Anasayfa Makale TMK ve KVKK Kapsamında Kişisel Verilerin İşlenmesi

Makale

Bu makale, bilişim hukuku perspektifiyle Türk Medeni Kanunu ve Kişisel Verilerin Korunması Kanunu kapsamında kişisel verilerin işlenme süreçlerini, bu süreçlere hâkim olan hukuki ilkeleri ve işlenme şartlarını kapsamlı bir şekilde incelemektedir. Veri işleme faaliyetlerinin yasal sınırları uzman bir yaklaşımla değerlendirilmiştir.

TMK ve KVKK Kapsamında Kişisel Verilerin İşlenmesi

AÇIK RIZA KVKK SAVUNMA HAKKI KİŞİSEL VERİLERİN İŞLENMESİ

Kişisel verilerin elde edilmesinden başlayarak silinmesi, yok edilmesi veya anonim hâle getirilmesine kadar geçen süreçte gerçekleştirilen tüm işlemler kişisel verilerin işlenmesi olarak tanımlanmaktadır. Günümüzde bilişim teknolojilerinin hızla gelişmesi, verilerin otomatik veya veri kayıt sisteminin bir parçası olmak kaydıyla otomatik olmayan yollarla işlenmesini kaçınılmaz kılmıştır. Bu noktada, Kişisel Verilerin Korunması Kanunu (KVKK) ve Türk Medeni Kanunu (TMK) hükümleri, kişisel verilerin korunması ve işlenmesi noktasında temel hukuki çerçeveyi oluşturmaktadır. KVKK, gerçek kişilere ait kişisel verilerin işlenmesi aşamasında disiplini sağlamayı ve ihlalleri doğmadan engellemeyi amaçlarken; TMK, kişilik haklarının korunmasına yönelik daha genel ve çerçeve niteliğinde hükümler sunmaktadır. Dolayısıyla, bir veri işleme faaliyetinin hukuka uygun kabul edilebilmesi için yalnızca özel kanun niteliğindeki KVKK’nın öngördüğü şartların değil, aynı zamanda TMK kapsamında güvence altına alınan kişilik hakkı hükümlerinin de gözetilmesi gerekmektedir. Uzman bir bilişim hukuku avukatı perspektifiyle, bu iki temel kanunun veri işleme aşamasında nasıl birlikte uygulandığını anlamak, veri sorumlularının hukuki sorumluluklarını doğru tespit edebilmesi adına büyük önem taşımaktadır.

Kişisel Verilerin İşlenmesine Hâkim Olan Temel İlkeler

Kişisel veri işleme faaliyetinin yalnızca işlenme şartlarını taşıması tek başına yeterli değildir; aynı zamanda kanunda öngörülen genel ilkelere de uygun şekilde yürütülmesi yasal bir zorunluluktur. İşleme faaliyetinin ilk aşamasından verilerin yok edilmesine kadar süren tüm adımlarda bu ilkelere riayet edilmelidir. İlk olarak, veri işleme faaliyetinin hukuka ve dürüstlük kurallarına uygun olma şartı aranır. Bu durum, veri sorumlusunun ilgili kişinin temel haklarını ve makul beklentilerini dikkate alarak şeffaf bir süreç yürütmesini gerektirir. İşlenen verilerin doğru ve gerektiğinde güncel olması da bir diğer kritik ilkedir; zira hatalı veriler kişinin temel haklarına zarar verebileceği gibi veri işleme amacını da saptırabilir. Ayrıca veriler, belirli, açık ve meşru amaçlar doğrultusunda toplanmalı ve yalnızca bu amaca hizmet edecek şekilde bağlantılı, sınırlı ve ölçülü olarak işlenmelidir. Veri minimizasyonu olarak da bilinen bu kural, hedefe ulaşmak için yalnızca zorunlu olan asgari verinin toplanmasını emreder. Son olarak, işlenen veriler ancak ilgili mevzuatta öngörülen veya işlendikleri amaca uygun düşen süre kadar muhafaza edilmeli, amaç ortadan kalktığında ise gecikmeksizin imha edilmelidir.

KVKK ve TMK Kapsamında Veri İşlenme Şartları

Kişisel verilerin işlenmesi kural olarak istisnai bir durumdur ve hukuka uygunluk için Kanun’da belirtilen şartların varlığı aranır. Veri işleme faaliyetinin en temel hukuka uygunluk sebebi, kişinin özgür iradesine, belirli bir konuya ve bilgilendirilmeye dayanan açık rızasıdır. Ancak KVKK'nın 5. maddesinde belirtilen bazı istisnai durumlarda, ilgili kişinin açık rızası aranmaksızın kişisel veriler işlenebilmektedir. Türk Medeni Kanunu'nun 24. maddesinde de kişilik haklarına yönelik bir müdahalenin hukuka uygun sayılabilmesi için mağdurun rızası, üstün nitelikte özel veya kamusal yarar ya da kanunun verdiği yetkinin kullanılması halleri kabul edilmiştir. KVKK ile TMK'nın bu uyumu sayesinde, örneğin bir kanun hükmünün emrettiği durumlarda veri sorumlusu kişisel verileri rıza olmaksızın işleyebilir. Diğer yandan özel nitelikli kişisel verilerin işlenmesi KVKK'nın 6. maddesi kapsamında kural olarak yasaklanmış olup, bu yasağın istisnaları çok daha dar sınırlar içinde ve sıkı önlemler alınarak belirlenmiştir. Dolayısıyla veri sorumluları, veri işleme amacını belirledikten sonra ilk olarak rıza dışındaki hukuka uygunluk sebeplerini araştırmalı, eğer bu şartlar sağlanamıyorsa açık rıza alma yoluna gitmelidir.

Açık Rıza Aranmayan İstisnai İşleme Halleri

Veri sorumluları tarafından yürütülen kişisel verilerin işlenmesi sürecinde rıza dışındaki alternatif hukuka uygunluk şartları KVKK tarafından sınırlı sayıda sayılmıştır ve bu sınırların yorum yoluyla genişletilmesi hiçbir şekilde mümkün değildir. Eğer somut hukuki olayda bu istisnai şartlardan en az biri mevcutsa, ayrıca açık rıza alınması hakkın kötüye kullanılması ve ilgili kişinin yanıltılması anlamına geleceği için Kurul kararlarında hukuka aykırı bulunmuştur. Hukuki uygulamalarda bilişim ve veri hukuku uzmanlarınca sıklıkla karşılaşılan ve açık rıza aranmaksızın veri işlenmesine imkân tanıyan başlıca istisnai hâller şunlardır:

  • Kanunlarda açıkça öngörülmesi: İlgili kanunlarda açık bir düzenleme bulunması (örneğin İş Kanunu gereği zorunlu özlük dosyası tutulması).
  • Fiilî imkânsızlık durumu: Rızasını açıklayamayacak durumda olan kişinin kendi veya bir başkasının hayat ve vücut bütünlüğünün korunması için zorunluluk bulunması.
  • Sözleşmenin kurulması veya ifası: Bir sözleşmenin doğrudan doğruya taraflarına ait kişisel verilerin işlenmesinin hukuken zorunlu olması.
  • Hukuki yükümlülüğün yerine getirilmesi: Veri sorumlusunun yasalardan doğan resmi ve hukuki sorumluluklarını ifa edebilmesi.
  • Kişinin kendisi tarafından alenileştirilmesi: Verinin, alenileştirme amacına ve iradesine sıkı sıkıya uygun olarak işlenmesi.
  • Bir hakkın tesisi, kullanılması veya korunması: Dava zamanaşımı süresince savunma hakkı için gerekli verilerin saklanması.
  • Veri sorumlusunun meşru menfaati: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri işlemenin kaçınılmaz olması.

TMK Kapsamında Kişilik Hakkı ve KVKK İlişkisi

Kişisel veriler, temelinde bireyin kişilik hakları ile doğrudan ve son derece sıkı bir bağ içerisindedir. Türk Medeni Kanunu’nun 23. ve 24. maddeleri, kişiliğin maddi ve manevi değerlerinin korunmasına yönelik çok temel ve kapsayıcı nitelikte çerçeve hükümler içermektedir. KVKK, sadece veri kayıt sisteminin bir parçası olmak şartıyla veya tamamen otomatik yollarla işlenen kişisel veriler üzerinde yasal koruma sağlarken; TMK, herhangi bir şekil şartı, kayıt sistemi süreci veya süre kısıtlaması öngörmeksizin kişilik haklarını sürekli olarak koruma altına alır. Kişisel verinin silinmesi, yok edilmesi veya anonim hâle getirilmesi sonucunda KVKK koruması hukuken sona erse bile, söz konusu verilerin kişilik hakkı ile olan güçlü bağı nedeniyle TMK kapsamında hukuki koruma yaşam boyu devam edebilmektedir. Hatta TMK uyarınca, henüz hak ehliyetini doğumuyla kazanan cenin veya ölen kişilerin kişilik hakları çerçevesinde mirasçılarının hak arama yolları tartışılabilirken, KVKK yalnızca hayattaki gerçek kişileri kapsamına almıştır. Bilişim hukuku bağlamında, veri sorumlularının işleme faaliyetlerini sadece şekli KVKK kurallarıyla değil, medeni hukukun kişilik haklarını önceleyen üstün koruma normlarıyla da uyumlu yürütmesi kaçınılmaz bir gerekliliktir.

5 dk okuma Yayınlanma: Güncelleme: