Kişisel Verilerin Korunması Kanunu (“KVKK”) 3. maddesinde kişisel verilerin işlenmesi; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem şeklinde kabul edilmiştir.
Bu verilerin işlenme şartları ise KVKK m.5’te düzenlenerek açıklığa kavuşturulmuş, bir çerçeve çizilmiştir. Kanunda sayılan hallerden en az birinin bulunması halinde kişisel verilerin işlenmesi mümkün kılınmıştır.
Buna göre;
- İlgili kişinin açık rızasının varlığı,
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
hallerinde ilgili kişilerin verileri işlenebilir.
Kanunda ifade edilen bu hukuka uygunluk nedenleri sınırlı sayma yoluyla belirtilmiş olup genişletilemez.
Bu noktada “açık rıza şartı” için vurgulanması gereken bir husus bulunmaktadır. Bir veri işleme faaliyet açık rıza dışındaki diğer şartlara dayandırılarak yapılabilmekteyse bu durumda açık rızanın istenmesi etik olmayacak hatta veri sahibi için aldatıcı olacak ve veri sorumlusu için hakkın kötüye kullanımı doğacaktır. Zira, veri sahibinin açık rızasını geri almak suretiyle verilerinin işlenmesini istememe hakkını kullanması halinde veri sorumlusu diğer şartlara dayanarak veri işlemeye devam edebilecektir.
Ancak veri sahibinin iradesi bu yönde değildir. Hukuka ve dürüstlük kuralına aykırı bir biçimde veri işlenmeye devam edecektir. Dolayısıyla, bu şartlar içinde “açık rıza şartı” için özel bir durum bulunmaktadır. Veri sorumlusu, verileri neye dayandırarak işleyeceğini önceden belirlemeli ve bu şartlardan birinin olmaması halinde açık rıza alınması yoluna başvurmalıdır.
-
Açık Rıza Şartı
Bir verinin işlenebilmesi için diğer şartların bulunmaması halinde kişinin açık rızası alınmak zorundadır.
-
Kanunlarda Açıkça Öngörülmesi
Kişisel veri işlenmesiyle ilgili herhangi bir kanunda açık bir düzenleme olması durumunda veya açık bir hüküm ile ikincil mevzuata yönlendirme yapılmışsa kişisel verilerin işlenmesi mümkün kılınmıştır.
Örneğin, İş Kanunu uyarınca işveren işçinin özlük dosyasını düzenlerken işçinin kimlik bilgilerini işleyebilecektir.
-
Fiili İmkânsızlık
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.
Örneğin, kayıp kişinin konum bilgisine ulaşabilmek için yapılan veri işlemeleri bu kapsamda değerlendirilir.
-
Sözleşmenin Kurulması veya İfası İçin Gerekli Olması
Bir sözleşmenin kuruluşuna ya da ifasına hizmet etmesi amacıyla yapılacak ilgili verilerin işlenmesi işlemi bu şarttan yararlanacaktır. Örneğin, bir kredi sözleşmesi için banka müşterisinin verilerini bu şart doğrultusunda işleme hakkına sahip olacaktır.
-
Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirebilmesi İçin Zorunlu Olması
Aynı zamanda bir veri sorumlusu da olan işveren kişinin, vergi denetimi yapılırken çalışanlarının ilgili verilerini paylaşması bu kapsamda değerlendirilir.
-
Kişisel Verilerin İlgili Kişi Tarafından Alenileştirilmiş Olması
Kişinin, verilerini kamuoyu ile paylaşması ile bu veri alenileştirilmiş olacaktır ve bu veriler işlenebilecektir. Ancak, unutulmamalıdır ki bir verinin alenileştirilmiş olması o verinin amacı dışında işlenebileceği anlamına gelmemektedir.
-
Kişisel Verilerin İşlenmesinin Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Zorunlu Olması
Bir çalışanın açmış olduğu davada, davalı şirketin ilgili verilerinin ispat amaçlı olarak kullanılması, işlenmesi buradaki zorunluluk ölçütünde değerlendirilecektir.
-
Veri İşlemenin İlgili Kişinin Temel Hak ve Özgürlüklerine Zarar Vermemek Kaydıyla Veri Sorumlusunun Meşru Menfaatleri İçin Zorunlu Olması
Burada veri sorumlusunun meşru menfaatleri ile verileri işlenecek kişinin temel hak ve özgürlüklerinin korunması adına dengenin kurulması gerekmektedir. Bahsedilen meşru menfaat şartı, tüm kişisel veri işleme faaliyetlerini kanuna uygunluk çerçevesine sokabilmek için bir kılıf olarak kullanılamayacaktır. Elde edilecek fayda, kişinin temel hak ve özgürlükleriyle yarışabilecek seviyede, mevcut ve hazır olmalıdır.
Sonuç
Yukarıda sıraladığımız şartların yokluğu halinde bir kişisel verinin işlenmesi, hukuka aykırılık teşkil edecektir. Konuya ilişkin detaylı bilgi almak için bize buradan ulaşabilirsiniz.
Büromuzun Bilişim Hukuku alanındaki çalışmaları hakkında detaylı bilgiyi internet sayfamızdan alabilirsiniz.