Anasayfa/ Makale/ Türk ve KKTC Hukukunda Kişisel Veri İşleme Şartları

Türk ve KKTC Hukukunda Kişisel Veri İşleme Şartları

Türkiye'de 6698 sayılı Kanun ve KKTC'de 89/2007 sayılı Yasa uyarınca kişisel verilerin hukuka uygun işlenebilmesi belirli şartlara tabidir. Bu makalede, her iki hukuk sisteminde veri işlemenin temeli olan açık rıza kavramı ile rıza aranmaksızın veri işlemeye olanak tanıyan hukuki istisnalar karşılaştırmalı bir perspektifle incelenmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
AÇIK RIZA HUKUKA AYKIRILIK KVKK

Bilişim hukukunun temel yapıtaşlarından biri olan kişisel verilerin korunması, verilerin hangi hallerde hukuka uygun olarak işlenebileceğinin kesin sınırlarla çizilmesini zorunlu kılmaktadır. Kuzey Kıbrıs Türk hukukunda 89/2007 sayılı Kişisel Verilerin Korunması Yasası ve Türk hukukunda 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenme şartlarını benzer temeller üzerine inşa etmiştir. Her iki hukuk sisteminde de hâkim olan temel kural, kişisel verilerin işlenmesinin kural olarak yasak olması ve bu yasağın ancak kanunlarda öngörülen belirli hukuka uygunluk nedenlerinin, yani veri işleme şartlarının varlığı hâlinde ortadan kalkmasıdır. Veri işleme şartları, sınırlı sayıda düzenlenmiş olup kıyas yoluyla genişletilmeleri mümkün değildir. Gerek veri sorumlularının uyumluluk süreçlerini yönetirken gerekse mahkemelerin hukuka aykırılık değerlendirmesi yaparken dayandıkları bu şartlar, açık rıza ekseninde ve rızanın istisnaları şeklinde sistematize edilmiştir.

Türk ve KKTC Hukukunda Açık Rıza Kavramı

Türk hukukunda 6698 sayılı Kanun uyarınca kişisel veriler, kural olarak ilgili kişinin açık rızası olmaksızın işlenemez. Kanun, açık rızayı belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlamıştır. Bu bağlamda, genel nitelikteki onaylar hukuken geçerli kabul edilmemekte, veri sorumlusunun veri sahibini aydınlatma yükümlülüğünü eksiksiz yerine getirmesi zorunlu tutulmaktadır. KKTC hukukunda ise 89/2007 sayılı Yasa kapsamında veri işlemenin temel şartı, bilgiye konu kişinin şüpheye sebebiyet vermeyecek şekilde onay vermesi olarak ifade edilmiştir. KKTC mevzuatında doğrudan bir "açık rıza" tanımı yapılmamış olsa da, yasadaki bu ifadenin Avrupa Birliği veri koruma standartlarıyla paralel olarak açık rızayı karşıladığı ve örtülü onayın geçerli olmayacağı hukuk uygulamaları bağlamında kabul edilmektedir. Dolayısıyla, her iki hukuk düzeninde de irade sakatlığına yol açacak herhangi bir durum, rızayı geçersiz kılacaktır.

Rıza Aranmaksızın Veri İşlenebilecek Haller

Kişisel verilerin işlenmesi sürecinde her durumda rıza alınması pratik açıdan mümkün veya makul olmayabilir. Bu nedenle yasa koyucular, açık rıza şartının istisnalarını kanunlarla açıkça düzenlemişlerdir. Bu istisnaların varlığı durumunda, veri sorumluları ilgili kişiden ayrıca bir rıza talep etmeksizin hukuka uygun bir şekilde kişisel veri işleme faaliyetlerini yürütebilirler. Hem Türkiye'medeki 6698 sayılı KVKK hem de KKTC'deki 89/2007 sayılı Yasa, bu hukuka uygunluk nedenlerini Avrupa Birliği Direktifleri ile uyumlu bir yaklaşımla, ancak bazı kavramsal farklılıklarla ele almıştır. Aşağıdaki tabloda, Türk ve KKTC hukukunda yer alan rızaya dayalı olmayan temel veri işleme şartları karşılaştırmalı olarak sunulmaktadır.

Veri İşleme Şartı Türk Hukuku (6698 Sayılı Kanun) KKTC Hukuku (89/2007 Sayılı Yasa)
Sözleşmenin İfası Sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması Taraf olunan sözleşmenin yerine getirilmesi için gerekli olması
Hukuki Yükümlülük Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi Kontrolörün tabi olduğu yasal yükümlülüğü yerine getirmesi
Hayati Çıkarlar / Beden Bütünlüğü Fiili imkânsızlık hâlinde hayat veya beden bütünlüğünün korunması Bilgiye konu kişinin hayati çıkarlarının korunması için gerekli olması
Kamu Görevi / Kanunda Öngörülme Kanunlarda açıkça öngörülmesi Kamu çıkarı veya kamu yetkisinin ifası için gerekli olması
Meşru Menfaat Veri sorumlusunun meşru menfaatleri için zorunlu olması Kontrolörün veya üçüncü tarafın yasal çıkarları için gerekli olması

Kanun Hükmü ve Kamu Menfaati İstisnaları

Türk hukukunda yer alan kanunlarda açıkça öngörülme şartı, KKTC mevzuatında yer alan kamu çıkarı adına bir görevin veya kamu yetkisinin ifası kavramına kıyasla daha spesifik bir sınır çizmektedir. Türk uygulamasında, kişisel verinin rıza dışı işlenebilmesi için mutlaka bir kanun normuna dayanması aranırken; KKTC uygulamasında yasal bir yetkiye veya kamu görevinin doğasına dayanan daha geniş bir değerlendirme alanı bulunmaktadır. Ancak her iki sistemde de, devletin kolluk kuvvetlerinin idari işlemleri veya işverenlerin yasal mevzuattan kaynaklı özlük dosyası tutma yükümlülükleri gibi faaliyetler bu kapsamda hukuka uygunluk nedeni olarak kabul edilir. Bu nedenle, idari veya adli mercilerin yürüttüğü süreçlerde kamu menfaatinin bireyin veri gizliliğinden üstün tutulduğu görülmektedir.

Sözleşmenin İfası ve Meşru Menfaat Kriteri

Özel hukuk ilişkilerinde en sık karşılaşılan veri işleme şartlarından biri olan sözleşmenin kurulması veya ifası, iki hukuk sisteminde de benzer şekilde ele alınmıştır. Türk hukukunda doğrudan doğruya ilgili olma şartı aranarak sınır daraltılmışken, KKTC'de sözleşmenin yerine getirilmesi için gerekli olması yeterli bulunmuştur. Öte yandan, veri sorumlusunun meşru menfaati şartı, veri işleyenlerin operasyonel süreçlerinde kritik bir güvencedir. Türk hukukunda bu durum, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla sınırlandırılmış ve daha sıkı bir denge testi gerektirmiştir. KKTC mevzuatında ise, bilgiye konu kişinin haklarının üstün geldiği durumlar hariç tutularak kontrolörün yasal çıkarları meşru bir işleme temeli yapılmıştır. Uygulamada, şirketlerin güvenlik amacıyla yürüttüğü kamera kayıt süreçleri gibi durumlar bu şart kapsamında değerlendirilerek hukuka aykırılık unsuru bertaraf edilmektedir.

Şirketlerin her şeye onay verdiğimi yazan uzun sözleşmeleri imzalatması yasal mı? expand_more
Türk hukukunda ve KKTC yasalarında kişisel verilerin işlenmesi kural olarak açık rızaya tabidir. Ancak kanunlarımız, belirli bir konuya ilişkin olmayan ve sadece genel nitelik taşıyan onayları hukuken geçerli kabul etmemektedir. Geçerli bir hukuki süreç için kurumların sizi aydınlatma yükümlülüğünü eksiksiz yerine getirmesi ve rızanızı özgür iradenizle alması zorunludur. Bu bağlamda, iradenizi sakatlayan veya şüpheye sebebiyet veren genel "torba" sözleşme maddeleri geçersiz sayılacak ve yapılan veri işleme faaliyeti hukuka aykırı olacaktır.
Patronum işe girerken sabıka kaydıma kadar birçok özel bilgimi isteyebilir mi? expand_more
Kişisel verilerin işlenmesinde temel kural açık rıza alınması olsa da, yasa koyucular bu kuralın bazı istisnalarını kanunlarla açıkça belirlemiştir,. İşverenlerin yasal mevzuattan kaynaklanan özlük dosyası tutma yükümlülükleri, rıza aranmaksızın veri işlenebilecek hukuka uygunluk nedenleri kapsamında değerlendirilmektedir. Türkiye'deki 6698 sayılı Kanun kapsamında bu durum ilgili işlemin "kanunlarda açıkça öngörülmesi" şartına dayanırken, KKTC mevzuatında yasal bir yetki veya kamu görevinin ifası çerçevesinde ele alınmaktadır. Dolayısıyla, işverenin kamu menfaati ve kanuni yükümlülükleri doğrultusunda bu belgeleri rızanız olmadan toplaması kural olarak hukuka uygundur.
Mağazalar güvenlik kamerasıyla rızam olmadan beni kaydedebilir mi? expand_more
Veri sorumlusu konumundaki kişi veya şirketlerin yasal çıkarları ve meşru menfaatleri, rıza dışı kişisel veri işlemenin hukuki temellerinden birisidir. İşletmelerin tesislerinde güvenlik amacıyla kamera kaydı alması gibi süreçler, operasyonel zorunluluklar sebebiyle kanunda yer alan meşru menfaat şartı kapsamında değerlendirilmektedir. Temel hak ve özgürlüklerinize zarar vermemek koşuluyla yapılan bu kayıt işlemleri, hukuka aykırılık unsurunu tamamen bertaraf etmektedir. Gerek Türk hukukunda gerekse KKTC hukukunda, bu yasal istisnaya dayanılarak sizden ayrıca bir onay alınmasına gerek duyulmamaktadır,.
İnternetten alışveriş yaparken adresimi rızam olmadan kaydetmeleri yasal mı? expand_more
Özel hukuk işlemlerinde sıklıkla karşılaşılan hukuka uygunluk hallerinden biri, sözleşmenin kurulması veya ifasıyla doğrudan ilgili olan veri işleme istisnasıdır,. İnternet üzerinden taraf olduğunuz bir mesafeli satış sözleşmesinin yerine getirilebilmesi için mecburi olan iletişim ve adres verilerinizin işlenmesi yasal bir gerekliliktir. Türk hukukunda bu durum verilerin "doğrudan doğruya ilgili olma" koşulu ile sınırlandırılmışken, KKTC uygulamasında da sözleşmenin ifası için verinin gerekli olması yeterli kabul edilmiştir. Sonuç olarak, firmanın satım sözleşmesinden doğan teslim borcunu ifa edebilmesi için sizden ayrıca bir açık rıza talep etmesi hukuken gerekmemektedir,.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir