Makale
Ticari işletmelerin kişisel veri işleme süreçleri, KVKK kapsamında sıkı şartlara tabi tutulmuştur. İşletmeler, veri işleme faaliyetlerini hukuka uygun hale getirmek için açık rıza veya kanunda sınırlı sayılan diğer hukuka uygunluk sebeplerinden birine dayanmak zorundadır. Bu makale, işletmelerin veri işleme şartlarını detaylandırmaktadır.
Ticari İşletmelerde Kişisel Veri İşleme Şartları ve Hukuki Kriterler
Günümüzde dijitalleşen ve veri odaklı hale gelen modern dünyada, ticari işletmelerin faaliyetleri sırasında elde ettikleri kişisel verilerin hukuka uygun işlenmesi büyük önem taşımaktadır. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesi sürecinde uyulması gereken kuralları ve hukuka uygunluk sebeplerini tanımlayarak işletmelere net sınırlar çizmiştir. Kural olarak, kişisel verilerin açık rızayla işlenmesi esastır; ancak kanun, ticari hayatın olağan akışını sekteye uğratmamak adına çeşitli istisnai haller öngörmüştür. Bir e-ticaret şirketinin veya herhangi bir ticari işletmenin müşteri, çalışan veya iş ortaklarına ait verileri işlerken, mutlaka KVKK'nın 5. maddesinde belirtilen hukuka uygunluk hallerinden en az birine dayanması zorunludur. İşleme faaliyeti, açık rıza dışındaki kanuni koşullardan birini karşılamıyorsa, veri işlemenin sürdürülebilmesi için mutlaka ilgili kişinin açık rızasının alınması gerekmektedir. Ticari işletmelerin bu şartları doğru analiz etmesi ve veri işleme süreçlerini kanuni temellere oturtması, hukuki uyumluluk açısından kritik bir adımdır.
Kişisel Verilerin İşlenmesinde Açık Rıza Kavramı
Kişisel verilerin işlenmesinde temel kural, ilgili kişinin açık rızasının alınmasıdır. KVKK uyarınca açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmaktadır. Ticari işletmelerin veri işleme faaliyetleri, kanunda belirtilen diğer hukuka uygunluk sebeplerinden hiçbirine dayanmıyorsa, mutlaka açık rızaya başvurulmalıdır. İşletmelerin aldığı rıza, genel geçer bir "torba rıza" niteliğinde olmamalı, her bir işleme amacı için ayrı ayrı ve şeffaf bir şekilde alınmalıdır. Örneğin, bir ticari işletmenin kredi kartı bilgilerini bir alışverişte kullandıktan sonra, sonraki alışverişler için bu bilgileri saklamak istemesi durumunda, bu saklama işlemi için müşteriden yeni ve ayrıca bir açık rıza alınması zorunludur. Bu durum, veri sorumlusu olan ticari işletmelerin işleme amaçlarının sınırlarını kesin ve net olarak belirlemesini gerektirir.
Açık Rıza Aranmaksızın Kişisel Verilerin İşlenebileceği Haller
Anayasa ve KVKK uyarınca, kişisel veriler kural olarak rıza ile işlense de, kanunda açıkça öngörülen istisnai hallerde rıza aranmaksızın veri işlenmesi mümkündür. KVKK'nın 5. maddesinin 2. fıkrasında yer alan bu haller sınırlı sayıda olup, genişletilmeleri mümkün değildir. Bu istisnalardan birinin varlığı halinde, ilgili kişiden ayrıca açık rıza alınmasına gerek bulunmamaktadır. Hatta, açık rıza gerektirmeyen bir hukuki sebebe dayalı olarak veri işlenirken, kişiden ayrıca açık rıza talep edilmesi, hukuka ve dürüstlük kurallarına aykırı ve yanıltıcı bir işlem olarak değerlendirilir.
- Kanunlarda açıkça öngörülmesi: İş Kanunu veya Vergi Usul Kanunu gibi kanunların getirdiği zorunluluklar kapsamında veri işlenmesi.
- Sözleşmenin kurulması veya ifası: Sözleşme taraflarına ait verilerin, sözleşme yükümlülüklerinin yerine getirilmesi amacıyla doğrudan işlenmesi.
- Hukuki yükümlülüğün yerine getirilmesi: Veri sorumlusunun, kanun veya ikincil mevzuattan doğan yasal yükümlülüklerini yerine getirmek için veri işlemesi.
- Fiili imkânsızlık hali: Rızasını açıklayamayacak durumda olan kişinin hayatını veya beden bütünlüğünü korumak için veri işlemenin zorunlu olması.
- İlgili kişinin veriyi alenileştirmesi: Kişinin kendi iradesiyle kamuoyuna sunduğu verilerin, alenileştirme amacına uygun olarak işlenmesi.
- Bir hakkın tesisi, kullanılması veya korunması: Olası uyuşmazlıklarda ispat amacıyla fatura veya sözleşme gibi belgelerin dava zamanaşımı süresince saklanması.
- Veri sorumlusunun meşru menfaati: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, işletmenin operasyonel faydası için veri işlemesinin zorunlu olması.
Sözleşmenin Kurulması ve Hukuki Yükümlülükler Bağlamında Veri İşleme
Ticari işletmelerin sıklıkla başvurduğu hukuka uygunluk sebeplerinin başında, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması gelmektedir. Sözleşme görüşmeleri aşamasında veya sözleşme akdedildikten sonra, işletmeler yükümlülüklerini yerine getirebilmek adına taraf verilerini işleyebilirler. Örneğin, bir e-ticaret platformunda satılan ürünün müşteriye teslim edilmesi için adres bilgisinin kargo şirketine verilmesi, sözleşmenin ifası kapsamında değerlendirilir. Aynı şekilde, işletmelerin hukuki yükümlülüklerini yerine getirebilmesi için de veri işlemesi zaruridir. Bir işverenin, çalışanına maaş ödeyebilmesi için banka hesap bilgilerini alması veya sosyal güvenlik bildirimlerini yapması bu kapsama girer. Bu tür durumlarda, ticari işletme kanuni ve sözleşmesel bir gereklilikle hareket ettiğinden, ayrıca bir açık rıza alma külfetinden kurtulmuş olur.
Ticari İşletmelerin Meşru Menfaatleri Kapsamında Veri İşleme Şartları
KVKK'da yer alan bir diğer önemli işleme şartı, ilgili kişinin temel hak ve özgürlüklerini zarara uğratmamak kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olmasıdır. Ticari işletmelerin meşru menfaati, elde edilecek operasyonel yarar ile kişinin mahremiyet hakları arasında kurulacak katı bir denge testine tabidir. Bu menfaatin güncel, belirli ve gerçek olması zorunludur. Örneğin, bir mağazada güvenlik amacıyla kamera sistemlerinin kullanılması veya çalışanların terfi süreçlerinin yönetilmesi için verilerin işlenmesi, işletmenin meşru menfaati kapsamında değerlendirilebilir. Ancak bu şart, tüm veri işleme faaliyetlerini hukuka uygun hale getiren bir "can simidi" değildir. Menfaatlerin yarışması durumunda, işletmenin sağlayacağı fayda ile bireyin temel hakları ölçülü şekilde değerlendirilmeli, gerekli olmayan hiçbir kişisel veri sisteme dâhil edilmemelidir.
Özel Nitelikli Kişisel Verilerin İşlenme Şartları ve 2024 Güncellemeleri
Bireylerin ırkı, etnik kökeni, siyasi düşüncesi, sağlığı, cinsel hayatı ve biyometrik verileri gibi bilgiler özel nitelikli kişisel veri olarak kabul edilir ve bunların işlenmesi çok daha sıkı şartlara bağlanmıştır. 12 Mart 2024 tarihinde KVKK'nın 6. maddesinde yapılan değişikliklerle, özel nitelikli kişisel verilerin işlenme şartları yeniden düzenlenmiş ve daha esnek bir hukuki çerçeve oluşturulmuştur. Yeni düzenlemeye göre, sağlık ve cinsel hayata ilişkin veriler ile diğer özel nitelikli veriler arasındaki katı ayrım kaldırılarak, tümü için yeknesak şartlar getirilmiştir. İşletmeler, kanunlarda açıkça öngörülmesi, istihdam ve iş sağlığı güvenliği kapsamındaki hukuki yükümlülüklerin yerine getirilmesi gibi hallerde, ilgili kişinin açık rızası olmaksızın bu verileri işleyebilir hale gelmiştir. Ancak, her halükarda Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli güvenlik önlemlerinin alınması kesin bir yasal zorunluluktur.