Makale
Türkiye'de 6698 sayılı Kanun ve KKTC'de 89/2007 sayılı Yasa uyarınca kişisel verilerin hukuka uygun işlenebilmesi belirli şartlara tabidir. Bu makalede, her iki hukuk sisteminde veri işlemenin temeli olan açık rıza kavramı ile rıza aranmaksızın veri işlemeye olanak tanıyan hukuki istisnalar karşılaştırmalı bir perspektifle incelenmektedir.
Türk ve KKTC Hukukunda Kişisel Veri İşleme Şartları
Bilişim hukukunun temel yapıtaşlarından biri olan kişisel verilerin korunması, verilerin hangi hallerde hukuka uygun olarak işlenebileceğinin kesin sınırlarla çizilmesini zorunlu kılmaktadır. Kuzey Kıbrıs Türk hukukunda 89/2007 sayılı Kişisel Verilerin Korunması Yasası ve Türk hukukunda 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenme şartlarını benzer temeller üzerine inşa etmiştir. Her iki hukuk sisteminde de hâkim olan temel kural, kişisel verilerin işlenmesinin kural olarak yasak olması ve bu yasağın ancak kanunlarda öngörülen belirli hukuka uygunluk nedenlerinin, yani veri işleme şartlarının varlığı hâlinde ortadan kalkmasıdır. Veri işleme şartları, sınırlı sayıda düzenlenmiş olup kıyas yoluyla genişletilmeleri mümkün değildir. Gerek veri sorumlularının uyumluluk süreçlerini yönetirken gerekse mahkemelerin hukuka aykırılık değerlendirmesi yaparken dayandıkları bu şartlar, açık rıza ekseninde ve rızanın istisnaları şeklinde sistematize edilmiştir.
Türk ve KKTC Hukukunda Açık Rıza Kavramı
Türk hukukunda 6698 sayılı Kanun uyarınca kişisel veriler, kural olarak ilgili kişinin açık rızası olmaksızın işlenemez. Kanun, açık rızayı belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlamıştır. Bu bağlamda, genel nitelikteki onaylar hukuken geçerli kabul edilmemekte, veri sorumlusunun veri sahibini aydınlatma yükümlülüğünü eksiksiz yerine getirmesi zorunlu tutulmaktadır. KKTC hukukunda ise 89/2007 sayılı Yasa kapsamında veri işlemenin temel şartı, bilgiye konu kişinin şüpheye sebebiyet vermeyecek şekilde onay vermesi olarak ifade edilmiştir. KKTC mevzuatında doğrudan bir "açık rıza" tanımı yapılmamış olsa da, yasadaki bu ifadenin Avrupa Birliği veri koruma standartlarıyla paralel olarak açık rızayı karşıladığı ve örtülü onayın geçerli olmayacağı hukuk uygulamaları bağlamında kabul edilmektedir. Dolayısıyla, her iki hukuk düzeninde de irade sakatlığına yol açacak herhangi bir durum, rızayı geçersiz kılacaktır.
Rıza Aranmaksızın Veri İşlenebilecek Haller
Kişisel verilerin işlenmesi sürecinde her durumda rıza alınması pratik açıdan mümkün veya makul olmayabilir. Bu nedenle yasa koyucular, açık rıza şartının istisnalarını kanunlarla açıkça düzenlemişlerdir. Bu istisnaların varlığı durumunda, veri sorumluları ilgili kişiden ayrıca bir rıza talep etmeksizin hukuka uygun bir şekilde kişisel veri işleme faaliyetlerini yürütebilirler. Hem Türkiye'medeki 6698 sayılı KVKK hem de KKTC'deki 89/2007 sayılı Yasa, bu hukuka uygunluk nedenlerini Avrupa Birliği Direktifleri ile uyumlu bir yaklaşımla, ancak bazı kavramsal farklılıklarla ele almıştır. Aşağıdaki tabloda, Türk ve KKTC hukukunda yer alan rızaya dayalı olmayan temel veri işleme şartları karşılaştırmalı olarak sunulmaktadır.
| Veri İşleme Şartı | Türk Hukuku (6698 Sayılı Kanun) | KKTC Hukuku (89/2007 Sayılı Yasa) |
|---|---|---|
| Sözleşmenin İfası | Sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması | Taraf olunan sözleşmenin yerine getirilmesi için gerekli olması |
| Hukuki Yükümlülük | Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi | Kontrolörün tabi olduğu yasal yükümlülüğü yerine getirmesi |
| Hayati Çıkarlar / Beden Bütünlüğü | Fiili imkânsızlık hâlinde hayat veya beden bütünlüğünün korunması | Bilgiye konu kişinin hayati çıkarlarının korunması için gerekli olması |
| Kamu Görevi / Kanunda Öngörülme | Kanunlarda açıkça öngörülmesi | Kamu çıkarı veya kamu yetkisinin ifası için gerekli olması |
| Meşru Menfaat | Veri sorumlusunun meşru menfaatleri için zorunlu olması | Kontrolörün veya üçüncü tarafın yasal çıkarları için gerekli olması |
Kanun Hükmü ve Kamu Menfaati İstisnaları
Türk hukukunda yer alan kanunlarda açıkça öngörülme şartı, KKTC mevzuatında yer alan kamu çıkarı adına bir görevin veya kamu yetkisinin ifası kavramına kıyasla daha spesifik bir sınır çizmektedir. Türk uygulamasında, kişisel verinin rıza dışı işlenebilmesi için mutlaka bir kanun normuna dayanması aranırken; KKTC uygulamasında yasal bir yetkiye veya kamu görevinin doğasına dayanan daha geniş bir değerlendirme alanı bulunmaktadır. Ancak her iki sistemde de, devletin kolluk kuvvetlerinin idari işlemleri veya işverenlerin yasal mevzuattan kaynaklı özlük dosyası tutma yükümlülükleri gibi faaliyetler bu kapsamda hukuka uygunluk nedeni olarak kabul edilir. Bu nedenle, idari veya adli mercilerin yürüttüğü süreçlerde kamu menfaatinin bireyin veri gizliliğinden üstün tutulduğu görülmektedir.
Sözleşmenin İfası ve Meşru Menfaat Kriteri
Özel hukuk ilişkilerinde en sık karşılaşılan veri işleme şartlarından biri olan sözleşmenin kurulması veya ifası, iki hukuk sisteminde de benzer şekilde ele alınmıştır. Türk hukukunda doğrudan doğruya ilgili olma şartı aranarak sınır daraltılmışken, KKTC'de sözleşmenin yerine getirilmesi için gerekli olması yeterli bulunmuştur. Öte yandan, veri sorumlusunun meşru menfaati şartı, veri işleyenlerin operasyonel süreçlerinde kritik bir güvencedir. Türk hukukunda bu durum, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla sınırlandırılmış ve daha sıkı bir denge testi gerektirmiştir. KKTC mevzuatında ise, bilgiye konu kişinin haklarının üstün geldiği durumlar hariç tutularak kontrolörün yasal çıkarları meşru bir işleme temeli yapılmıştır. Uygulamada, şirketlerin güvenlik amacıyla yürüttüğü kamera kayıt süreçleri gibi durumlar bu şart kapsamında değerlendirilerek hukuka aykırılık unsuru bertaraf edilmektedir.