Anasayfa/ Makale/ TMK ve KVKK Işığında Kişisel Veri İşleme Şartları

TMK ve KVKK Işığında Kişisel Veri İşleme Şartları

Kişisel verilerin işlenmesi, KVKK ve TMK kapsamında sıkı şartlara bağlanmıştır. Kural olarak veri işleme açık rızaya tabi olmakla birlikte, kanunlarda öngörülen istisnai hallerde rıza aranmaksızın işleme yapılabilir. Bu makalede, veri işlemenin genel ilkeleri ve her iki kanun çerçevesindeki hukuka uygunluk sebepleri hukuki bir perspektifle incelenmektedir.
search
7 dk okuma Yayınlanma: Güncelleme:
GDPR (GENEL VERİ KORUMA TÜZÜĞÜ) AÇIK RIZA KVKK HUKUKA AYKIRILIK ÖZEL NİTELİKLİ KİŞİSEL VERİ

Kişisel verilerin işlenmesi, verilerin ilk elde edildiği andan itibaren kaydedilmesi, depolanması, değiştirilmesi, aktarılması veya yok edilmesine kadar geçen sürecin tamamını kapsayan çok geniş bir faaliyettir. Gelişen bilişim teknolojileri ile birlikte kişisel verilerin hukuka aykırı kullanım riskinin artması, verilerin işlenmesi sürecinin sıkı yasal şartlara bağlanmasını zorunlu kılmıştır. Türk hukuk sistemimizde, kişisel verilerin korunması ve işlenmesi temel olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve kişiliğin korunmasını düzenleyen Türk Medeni Kanunu (TMK) hükümleri ile güvence altına alınmıştır. Veri sorumlularının, herhangi bir veri işleme faaliyetine girişmeden önce muhakkak kanunlarda belirtilen hukuka uygunluk şartlarından birine dayanması gerekmektedir. Kural olarak veri işleme faaliyeti istisnai bir durum olup, geçerli bir hukuki sebebin veya ilgili kişinin açık rızasının bulunmadığı hallerde gerçekleştirilen veri işleme faaliyetleri doğrudan kişilik haklarına saldırı niteliği taşımaktadır. Bu makalede, söz konusu yasal mevzuatlar ışığında kişisel verilerin hangi şartlar altında ve nasıl hukuka uygun olarak işlenebileceği uzman bir hukuki perspektifle detaylandırılmıştır.

Kişisel Verilerin İşlenmesinde Temel İlkeler

Herhangi bir kişisel veri işleme faaliyetinin hukuka uygun kabul edilebilmesi için, yalnızca kanunlarda sayılan işleme şartlarına dayanması yeterli olmayıp, aynı zamanda KVKK'nın 4. maddesinde düzenlenen genel ilkelere de mutlak surette uygun olması gerekir. Bir hukuka uygunluk sebebi bulunsa dahi, genel ilkelere aykırı bir işleme faaliyeti hukuka aykırı hale gelir. Kanun koyucu bu ilkeleri; hukuka ve dürüstlük kurallarına uygun olma, işlenen verilerin doğru ve gerektiğinde güncel olma, verilerin belirli, açık ve meşru amaçlar için işlenmesi, veri işlemenin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve son olarak verilerin ancak ilgili mevzuatta öngörülen veya işlendikleri amaca uygun düşen süre kadar muhafaza edilmesi şeklinde sıralamıştır. Veri sorumluları, veri işleme döngüsünün her bir aşamasında bu temel ilkelere uyulduğunu denetlemekle yükümlüdür. Özellikle ölçülülük ilkesi, amaç için gerekmeyen verilerin toplanmasını yasaklayarak temel hak ve özgürlüklerin gereksiz ihlallerine karşı güçlü bir hukuki koruma kalkanı oluşturmaktadır.

Türk Medeni Kanunu Kapsamında Hukuka Uygunluk Nedenleri

Kişisel veriler, özünde kişinin maddi ve manevi varlığının ayrılmaz bir parçasını oluşturan kişilik hakları ile doğrudan bağlantılıdır. Dolayısıyla, kişisel verilerin hukuka aykırı şekilde işlenmesi, TMK'nın 24. maddesi kapsamında doğrudan kişilik hakkına saldırı teşkil eder. TMK madde 24, kişilik haklarına yönelik müdahalelerin hangi hallerde hukuka uygun kabul edileceğini belirleyen temel ve çerçeve bir hükümdür. Bu maddeye göre, kişilik hakkı zedelenen kişinin geçerli rızası, müdahalede bulunanın veya toplumun daha üstün nitelikteki özel veya kamusal yararı ya da kanunun verdiği yetkinin kullanılması hallerinden birinin varlığı, saldırıyı hukuka uygun hale getirir. Ancak TMK kapsamında verilen rızanın, ahlaka ve hukuka aykırı olmaması, kişinin özgürlüklerini veya kişiye sıkı sıkıya bağlı haklarını tamamen ortadan kaldıran veya aşırı derecede sınırlandıran bir nitelik taşımaması şarttır. Aksi takdirde, verilen rıza TMK'nın 23. maddesi uyarınca kesin hükümsüz sayılarak kişisel verilerin hukuka aykırı kullanımı sebebiyle hukuki sorumluluk doğuracaktır.

KVKK Kapsamında Açık Rıza ve İstisnai Veri İşleme Şartları

Kişisel Verilerin Korunması Kanunu uyarınca verilerin işlenmesi kural olarak ilgili kişinin açık rızasına tabidir. Açık rıza kavramı, basit bir onayın ötesinde, hukuki geçerliliği katı şartlara bağlanmış nitelikli bir irade beyanıdır. Bir rızanın geçerli bir hukuka uygunluk sebebi sayılabilmesi için; mutlak surette belirli bir konuya ilişkin olması, ilgili kişinin yeterince bilgilendirilmesine (aydınlatılmış olmasına) dayanması ve hiçbir baskı altında kalmadan özgür iradesiyle açıklanmış olması gerekmektedir. Özellikle işçi-işveren gibi tarafların eşit konumda olmadığı hukuki ilişkilerde, rızanın özgür irade ile verilip verilmediği konusu yargı uygulamalarında çok daha titiz bir hukuki denetime tabi tutulmaktadır. Bununla birlikte, veri sorumlusu her veri işleme faaliyeti için öncelikle açık rıza yoluna başvurmamalıdır; kanunda belirtilen diğer hukuka uygunluk sebeplerinden birinin varlığı halinde, ilgili kişiden ayrıca açık rıza talep edilmesi hakkın kötüye kullanılması ve aldatıcı işlem olarak nitelendirilerek hukuka aykırılık sonucunu doğurabilmektedir.

Açık Rıza Aranmaksızın Veri İşlenebilen Haller

Kanun koyucu, ticari hayatın ve toplumsal düzenin sekteye uğramaması adına KVKK'nın 5. maddesinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenebileceği istisnai ve sınırlı halleri tek tek saymıştır. Bu şartların dar yorumlanması esastır ve aşağıda sıralanan yasal gerekçelerden herhangi birinin bulunması halinde veri işleme faaliyeti hukuka uygun kabul edilir:

  • İşleme faaliyetinin kanunlarda açıkça öngörülmesi.
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayat veya beden bütünlüğünün korunması için zorunlu olması.
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  • Kişisel verinin, ilgili kişinin bizzat kendisi tarafından alenileştirilmiş olması ve alenileştirme amacına uygun işlenmesi.
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Başkaları tarafından öğrenilmesi halinde kişinin ayrımcılığa uğramasına veya mağduriyet yaşamasına yol açabilecek olan ırk, etnik köken, siyasi düşünce, ceza mahkumiyeti, biyometrik ve genetik veriler ile sağlık verileri özel nitelikli kişisel veri statüsündedir ve işlenmeleri kural olarak yasaktır. Yakın dönemde mevzuatımızda yapılan değişikliklerle birlikte KVKK'nın 6. maddesi Avrupa Birliği Genel Veri Koruma Tüzüğü'ne (GDPR) daha uyumlu hale getirilmiştir. Yapılan yeni yasal düzenlemeler ışığında; özel nitelikli kişisel veriler artık sadece açık rıza ile değil, istihdam, iş sağlığı ve güvenliği, sosyal güvenlik alanlarındaki hukuki yükümlülüklerin ifası gibi kanunda sayılan somut yasal istisnaların varlığı halinde de işlenebilmektedir. Özellikle sağlık verileri, yalnızca sır saklama yükümlülüğü altında bulunan hekimler ve yetkili kuruluşlar tarafından kamu sağlığının korunması, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi gibi son derece katı ve sınırlı hukuki amaçlar doğrultusunda ilgili kişinin rızası aranmaksızın işlenebilir hale getirilerek hassas verilere yönelik üst düzey hukuki koruma sağlanmıştır.

Şirketler bilgilerimi işlemek için benden her zaman onay almak zorunda mı? expand_more
Hayır, kişisel verilerinizin işlenmesi için kural olarak açık rızanız aranmakla birlikte, kanun koyucu ticari hayatın ve toplumsal düzenin aksamaması adına bazı istisnai haller öngörmüştür. Örneğin; bir sözleşmenin kurulması veya ifası, veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi, meşru menfaat veya kanunlarda açıkça öngörülen durumların varlığı halinde rızanız aranmaksızın verileriniz işlenebilir. Hatta, kanunda belirtilen bu hukuka uygunluk sebeplerinden biri mevcutken şirketlerin sizden ayrıca açık rıza talep etmesi, hakkın kötüye kullanılması ve aldatıcı işlem olarak değerlendirilerek doğrudan hukuka aykırılık teşkil edebilmektedir. Bir hukuka uygunluk sebebi bulunsa dahi, her halükarda yapılan işlemin amaca uygun, sınırlı ve ölçülü olması yasal bir zorunluluktur.
İşe girerken patronumun uzattığı KVKK rıza metinlerini imzalamaya mecbur muyum? expand_more
Açık rızanın geçerli bir hukuki dayanak olabilmesi için ilgili kişinin hiçbir baskı altında kalmadan, özgür iradesiyle onay vermiş olması mutlak bir yasal şarttır. Özellikle işçi ve işveren gibi tarafların eşit konumda olmadığı hukuki ilişkilerde, tarafınızdan verilen rızanın özgür iradeye dayanıp dayanmadığı yargı uygulamalarında çok daha titiz bir hukuki denetime tabi tutulmaktadır. Rıza verseniz dahi, bu rıza kişisel özgürlüklerinizi tamamen ortadan kaldıran veya aşırı derecede sınırlandıran bir nitelik taşıyorsa, Türk Medeni Kanunu'nun 23. maddesi uyarınca kesin hükümsüz sayılacaktır. Zorlamayla alınan rızalar hukuken geçersiz kabul edildiğinden, rıza göstermediğiniz hallerde kişilik haklarınıza yapılan saldırılar hukuki sorumluluk doğurur.
Hastanedeki sağlık bilgilerimi kimler görebilir, iznim olmadan paylaşılabilir mi? expand_more
Sağlık bilgileri gibi başkaları tarafından öğrenilmesi mağduriyetinize veya ayrımcılığa yol açabilecek veriler, hukuken "özel nitelikli kişisel veri" statüsünde olup yasalarımızca çok daha üst düzey bir korumaya tabidir. Mevzuatımızda yapılan güncel yasal düzenlemeler ışığında sağlık verileriniz; kural olarak ancak sır saklama yükümlülüğü altında bulunan hekimler ve yetkili kuruluşlar tarafından işlenebilmektedir. Üstelik izniniz olmaksızın yapılacak bu işlemler, sadece kamu sağlığının korunması ile tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi gibi son derece katı ve sınırlı hukuki amaçlarla gerçekleştirilebilir. Bu sıkı sınırların dışına çıkılan her türlü sağlık verisi işleme süreci için kanunen açık rızanızın alınması şarttır.
İnternette kendim paylaştığım bilgilerimi şirketler kafasına göre alıp kullanabilir mi? expand_more
Kişisel verinizi bizzat kendinizin alenileştirmiş olması, o verinin şirketler veya üçüncü kişiler tarafından sınırsızca ve diledikleri gibi kullanılabileceği anlamına gelmez. Kanuni düzenlemelerimize göre, bizzat alenileştirdiğiniz bilgilerinizin açık rızanız olmaksızın işlenebilmesi için, işlemi yapanın bu veriyi sizin alenileştirme amacınıza uygun kullanması gerekmektedir. İlaveten, şirketlerin veri işlerken kişisel verilerin belirli, açık ve meşru amaçlar için işlenmesi ve bu amaçla bağlantılı, ölçülü olması gibi temel ilkelere mutlak surette riayet etmesi gerekir. Geçerli bir hukuki sebebe veya ölçülülük ilkesine uymadan yapılan bu tarz yetkisiz kullanımlar, Türk Medeni Kanunu kapsamında doğrudan kişilik hakkınıza saldırı olarak nitelendirilir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir