Anasayfa/ Makale/ Şirketlerde KVKK: Temel Kavramlar ve Veri İşleme Şartları

Şirketlerde KVKK: Temel Kavramlar ve Veri İşleme Şartları

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında şirketlerin veri işleme faaliyetlerinde hakim olması gereken temel kavramlar ve hukuka uygun veri işleme şartları büyük önem taşımaktadır. Bu makalede kişisel veri, veri sorumlusu gibi kavramlar ile veri işleme şartları hukuki bir perspektifle incelenmektedir.
search
7 dk okuma Yayınlanma: Güncelleme:
HASTA HAKLARI AYDINLATMA YÜKÜMLÜLÜĞÜ AÇIK RIZA ÖZEL NİTELİKLİ KİŞİSEL VERİ ÖZEL HAYATIN GİZLİLİĞİ KVKK

Günümüzde teknolojik gelişmeler ve dijitalleşmenin ticari hayata entegrasyonu ile birlikte, şirketlerin faaliyetlerini yürütürken kişisel veri işlemesi kaçınılmaz bir hale gelmiştir. Şirketler, müşteri deneyimini iyileştirmek, pazar avantajı sağlamak ve operasyonel süreçlerini yönetmek amacıyla çok sayıda veri işlemektedir. Ancak bu durum, verisi işlenen gerçek kişiler açısından çeşitli gizlilik ve güvenlik endişelerini de beraberinde getirmektedir. Türk hukukunda yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumayı amaçlamaktadır. Bir hukuk bürosu pratiği açısından yaklaştığımızda, şirketlerin hukuki süreçlerini başarıyla yürütebilmeleri için öncelikle kanunda yer alan temel kavramları ve veri işleme şartlarını doğru bir şekilde analiz etmeleri gerekmektedir. İlgili yasal düzenlemeler, kamu veya özel sektör ayrımı yapmaksızın, kişisel verileri tamamen veya kısmen otomatik yollarla ya da bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen tüm gerçek ve tüzel kişilere uygulanmaktadır. Dolayısıyla, şirketlerin hukuki sorumluluk doğuracak süreçleri yönetirken bu kavramsal çerçeveyi rehber edinmeleri şarttır.

KVKK Kapsamında Temel Kavramların Analizi

KVKK uygulamasında şirketlerin karşısına çıkan en önemli kavramların başında kişisel veri gelmektedir. Kanun, kişisel veriyi kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlamaktadır. Tüzel kişilere ait bilgiler bu kapsama girmemekle birlikte, bir şirketin veritabanında yer alan müşterilerin, çalışanların veya tedarikçilerin adı, motorlu taşıt plakası, IP adresleri ve ses kayıtları gibi veriler kişisel veri niteliği taşımaktadır. Bunun yanında, öğrenilmesi halinde kişinin ayrımcılığa maruz kalmasına neden olabilecek ırk, etnik köken, siyasi düşünce, felsefi inanç, dernek veya sendika üyeliği, sağlık, cinsel hayat ve biyometrik veriler gibi bilgiler ise özel nitelikli kişisel veri olarak daha üst düzey bir hukuki korumaya tabi tutulmuştur. Bu kavramların yanı sıra, veri işleme süreçlerinde amaca ve yönteme karar verme yetkisini haiz olan veri sorumlusu ile veri sorumlusunun verdiği yetkiye dayanarak onun adına veri işleyen veri işleyen sıfatlarının tespiti hukuki uyuşmazlıklarda hayati bir öneme sahiptir. Şirketler tüzel kişilik olarak bizzat veri sorumlusu sıfatını taşırken, veri işleme yetkisi devredilen tedarikçiler genellikle veri işleyen konumunda olmaktadır. Verisi işlenen gerçek kişi ise kanunda ilgili kişi olarak tanımlanmaktadır.

Kişisel Verilerin İşlenmesindeki Hukuki Sebepler

Kişisel verilerin işlenmesi, verilerin ilk defa elde edilmesinden başlayarak kaydedilmesi, depolanması, değiştirilmesi, aktarılması veya erişilebilir hale getirilmesi gibi oldukça geniş bir faaliyet alanını kapsamaktadır. Kanun sistematiğinde, kişisel verilerin hukuka uygun olarak işlenebilmesi için kanunda sınırlı sayıda sayılmış olan veri işleme şartlarından en az birinin bulunması kesinlikle zorunludur. Kural olarak kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenemez. Açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan yasal onayı ifade eder. Şirketlerin uygulamada sıkça düştüğü hatalardan biri, açık rızayı genel nitelikte bir torba rıza şeklinde almaları veya bir hizmetin sunulmasını açık rıza şartına bağlamalarıdır. Bu yaklaşım hukuka ve dürüstlük kurallarına açıkça aykırılık teşkil etmektedir. Kanun koyucu, açık rıza dışında da kişisel verilerin işlenebileceği hukuki sebepleri belirlemiştir. Bu hukuki sebeplere dayanıldığı durumlarda ayrıca açık rıza alınması yoluna gidilmemelidir, zira bu durum aldatıcı ve hakkın kötüye kullanımı niteliğinde değerlendirilecektir.

Açık Rıza Dışındaki Veri İşleme Şartları

Şirketler, ticari ve operasyonel iş süreçlerini tasarlarken açık rıza mekanizmasına başvurmadan önce mutlaka alternatif hukuka uygunluk sebeplerinin varlığını değerlendirmelidir. Hukuki uyuşmazlıklarda veri sorumlusu şirketlerin dayanabileceği başlıca açık rıza dışı veri işleme şartları kanunda tahdidi olarak sayılmıştır. Bir hukuk uygulayıcısı olarak şirketlere, veri işleme süreçlerini bu şartlardan birine dayandırmalarını ve bu durumu aydınlatma yükümlülüğü çerçevesinde ilgili kişiye açıkça bildirmelerini önemle tavsiye etmekteyiz. İlgili kişinin açık rızası aranmaksızın kişisel verilerin işlenebileceği hukuki durumlar şunlardır:

  • İlgili veri işleme faaliyetinin kanunlarda açıkça öngörülmesi.
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan kişinin hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, taraflara ait verilerin işlenmesinin gerekli olması.
  • Veri sorumlusu şirketin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, şirketin meşru menfaatleri için veri işlenmesinin zorunlu olması.

Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Daha hassas bir hukuki niteliğe sahip olan özel nitelikli kişisel verilerin işlenmesi, kanun koyucu tarafından daha katı kurallara ve istisnai şartlara bağlanmıştır. Şirketler, çalışanlarının veya müşterilerinin sağlık bilgileri, sendika üyelikleri veya ceza mahkumiyeti gibi verilerini işlerken kanunda yer alan özel düzenlemelere titizlikle uymak zorundadır. Kural olarak bu veriler de ancak ilgilinin açık rızası ile işlenebilir. Ancak sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde açık rıza aranmaksızın işlenebilmektedir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetleri finansmanının planlanması amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza olmaksızın işlenebilir. Örneğin, şirket bünyesinde insan kaynakları departmanlarının sağlık verilerini işlemesi hukuka aykırı olup, bu sürecin sır saklama yükümlülüğü bulunan işyeri hekimleri vasıtasıyla yürütülmesi yasal bir zorunluluktur. Ayrıca, bu verilerin işlenmesinde yeterli güvenlik önlemlerinin alınması da kati bir şarttır.

Şirketler bana sormadan veya onayımı almadan kişisel bilgilerimi kafasına göre kullanabilir mi? expand_more
Kural olarak kişisel verileriniz, belirli bir konuya ilişkin bilgilendirmeye dayanan açık rızanız olmaksızın işlenemez. Ancak kanun, ilgili kişinin açık rızası aranmaksızın verilerin işlenebileceği istisnai hukuki şartlar da öngörmüştür. Örneğin bir hukuki yükümlülüğün yerine getirilmesi, kanunlarda açıkça öngörülmesi veya şirketin meşru menfaati gibi durumlarda sizden ayrıca onay alınmasına gerek yoktur. Şirketlerin bu alternatif hukuka uygunluk sebeplerinden birine dayanması ve yalnızca aydınlatma yükümlülüğü çerçevesinde sizi bilgilendirmesi yeterli kabul edilmektedir.
Bir hizmeti almak istediğimde şirket şart olarak kişisel verilerime onay vermemi isteyebilir mi? expand_more
Şirketlerin bir hizmetin sunulmasını sizin kişisel veri işleme onayınıza bağlamaları hukuka ve dürüstlük kurallarına açıkça aykırıdır. Açık rızanızın geçerli olabilmesi için mutlaka özgür iradeyle açıklanması ve belirli bir konuya ilişkin olması gerekmektedir. Uygulamada sıkça karşılaştığımız genel nitelikteki "torba rıza" şeklindeki onay metinleri yasal olarak geçersizdir. Hizmet şartı olarak önünüze sunulan bu tür dayatmalar, doğrudan hakkın kötüye kullanımı niteliğinde değerlendirilir.
Şirketimin insan kaynakları hastalık geçmişimi ve sağlık raporlarımı doğrudan saklayabilir mi? expand_more
Sağlık verileriniz KVKK kapsamında daha hassas bir korumaya tabi olan "özel nitelikli kişisel veri" statüsündedir. Şirket bünyesindeki insan kaynakları departmanlarının sağlık verilerinizi doğrudan işlemesi ve saklaması hukuka aykırıdır. Bu bilgilerin ancak koruyucu hekimlik veya kamu sağlığının korunması amacıyla, sır saklama yükümlülüğü altında bulunan işyeri hekimleri vasıtasıyla yürütülmesi yasal bir zorunluluktur. Ayrıca bu veriler işlenirken şirket tarafından yeterli güvenlik önlemlerinin alınması da kati bir şarttır.
Şirketle bir sözleşme imzalarken kişisel verilerim için ayrıca onay belgesi de imzalamalı mıyım? expand_more
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla taraflara ait verilerin işlenmesi, kanunda açıkça bir hukuka uygunluk sebebi olarak düzenlenmiştir. Şirket zaten yasal olarak bu hukuki şarta dayanarak işlem yaptığı için sizden ayrıca bir açık rıza almamalıdır. Veri işlemek için kanuni bir sebep bulunduğu halde şirketlerin sanki zorunluymuş gibi tekrar açık rıza alma yoluna gitmesi, aldatıcı ve hakkın kötüye kullanımı niteliğindedir. Bu gibi durumlarda veri sorumlusu şirketin, sizden imza almak yerine yalnızca veri işleme süreçleri hakkında sizi açıkça aydınlatması gerekmektedir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir