Anasayfa Makale TMK ve KVKK Işığında Kişisel Veri İşleme Şartları

Makale

Kişisel verilerin işlenmesi, KVKK ve TMK kapsamında sıkı şartlara bağlanmıştır. Kural olarak veri işleme açık rızaya tabi olmakla birlikte, kanunlarda öngörülen istisnai hallerde rıza aranmaksızın işleme yapılabilir. Bu makalede, veri işlemenin genel ilkeleri ve her iki kanun çerçevesindeki hukuka uygunluk sebepleri hukuki bir perspektifle incelenmektedir.

TMK ve KVKK Işığında Kişisel Veri İşleme Şartları

GDPR (GENEL VERİ KORUMA TÜZÜĞÜ) AÇIK RIZA KVKK ÖZEL NİTELİKLİ KİŞİSEL VERİ

Kişisel verilerin işlenmesi, verilerin ilk elde edildiği andan itibaren kaydedilmesi, depolanması, değiştirilmesi, aktarılması veya yok edilmesine kadar geçen sürecin tamamını kapsayan çok geniş bir faaliyettir. Gelişen bilişim teknolojileri ile birlikte kişisel verilerin hukuka aykırı kullanım riskinin artması, verilerin işlenmesi sürecinin sıkı yasal şartlara bağlanmasını zorunlu kılmıştır. Türk hukuk sistemimizde, kişisel verilerin korunması ve işlenmesi temel olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve kişiliğin korunmasını düzenleyen Türk Medeni Kanunu (TMK) hükümleri ile güvence altına alınmıştır. Veri sorumlularının, herhangi bir veri işleme faaliyetine girişmeden önce muhakkak kanunlarda belirtilen hukuka uygunluk şartlarından birine dayanması gerekmektedir. Kural olarak veri işleme faaliyeti istisnai bir durum olup, geçerli bir hukuki sebebin veya ilgili kişinin açık rızasının bulunmadığı hallerde gerçekleştirilen veri işleme faaliyetleri doğrudan kişilik haklarına saldırı niteliği taşımaktadır. Bu makalede, söz konusu yasal mevzuatlar ışığında kişisel verilerin hangi şartlar altında ve nasıl hukuka uygun olarak işlenebileceği uzman bir hukuki perspektifle detaylandırılmıştır.

Kişisel Verilerin İşlenmesinde Temel İlkeler

Herhangi bir kişisel veri işleme faaliyetinin hukuka uygun kabul edilebilmesi için, yalnızca kanunlarda sayılan işleme şartlarına dayanması yeterli olmayıp, aynı zamanda KVKK'nın 4. maddesinde düzenlenen genel ilkelere de mutlak surette uygun olması gerekir. Bir hukuka uygunluk sebebi bulunsa dahi, genel ilkelere aykırı bir işleme faaliyeti hukuka aykırı hale gelir. Kanun koyucu bu ilkeleri; hukuka ve dürüstlük kurallarına uygun olma, işlenen verilerin doğru ve gerektiğinde güncel olma, verilerin belirli, açık ve meşru amaçlar için işlenmesi, veri işlemenin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve son olarak verilerin ancak ilgili mevzuatta öngörülen veya işlendikleri amaca uygun düşen süre kadar muhafaza edilmesi şeklinde sıralamıştır. Veri sorumluları, veri işleme döngüsünün her bir aşamasında bu temel ilkelere uyulduğunu denetlemekle yükümlüdür. Özellikle ölçülülük ilkesi, amaç için gerekmeyen verilerin toplanmasını yasaklayarak temel hak ve özgürlüklerin gereksiz ihlallerine karşı güçlü bir hukuki koruma kalkanı oluşturmaktadır.

Türk Medeni Kanunu Kapsamında Hukuka Uygunluk Nedenleri

Kişisel veriler, özünde kişinin maddi ve manevi varlığının ayrılmaz bir parçasını oluşturan kişilik hakları ile doğrudan bağlantılıdır. Dolayısıyla, kişisel verilerin hukuka aykırı şekilde işlenmesi, TMK'nın 24. maddesi kapsamında doğrudan kişilik hakkına saldırı teşkil eder. TMK madde 24, kişilik haklarına yönelik müdahalelerin hangi hallerde hukuka uygun kabul edileceğini belirleyen temel ve çerçeve bir hükümdür. Bu maddeye göre, kişilik hakkı zedelenen kişinin geçerli rızası, müdahalede bulunanın veya toplumun daha üstün nitelikteki özel veya kamusal yararı ya da kanunun verdiği yetkinin kullanılması hallerinden birinin varlığı, saldırıyı hukuka uygun hale getirir. Ancak TMK kapsamında verilen rızanın, ahlaka ve hukuka aykırı olmaması, kişinin özgürlüklerini veya kişiye sıkı sıkıya bağlı haklarını tamamen ortadan kaldıran veya aşırı derecede sınırlandıran bir nitelik taşımaması şarttır. Aksi takdirde, verilen rıza TMK'nın 23. maddesi uyarınca kesin hükümsüz sayılarak kişisel verilerin hukuka aykırı kullanımı sebebiyle hukuki sorumluluk doğuracaktır.

KVKK Kapsamında Açık Rıza ve İstisnai Veri İşleme Şartları

Kişisel Verilerin Korunması Kanunu uyarınca verilerin işlenmesi kural olarak ilgili kişinin açık rızasına tabidir. Açık rıza kavramı, basit bir onayın ötesinde, hukuki geçerliliği katı şartlara bağlanmış nitelikli bir irade beyanıdır. Bir rızanın geçerli bir hukuka uygunluk sebebi sayılabilmesi için; mutlak surette belirli bir konuya ilişkin olması, ilgili kişinin yeterince bilgilendirilmesine (aydınlatılmış olmasına) dayanması ve hiçbir baskı altında kalmadan özgür iradesiyle açıklanmış olması gerekmektedir. Özellikle işçi-işveren gibi tarafların eşit konumda olmadığı hukuki ilişkilerde, rızanın özgür irade ile verilip verilmediği konusu yargı uygulamalarında çok daha titiz bir hukuki denetime tabi tutulmaktadır. Bununla birlikte, veri sorumlusu her veri işleme faaliyeti için öncelikle açık rıza yoluna başvurmamalıdır; kanunda belirtilen diğer hukuka uygunluk sebeplerinden birinin varlığı halinde, ilgili kişiden ayrıca açık rıza talep edilmesi hakkın kötüye kullanılması ve aldatıcı işlem olarak nitelendirilerek hukuka aykırılık sonucunu doğurabilmektedir.

Açık Rıza Aranmaksızın Veri İşlenebilen Haller

Kanun koyucu, ticari hayatın ve toplumsal düzenin sekteye uğramaması adına KVKK'nın 5. maddesinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenebileceği istisnai ve sınırlı halleri tek tek saymıştır. Bu şartların dar yorumlanması esastır ve aşağıda sıralanan yasal gerekçelerden herhangi birinin bulunması halinde veri işleme faaliyeti hukuka uygun kabul edilir:

  • İşleme faaliyetinin kanunlarda açıkça öngörülmesi.
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayat veya beden bütünlüğünün korunması için zorunlu olması.
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  • Kişisel verinin, ilgili kişinin bizzat kendisi tarafından alenileştirilmiş olması ve alenileştirme amacına uygun işlenmesi.
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Başkaları tarafından öğrenilmesi halinde kişinin ayrımcılığa uğramasına veya mağduriyet yaşamasına yol açabilecek olan ırk, etnik köken, siyasi düşünce, ceza mahkumiyeti, biyometrik ve genetik veriler ile sağlık verileri özel nitelikli kişisel veri statüsündedir ve işlenmeleri kural olarak yasaktır. Yakın dönemde mevzuatımızda yapılan değişikliklerle birlikte KVKK'nın 6. maddesi Avrupa Birliği Genel Veri Koruma Tüzüğü'ne (GDPR) daha uyumlu hale getirilmiştir. Yapılan yeni yasal düzenlemeler ışığında; özel nitelikli kişisel veriler artık sadece açık rıza ile değil, istihdam, iş sağlığı ve güvenliği, sosyal güvenlik alanlarındaki hukuki yükümlülüklerin ifası gibi kanunda sayılan somut yasal istisnaların varlığı halinde de işlenebilmektedir. Özellikle sağlık verileri, yalnızca sır saklama yükümlülüğü altında bulunan hekimler ve yetkili kuruluşlar tarafından kamu sağlığının korunması, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi gibi son derece katı ve sınırlı hukuki amaçlar doğrultusunda ilgili kişinin rızası aranmaksızın işlenebilir hale getirilerek hassas verilere yönelik üst düzey hukuki koruma sağlanmıştır.

5 dk okuma Yayınlanma: Güncelleme: