Anasayfa/ Makale/ TMK ve KVKK Kapsamında Kişisel Verilerin İşlenmesi

TMK ve KVKK Kapsamında Kişisel Verilerin İşlenmesi

Bu makale, bilişim hukuku perspektifiyle Türk Medeni Kanunu ve Kişisel Verilerin Korunması Kanunu kapsamında kişisel verilerin işlenme süreçlerini, bu süreçlere hâkim olan hukuki ilkeleri ve işlenme şartlarını kapsamlı bir şekilde incelemektedir. Veri işleme faaliyetlerinin yasal sınırları uzman bir yaklaşımla değerlendirilmiştir.
search
7 dk okuma Yayınlanma: Güncelleme:
KİŞİSEL VERİLERİN İŞLENMESİ AÇIK RIZA KVKK USUL HUKUKU CEZA HUKUKU SAVUNMA HAKKI

Kişisel verilerin elde edilmesinden başlayarak silinmesi, yok edilmesi veya anonim hâle getirilmesine kadar geçen süreçte gerçekleştirilen tüm işlemler kişisel verilerin işlenmesi olarak tanımlanmaktadır. Günümüzde bilişim teknolojilerinin hızla gelişmesi, verilerin otomatik veya veri kayıt sisteminin bir parçası olmak kaydıyla otomatik olmayan yollarla işlenmesini kaçınılmaz kılmıştır. Bu noktada, Kişisel Verilerin Korunması Kanunu (KVKK) ve Türk Medeni Kanunu (TMK) hükümleri, kişisel verilerin korunması ve işlenmesi noktasında temel hukuki çerçeveyi oluşturmaktadır. KVKK, gerçek kişilere ait kişisel verilerin işlenmesi aşamasında disiplini sağlamayı ve ihlalleri doğmadan engellemeyi amaçlarken; TMK, kişilik haklarının korunmasına yönelik daha genel ve çerçeve niteliğinde hükümler sunmaktadır. Dolayısıyla, bir veri işleme faaliyetinin hukuka uygun kabul edilebilmesi için yalnızca özel kanun niteliğindeki KVKK’nın öngördüğü şartların değil, aynı zamanda TMK kapsamında güvence altına alınan kişilik hakkı hükümlerinin de gözetilmesi gerekmektedir. Uzman bir bilişim hukuku avukatı perspektifiyle, bu iki temel kanunun veri işleme aşamasında nasıl birlikte uygulandığını anlamak, veri sorumlularının hukuki sorumluluklarını doğru tespit edebilmesi adına büyük önem taşımaktadır.

Kişisel Verilerin İşlenmesine Hâkim Olan Temel İlkeler

Kişisel veri işleme faaliyetinin yalnızca işlenme şartlarını taşıması tek başına yeterli değildir; aynı zamanda kanunda öngörülen genel ilkelere de uygun şekilde yürütülmesi yasal bir zorunluluktur. İşleme faaliyetinin ilk aşamasından verilerin yok edilmesine kadar süren tüm adımlarda bu ilkelere riayet edilmelidir. İlk olarak, veri işleme faaliyetinin hukuka ve dürüstlük kurallarına uygun olma şartı aranır. Bu durum, veri sorumlusunun ilgili kişinin temel haklarını ve makul beklentilerini dikkate alarak şeffaf bir süreç yürütmesini gerektirir. İşlenen verilerin doğru ve gerektiğinde güncel olması da bir diğer kritik ilkedir; zira hatalı veriler kişinin temel haklarına zarar verebileceği gibi veri işleme amacını da saptırabilir. Ayrıca veriler, belirli, açık ve meşru amaçlar doğrultusunda toplanmalı ve yalnızca bu amaca hizmet edecek şekilde bağlantılı, sınırlı ve ölçülü olarak işlenmelidir. Veri minimizasyonu olarak da bilinen bu kural, hedefe ulaşmak için yalnızca zorunlu olan asgari verinin toplanmasını emreder. Son olarak, işlenen veriler ancak ilgili mevzuatta öngörülen veya işlendikleri amaca uygun düşen süre kadar muhafaza edilmeli, amaç ortadan kalktığında ise gecikmeksizin imha edilmelidir.

KVKK ve TMK Kapsamında Veri İşlenme Şartları

Kişisel verilerin işlenmesi kural olarak istisnai bir durumdur ve hukuka uygunluk için Kanun’da belirtilen şartların varlığı aranır. Veri işleme faaliyetinin en temel hukuka uygunluk sebebi, kişinin özgür iradesine, belirli bir konuya ve bilgilendirilmeye dayanan açık rızasıdır. Ancak KVKK'nın 5. maddesinde belirtilen bazı istisnai durumlarda, ilgili kişinin açık rızası aranmaksızın kişisel veriler işlenebilmektedir. Türk Medeni Kanunu'nun 24. maddesinde de kişilik haklarına yönelik bir müdahalenin hukuka uygun sayılabilmesi için mağdurun rızası, üstün nitelikte özel veya kamusal yarar ya da kanunun verdiği yetkinin kullanılması halleri kabul edilmiştir. KVKK ile TMK'nın bu uyumu sayesinde, örneğin bir kanun hükmünün emrettiği durumlarda veri sorumlusu kişisel verileri rıza olmaksızın işleyebilir. Diğer yandan özel nitelikli kişisel verilerin işlenmesi KVKK'nın 6. maddesi kapsamında kural olarak yasaklanmış olup, bu yasağın istisnaları çok daha dar sınırlar içinde ve sıkı önlemler alınarak belirlenmiştir. Dolayısıyla veri sorumluları, veri işleme amacını belirledikten sonra ilk olarak rıza dışındaki hukuka uygunluk sebeplerini araştırmalı, eğer bu şartlar sağlanamıyorsa açık rıza alma yoluna gitmelidir.

Açık Rıza Aranmayan İstisnai İşleme Halleri

Veri sorumluları tarafından yürütülen kişisel verilerin işlenmesi sürecinde rıza dışındaki alternatif hukuka uygunluk şartları KVKK tarafından sınırlı sayıda sayılmıştır ve bu sınırların yorum yoluyla genişletilmesi hiçbir şekilde mümkün değildir. Eğer somut hukuki olayda bu istisnai şartlardan en az biri mevcutsa, ayrıca açık rıza alınması hakkın kötüye kullanılması ve ilgili kişinin yanıltılması anlamına geleceği için Kurul kararlarında hukuka aykırı bulunmuştur. Hukuki uygulamalarda bilişim ve veri hukuku uzmanlarınca sıklıkla karşılaşılan ve açık rıza aranmaksızın veri işlenmesine imkân tanıyan başlıca istisnai hâller şunlardır:

  • Kanunlarda açıkça öngörülmesi: İlgili kanunlarda açık bir düzenleme bulunması (örneğin İş Kanunu gereği zorunlu özlük dosyası tutulması).
  • Fiilî imkânsızlık durumu: Rızasını açıklayamayacak durumda olan kişinin kendi veya bir başkasının hayat ve vücut bütünlüğünün korunması için zorunluluk bulunması.
  • Sözleşmenin kurulması veya ifası: Bir sözleşmenin doğrudan doğruya taraflarına ait kişisel verilerin işlenmesinin hukuken zorunlu olması.
  • Hukuki yükümlülüğün yerine getirilmesi: Veri sorumlusunun yasalardan doğan resmi ve hukuki sorumluluklarını ifa edebilmesi.
  • Kişinin kendisi tarafından alenileştirilmesi: Verinin, alenileştirme amacına ve iradesine sıkı sıkıya uygun olarak işlenmesi.
  • Bir hakkın tesisi, kullanılması veya korunması: Dava zamanaşımı süresince savunma hakkı için gerekli verilerin saklanması.
  • Veri sorumlusunun meşru menfaati: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri işlemenin kaçınılmaz olması.

TMK Kapsamında Kişilik Hakkı ve KVKK İlişkisi

Kişisel veriler, temelinde bireyin kişilik hakları ile doğrudan ve son derece sıkı bir bağ içerisindedir. Türk Medeni Kanunu’nun 23. ve 24. maddeleri, kişiliğin maddi ve manevi değerlerinin korunmasına yönelik çok temel ve kapsayıcı nitelikte çerçeve hükümler içermektedir. KVKK, sadece veri kayıt sisteminin bir parçası olmak şartıyla veya tamamen otomatik yollarla işlenen kişisel veriler üzerinde yasal koruma sağlarken; TMK, herhangi bir şekil şartı, kayıt sistemi süreci veya süre kısıtlaması öngörmeksizin kişilik haklarını sürekli olarak koruma altına alır. Kişisel verinin silinmesi, yok edilmesi veya anonim hâle getirilmesi sonucunda KVKK koruması hukuken sona erse bile, söz konusu verilerin kişilik hakkı ile olan güçlü bağı nedeniyle TMK kapsamında hukuki koruma yaşam boyu devam edebilmektedir. Hatta TMK uyarınca, henüz hak ehliyetini doğumuyla kazanan cenin veya ölen kişilerin kişilik hakları çerçevesinde mirasçılarının hak arama yolları tartışılabilirken, KVKK yalnızca hayattaki gerçek kişileri kapsamına almıştır. Bilişim hukuku bağlamında, veri sorumlularının işleme faaliyetlerini sadece şekli KVKK kurallarıyla değil, medeni hukukun kişilik haklarını önceleyen üstün koruma normlarıyla da uyumlu yürütmesi kaçınılmaz bir gerekliliktir.

Bilgilerimi kullanmak için şirketlerin her zaman benden onay alması şart mı? expand_more
Kişisel verilerinizin işlenmesi kural olarak sizin özgür iradenize, bilgilendirilmenize ve belirli bir konuya dayanan açık rızanıza bağlıdır. Ancak Kişisel Verilerin Korunması Kanunu (KVKK), her durumda rıza alınmasını mutlak bir şart olarak aramaz. Örneğin sözleşme kurulması, kanunlarda açıkça öngörülmesi veya veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi gibi istisnai durumlarda rızanız olmadan da yasal olarak verileriniz işlenebilir.
Alışveriş yaparken benden alakasız bir sürü kişisel bilgi istiyorlar, yasal mı? expand_more
Hayır, şirketlerin veya kurumların sundukları hizmetle alakası olmayan kişisel verilerinizi keyfi olarak toplaması yasalara aykırıdır. Veri işleme faaliyetinin hukuka uygun sayılabilmesi için verilerin belirli, açık ve meşru amaçlar doğrultusunda, bağlantılı, sınırlı ve ölçülü olarak toplanması zorunludur. Hukukta "veri minimizasyonu" olarak bilinen bu kural gereğince, hedefe ulaşmak için yalnızca zorunlu olan asgari bilgi talep edilebilir.
Sözleşme için zaten zorunlu olan bir işlemde benden açık rıza alabilirler mi? expand_more
Sözleşmenin kurulması veya ifası için doğrudan taraflara ait verilerin işlenmesi hukuken zaten zorunlu bir istisna olduğundan, bu işlem için sizden ayrıca açık rıza istenmemelidir. Kurul kararlarına ve hukuki uygulamalarımıza göre, kanunda belirtilen istisnai şartlardan (sözleşme ifası, kanuni zorunluluk vb.) biri mevcutken kişiden fazladan açık rıza alınması hakkın kötüye kullanılması ve kişinin yanıltılması anlamına gelir ve hukuka aykırıdır. Veri sorumluları rıza dışındaki alternatif şartlar sağlanamıyorsa açık rızanıza başvurmalıdır.
Benim veya ölmüş yakınımın verisi silinse bile hakkımızı arayabilir miyiz? expand_more
Evet, hukuki yollara başvurarak hakkınızı arayabilirsiniz. KVKK kapsamındaki koruma verilerin silinmesi, yok edilmesi veya anonim hale getirilmesiyle bitse ve sadece hayattaki kişileri kapsasa da, Türk Medeni Kanunu (TMK) kişilik haklarına daha genel ve sınırsız bir koruma sağlar. Verilerinizin kişilik hakkı ile olan güçlü bağı nedeniyle TMK kapsamındaki hukuki korumanız ömür boyu sürer ve ölen kişilerin kişilik hakları ihlallerinde de mirasçıların hak arama imkânı gündeme gelebilir. İşlem faaliyetleri yalnızca KVKK kurallarıyla değil, TMK'nın üstün koruma normlarıyla da uyumlu olmalıdır.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir