| Okuma Süresi: 8 Dakika

KİŞİSEL VERİLERİN İŞLENMESİNDE HUKUKA UYGUNLUK SEBEPLERİ

AV. ALİ HAYDAR GÜL

 

  1. Genel Olarak

07.04.2016 tarihinde Resmi Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu ile kişisel verilere yönelik ilk özel yasa çıkarılmıştır. 6698 sayılı Kanun öncesinde hukukumuzda kişisel verilere yönelik koruma, Anayasa, Uluslararası Sözleşmeler, Türk Borçlar Kanunu, Türk Medeni Kanunu, Türk Ceza Kanunu ve İş ve Sosyal Güvenlik mevzuatı ile sağlanmaktaydı. 6698 sayılı Kanun’un yürürlüğe girmesi ile birlikte kişisel verilere yönelik özel düzenlemeler uygulama alanı bulmuştur. Bu bağlamda işbu çalışmamızda kişisel verilerin işlenmesinde hukuka uygunluk sebepleri incelenecektir. Belirtmek isteriz ki; kişisel verilerin işlenmesine ilişkin ilkeler ve aydınlatma yükümlülüğü işbu çalışmamızın konusunu oluşturmamakta olup; hukuka uygunluk sebepleri ele alınırken bu hususlara değinilmeyecektir.

 

  1. Kişisel Veri ve Kişisel Verinin Korunması Hassasiyeti

Kişisel veri, belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bir diğer deyişle gerçek kişinin adı, soyadı, cinsiyeti, din bilgisi, telefon numarası, araç plaka numarası, kimlik numarası, kan grubu ve benzeri tüm bilgileri, kişisel veri, niteliğindedir.

 

Kişisel veri, gerçek kişiye yönelik bilgileri içeriyor olması ve bu bilgiler neticesinde gerçek kişiye ilişkin çıkarımlar yapılabiliyor olması nedeniyle birey açısından son derece hassas bir nitelik taşımaktadır. Günümüzde gelinen noktada yiyecek tercihlerimizden, sevdiğimiz müziklere, girdiğimiz internet sitelerine, yapacağımız tatil planlarına, kullandığımız ilaçlara kadar hayatımızın her anı üçüncü kişilerce izlenmekte ve başka üçüncü kişilere çeşitli amaçlarla aktarılmaktadır. Bu durumun sonucunda ise bir bilgi pazarı oluşmakta ve kişisel verilerimiz, farkında dahi olmamıza rağmen üçüncü kişiler tarafından kullanılmaktadır. Öyle ki, oluşan bilgi pazarı, kimi zaman gayrimeşru bir istihbarat teşkilatını andırmakta, bu suretle bireylerin hassasiyet içeren pek çok verisi, bireyin bilgisi ve rızası dışında kullanılmakta ve birey aleyhine sonuçlar ortaya çıkmaktadır. Bu nedenle de kişinin özel hayatının gizliliğinin ve bilgi güvenliğinin temini amacıyla kişisel verilerinin korunması gerekmektedir.

 

Bu bağlamda değinmekte fayda bulunmaktadır ki; 6698 sayılı Kişisel Verilerin Korunması Kanunu, özel hayatın gizliliği ve bilgi güvenliği hakları temelinde kişisel verilerin korunması hakkına dair detaylı bir düzenlemeyi içermekte olup; kişisel verilerin hukuka aykırı olarak işlenmesinin önüne geçilmesinde çok önemli rol alacaktır. Nitekim Kanun’un amacı, 1. maddesinde ‘’ kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek ‘’ şeklinde tanımlanmış olup; Kanun’un yöneldiği amaç da kişisel verilerin hassas bir şekilde korunması gerektiğine işaret etmektedir.

 

  1. Kişisel Verinin İşlenmesi

İşleme kavramı, zihinlerde ilk olarak kaydetme, muhafaza etme, saklama gibi kavramları çağrıştırsa da bu kavram, 6698 sayılı Kanun’da çatı kavram olarak kullanılmıştır. Bir diğer deyişle Kanun’a göre işleme kavramı, yalnızca kaydetme, muhafaza etme, saklama gibi anlamlara karşılık gelmemekte, kişisel veri üzerindeki her türlü tasarrufu ihtiva etmektedir. Buna göre; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, kişisel verinin işlenmesi anlamına gelmektedir.

 

 

 

  1. Kişisel Verinin İşlenmesinde Hukuka Uygunluk Sebepleri

Kanun ile kişisel verilerin işlenmesinin hukuka uygun kabul edilebilmesi, Kanun’un 5/2 ve 6/3 maddelerinde ifade edilen hukuka uygunluk sebeplerinin bulunmasına bağlanmıştır. Bir diğer deyişle Kanun’da ifade edilen hukuka uygunluk sebeplerinden herhangi birinin somut olayda mevcut olmaması halinde kişisel verinin işlenmesi mümkün olmayacaktır. Bu noktada önemle belirtmekte fayda bulunmaktadır ki; her bir hukuka uygunluk sebebi, veri bazında değerlendirilmeli, somut olayda herhangi bir hukuka uygunluk sebebinin mevcut olması, veri sahibinin tüm kişisel verilerinin hukuka uygun bir şekilde işlenebileceği biçiminde yorumlanmamalıdır.

 

Kanun’da kişisel verinin işlenmesinde temel hukuka uygunluk sebebi, veri sahibinin açık rızası olarak belirlenmiş ve fakat devam eden düzenlemelerle de veri sahibinin açık rızası alınmaksızın kişisel verinin işlenebilmesini sağlayan hukuka uygunluk sebepleri düzenleme altına alınmıştır. Bu bağlamda Kanun’da ifade edilen her bir hukuka uygunluk sebebi aşağıda tek tek ele alınacaktır.

 

  1. Açık Rıza

Açık rıza, Kanun’da, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmıştır. Görüldüğü üzere; belirtilen üç unsurun bir arada bulunması halinde açık rızadan söz edilebilecektir. Bu bağlamda her bir unsura ayrı ayrı değinmekte fayda bulunmaktadır.

 

Açık rızanın belirli bir konuya ilişkin olması: Yukarıda da değinildiği üzere; kişisel veri, birey açısından son derece hassas bir nitelik taşıması nedeniyle korunmaya ihtiyaç duymaktadır. Kanun, bu hassasiyeti amaç edinmiş olup; bu amaç, hukuka uygunluk sebeplerine de sirayet etmiş ve temel hukuka uygunluk sebebi olan açık rızanın belirli bir konuya ilişkin olması, şart koşulmuştur. Açık rızanın belirli bir konuya ilişkin olması ifadesinden rızanın bir konuya özgülenmesi anlaşılmalıdır. Bir diğer deyişle veri sahibi, açık rızasını ortaya koyduğunda bu rızanın tam olarak ne için verildiğinin tespit edilebilmesi gerekmektedir. Dolayısıyla bu unsur ile torba rıza oluşumunun önüne geçilmeye çalışılmış ve Kanun’un amacına ulaşılması hedeflenmiştir.

 

Bu noktada veri sorumluları, veri sahiplerinden açık rıza alırken, veri işleme faaliyetini belirli amaçlara özgülemelidirler. Aksi takdirde veri sahibinin tüm kişisel verilerinin veri sorumlusu tarafından işlenebileceğine dair verilen rıza, açık rıza niteliğinde olmayacak ve dolayısıyla hukuka aykırı bir veri işleme faaliyeti söz konusu olacaktır.

 

Açık rızanın bilgilendirilmeye dayanması: Veri sorumlusu, veri sahibinin açık rızasını alırken veri işleme faaliyetinin hangi amaçlarla yapıldığını, hangi kişisel verilerin işleneceğini, işlemenin hangi halleri kapsadığını (aktarma, yeniden düzenleme, sınıflandırma ve benzeri) açık ve net bir biçimde veri sahibinin dikkatine sunmalıdır. Bu bağlamda ifade etmek gerekir ki; her ne kadar Kanun’da açık rızanın alınması belirli bir şekil şartına bağlanmamış olsa dahi, veri sorumlusu, bilgilendirme unsurunu hukuka uygun bir şekilde yerine getirdiğini ispat edebilmek için bu hususu yazılı bir şekilde kayıt altına almalıdır. Aksi takdirde veri sorumlusu, gelecekte yaşanabilecek uyuşmazlıklar sırasında ispat yükünü yerine getirmekte zorluklar yaşayabilecektir.

 

Açık rızanın özgür iradeyle açıklanması: Açık rızanın tamamlayıcı unsuru, açık rızanın özgür iradeyle açıklanmasıdır. Özgür irade kavramı ile anlaşılması gereken veri sahibinin iradesinin her türlü etki ve baskıdan uzak olması halidir. Bir diğer deyişle veri sahibi, lehine veyahut da aleyhine herhangi bir durum ile karşı karşıya olmaksızın bu iradeyi ortaya koymalıdır. Bu kapsamda veri sahibinin kişisel verilerinin işlenmesine açık rıza gösterdiğinde bir hak elde edecekse veyahut da tam tersi bir şekilde bir hak kaybı yaşayacaksa, bu durumda veri sahibinin özgür iradesinden bahsetmek mümkün olmayacaktır. Uygulamada son zamanlarda sıkça karşılaşıldığı üzere; kimi veri sorumluları, veri sahiplerinin açık rızasını alabilmek adına açık rıza verilmesi halinde çeşitli ürün ve hizmetlere yönelik indirimler gerçekleştirmektedirler. Belirtmek gerekir ki; bu durumlarda veri sahibi, açık rızasını ilgili ürün veya hizmetten indirimli bir şekilde yararlanabilmek adına vermekte olup; bu halde veri sahibinin iradesinin bir etki altında kaldığı sabittir. Bu nedenle de bu uygulamada hukuka uygun bir açık rızadan bahsedebilmek mümkün değildir.

 

  1. Diğer Hukuka Uygunluk Sebepleri

 

Yukarıda da değinildiği üzere; kişisel verinin işlenmesindeki temel hukuka uygunluk sebebi, veri sahibinin açık rızasıdır. Ancak Kanun’da bazı istisnalar öngörülmüş ve bazı durumlarla ilgili olarak açık rızanın olmaksızın veri işleme faaliyetinin gerçekleştirilebilmesine yönelik hukuka uygunluk sebepleri düzenlenmiştir. Buna göre, Kanun’da yer alan diğer hukuka uygunluk sebepleri aşağıda dikkatlerinize sunulmaktadır.

 

-Kanunlarda açıkça öngörülme: Veri sorumlusu, veri işleme hakkının Kanun ile kendisine tanınması halinde, veri sahibinin açık rızasını almaksızın kişisel verisini işleyebilecektir. Örneğin İş Kanunu’nun 75. maddesine göre; işveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır. Bu bağlamda işverenin açık rıza olmaksızın özlük dosyası kapsamında bulunması gereken kişisel verilerle sınırlı olarak çalışanlarının kişisel verilerini işlemesi kanunlarda açıkça öngörülmesi nedeniyle hukuka uygun bir veri işlemesidir.

 

-Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması: Bu durumda da veri sorumlusu, veri sahibinin açık rızası olmaksızın kişisel verisini işleyebilecektir. Örneğin kişinin bilincini kaybetmesi halinde veri sorumlusu, kişinin kişisel verilerini sağlık kuruluşuna aktarmak suretiyle veri işleme faaliyetini gerçekleştirebilecektir.

 

-Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması: Sözleşmelerin kurulması veyahut da ifa edilmesi pek çok defa sözleşme taraflarının kişisel verilerinin işlenmesini gerektirmektedir. Kanun koyucu da bu hususu göz önünde bulundurarak, bu durumu ayrı bir hukuka uygunluk sebebi olarak düzenlemiştir. Örnek vermek gerekirse, iş sözleşmesi kurulmadan işçinin özgeçmişinde yer alan kişisel verilerin işveren tarafından işlenmesi, hukuka uygunluk sebebini içermektedir. Yine ürün satışı sonrasında fatura keşide edebilmek için müşteri verilerinin işlenmesi de aynı hukuka uygunluk sebebini içermektedir.

 

-Veri sorumlusunun hukuki yükümlülüğünün yerine getirilebilmesi için zorunlu olması: Veri sorumlusunun, bir hukuki yükümlülüğünü yerine getirmek için kişisel veri işlemesinin zorunlu olduğu hallerde de açık rıza alınmasına gerek bulunmamakta olup; bu durum, hukuka uygunluk sebebini içermektedir. Örneğin işverenin işe girecek çalışanının sigortalı işe giriş bildirimini yapabilmek için Sosyal Güvenlik Kurumu’na çalışanın kişisel verilerini aktarması, hukuka uygunluk sebebini içermektedir.

 

-Veri sahibi tarafından alenileştirilmiş olması: Veri sorumlusu, veri sahibinin, alenileştirdiği kişisel verilerini açık rızası olmaksızın işleyebilecektir. Örneğin veri sahibinin ürün satışı için sosyal medya hesabından veyahut da internet sitesinden telefon numarasını paylaşması halinde, telefon numarasının işlenmesi hukuka uygunluk sebebini içerecektir. Ancak burada dikkate edilmesi gereken nokta, kişisel verinin alenileştirilme amacıyla sınırlı olarak işlenebileceğidir. Bir diğer deyişle kişisel verinin alenileştirilmiş olması, ilgili verinin işleme amacında bir sınır olmadığı sonucunu doğurmayacaktır. Yukarıdaki örnekte veri sahibi, telefon numarasını ürün satabilmek amacıyla alenileştirmiş olup; bu verinin, veri sahibine ürün satmak amacıyla işlenmesi hukuka uygunluk sebebini içermeyecektir. Dolayısıyla bu durumda veri sahibinin telefon numarasının işlenmesi, veri sahibinin açık rızasına bağlı olacaktır.

 

-Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması: Kişisel veri, bir hakkın tesisi, kullanılması veya korunması için zorunlu olması nedeniyle işleniyorsa, veri sahibinin açık rızası aranmayacaktır. Örneğin işverenin, ücret alacakları ile ilgili ispat yükünü yerine getirebilmek için zamanaşımı süresi boyunca maaş bordrolarını saklaması için işçilerin açık rızasını alması gerekmeyecektir.

 

-İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması: Veri sorumlusu, veri sahibinin temel hak ve özgürlüklerine zarar vermediği sürece meşru menfaatleri doğrultusunda veri sahibinin açık rızası olmaksızın kişisel verilerini işleyebilecektir. Buradaki meşru menfaat, veri sorumlusunun her türlü meşru menfaati olarak değerlendirilmemelidir. Veri sorumlusunun meşru menfaatinin bir hukuka uygunluk sebebi olarak kabul edilebilmesi için öncelikle bu meşru menfaatin veri sahibinin temel hak ve hürriyetine zarar vermemesi ve beraberinde de veri sahibinin kişisel verilerinin korunması hakkından daha üstün olması gerekmektedir. Örneğin bir mağazada can ve mal güvenliğinin sağlanabilmesi için güvenlik kamerası ile görüntü kaydı alınması meşru bir menfaat olarak değerlendirilebilecek ve veri sahibinin açık rızası olmaksızın görüntü kaydı alınabilecektir. Ancak aynı örnekte görüntü kaydı ile birlikte ses kaydının alınması, amacı aşacak, ölçülü olmayacak ve dolayısıyla bu durumda veri sorumlusunun meşru menfaatinden bahsedilemeyeceği için açık rıza olmaksızın veri işleme faaliyeti gerçekleştirilemeyecektir.

 

  1. Özel Nitelikli Kişisel Veriler ve Özel Nitelikli Kişisel Verilerin İşlenmesinde Hukuka Uygunluk Sebepleri

Kişisel veri, mahiyeti itibariyle korunmaya ihtiyaç duymakla birlikte bazı kişisel verilerin daha hassas bir şekilde korunması gerekmektedir. 6698 sayılı Kanun’da bu tip kişisel veriler, özel nitelikli kişisel veri olarak tanımlanmıştır. Özel nitelikli kişisel veriler, Kanun’da sınırlı bir şekilde sayılmıştır. Buna göre; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Belirtmek gerekir ki; özel nitelikli kişisel verilerin veri sahibi tarafından çoğaltılması mümkün olmadığı gibi veri sahibi ile veri sorumlusu arasında yapılacak bir sözleşme ile veyahut da veri sahibinin taahhüdü ile bir verinin özel nitelikli kişisel veri niteliğinin kaldırılması da mümkün değildir.

 

Özel nitelikli kişisel verilerin sınıflandırmasından da görüldüğü üzere; özel nitelikli kişisel veriler, veri sahibine ilişkin son derece hassas bilgiler içermektedir. Öyle ki; özel nitelikli kişisel veriler, veri sahibinin aleyhine kullanıldığı takdirde veri sahibi için onarılmaz durumların ortaya çıkmasına sebep olabilecek, veri sahibinin temel hak ve hürriyetlerine zarar verebilecek niteliktedirler. Bu nedenle de kanun koyucu, özel nitelikli kişisel verilere çok daha hassas yaklaşmış ve bu verilerin işlenmesindeki hukuka uygunluk sebeplerini de sınırlı bir çerçeve ile kısıtlamıştır. Bu kapsamda Kanun’un 6/2 maddesinde özel nitelikli kişisel verilerin işlenmesindeki temel hukuka uygunluk sebebinin veri sahibinin açık rızası olduğu ifade edilmiştir. Yukarıda açık rıza ile ilgili olarak detaylı açıklamaya yer verildiği için bu aşamada tekrar değinilmeyecektir.

 

Devamla Kanun’un 6/3 maddesinde diğer hukuka uygunluk sebepleri düzenlenirken sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ile diğer özel nitelikli kişisel veriler arasında bir ayrıma gidilmiştir. Buna göre; sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, yalnızca kanunlarda öngörülen hallerde veri sahibinin açık rızası olmaksızın işlenebilecektir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir.

 

  1. Makale İçeriği

    Sonuç

Kişisel Verilerin Korunması Kanunu ile hukukumuzda kişisel verilerin korunması özel bir düzenlemeye kavuşmuş olup; Kanun’un amacının gerçekleşebilmesi ve kişisel verilerin gerçek anlamda korunabilmesi için işleme faaliyetlerinde hukuka uygunluk sebeplerinin bulunması son derece önemlidir. Bu bağlamda veri sorumlularının gerek uyum süreçlerinde gerekse de uyum süreçlerinin sonrasında veri işleme faaliyetlerini gerçekleştirirken hukuka uygunluk sebeplerine çok hassas yaklaşmaları gerekmekte ve tüm veri işleme faaliyetlerinin hukuka uygunluk sebeplerini içermesine dikkat etmeleri gerekmektedir.