirketin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, şirketin meşru menfaatleri için veri işlenmesinin zorunlu olması.
Özel Nitelikli Kişisel Verilerin İşlenme Şartları
Daha hassas bir hukuki niteliğe sahip olan özel nitelikli kişisel verilerin işlenmesi, kanun koyucu tarafından daha katı kurallara ve istisnai şartlara bağlanmıştır. Şirketler, çalışanlarının veya müşterilerinin sağlık bilgileri, sendika üyelikleri veya ceza mahkumiyeti gibi verilerini işlerken kanunda yer alan özel düzenlemelere titizlikle uymak zorundadır. Kural olarak bu veriler de ancak ilgilinin açık rızası ile işlenebilir. Ancak sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde açık rıza aranmaksızın işlenebilmektedir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetleri finansmanının planlanması amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza olmaksızın işlenebilir. Örneğin, şirket bünyesinde insan kaynakları departmanlarının sağlık verilerini işlemesi hukuka aykırı olup, bu sürecin sır saklama yükümlülüğü bulunan işyeri hekimleri vasıtasıyla yürütülmesi yasal bir zorunluluktur. Ayrıca, bu verilerin işlenmesinde yeterli güvenlik önlemlerinin alınması da kati bir şarttır.