Makale
Kuzey Kıbrıs Türk Cumhuriyeti ve Türkiye Cumhuriyeti hukuk sistemlerinde kişisel verilerin işlenmesi kural olarak yasaktır. Mevzuatta öngörülen rıza veya diğer hukuka uygunluk nedenlerinin varlığı halinde veri işleme faaliyetleri yasal zemine oturur. Bu metinde, her iki hukuktaki kişisel veri işleme şartları detaylıca analiz edilmektedir.
KKTC ve Türk Hukukunda Kişisel Veri İşleme Şartları
Kişisel verilerin hukuka uygun olarak işlenebilmesi için yasa koyucu tarafından belirlenen ve sınırları kesin olarak çizilen hukuki dayanakların bulunması zorunludur. Hem Kuzey Kıbrıs Türk Cumhuriyeti hem de Türkiye Cumhuriyeti mevzuatında kişisel verilerin işlenmesinde temel kural, bu eylemin genel bir yasaklamaya tabi olmasıdır. Bu genel yasağın istisnaları, ilgili veri koruma mevzuatlarında işlenme şartları veya hukuka uygunluk nedenleri olarak adlandırılmaktadır. Her iki hukuk sisteminde de veri sorumluları, yürüttükleri faaliyetlerde mutlak surette bu yasal çerçeveye dayanmak zorundadır. Kişisel veri işleme faaliyetinin hukuka uygunluğu, yasalarda sayma yoluyla ve sınırlı olarak belirlenen bu şartlardan en az birinin mevcut olmasına bağlıdır. İlgili şartların kapsamının genişletilmesi mümkün olmadığından, her somut olayda veri işleme sürecinin yasal dayanağının titizlikle incelenmesi ve hukuki güvenlik ilkesi gereği veri öznesinin haklarının korunması esastır.
KKTC Hukukunda Kişisel Veri İşleme Şartları
Kuzey Kıbrıs Türk hukukunda kişisel verilerin işlenmesi, 89/2007 sayılı Kişisel Verilerin Korunması Yasası kapsamında düzenlenmiştir. İlgili yasanın 6. maddesi uyarınca, veri işleme faaliyetinin yasal zemine oturması için öncelikli şart, bilgiye konu kişinin şüpheye sebebiyet vermeyecek onayı olarak belirlenmiştir. Yasa koyucu bu onayın yanı sıra rıza olmaksızın verilerin işlenebileceği meşru halleri de ayrıca sıralamıştır. Bunlar arasında; kontrolörün tabi olduğu yasal yükümlülüğü yerine getirmesi, bilgiye konu kişinin taraf olduğu bir sözleşmenin yerine getirilmesi için gerekli olması ve kişinin hayati çıkarlarının korunması yer almaktadır. Ayrıca, kamu çıkarı adına bir görevin ifası veya kontrolörün yasal çıkarları amacıyla gerekli olması durumlarında da, bilgiye konu kişinin temel hak ve özgürlükleri üstün gelmedikçe kişisel veriler işlenebilmektedir. Bu şartların tümü katı bir incelemeye tabidir.
Türk Hukukunda Kişisel Veri İşleme Şartları
Türk hukukunda veri işleme koşulları, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 5. maddesinde detaylandırılmıştır. Türk kanun koyucusu temel şart olarak ilgili kişinin açık rızası kavramını benimsemiş ve açık rızayı belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlamıştır. Açık rıza bulunmayan durumlarda veri işlenebilmesi için kanunlarda açıkça öngörülme veya fiili imkânsızlık nedeniyle rızasını açıklayamayacak kişinin hayatı ya da beden bütünlüğünün korunması için zorunluluk bulunması şartları aranmaktadır. Buna ek olarak; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi ve ilgili kişinin kendisi tarafından alenileştirilmiş olması gibi dayanaklar mevzuatta yer alır. Son olarak, bir hakkın tesisi, kullanılması veya korunması ile ilgili kişinin temel haklarına zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için zorunluluk bulunması durumları yasal işleme şartlarındandır.
Hassas (Özel Nitelikli) Kişisel Verilerin İşlenmesi
Nitelikleri gereği bireylerin ayrımcılığa uğrama riskini barındıran hassas veriler, her iki hukuk sisteminde de çok daha sıkı koruma rejimine tabi tutulmuştur. KKTC mevzuatında 89/2007 sayılı Yasa, hassas verilerin işlenmesini kural olarak yasaklamış; istisna olarak ancak bilgiye konu kişinin açık onayı ile veya kişinin yasal/fiziksel olarak onay veremediği durumlarda kendisinin ya da başkasının hayati çıkarlarının korunması amacıyla işlenmesine izin vermiştir. Türk hukukunda ise 6698 sayılı Kanun özel nitelikli kişisel verileri sağlık, cinsel hayat ve diğer özel nitelikli veriler olarak ikili bir ayrıma tabi tutmuştur. Sağlık ve cinsel hayat dışındaki özel nitelikli veriler kanunlarda öngörülen hallerde açık rıza aranmaksızın işlenebilirken; sağlık ve cinsel hayata ilişkin veriler ancak sır saklama yükümlülüğü altında bulunan kişiler tarafından kamu sağlığının korunması gibi spesifik amaçlarla rızasız işlenebilir. Her iki sistemde de koruma kalkanı yüksektir.
Hukuk Sistemleri Arasındaki Temel Farklılıklar
İki hukuk sistemi temel felsefede aynı yönde olsa da, işleme şartlarının formülasyonu açısından önemli uygulama farklılıklarına sahiptir. KKTC mevzuatı AB Direktifi odaklı bir yaklaşım sergileyerek onay şartını şüpheye sebebiyet vermeyecek onay olarak daha geniş tarif ederken, Türk hukuku açık rıza kavramını çok daha katı ve belirli şartlara bağlamıştır. Hayati çıkarların korunması şartında KKTC genel verilerde sadece bilgiye konu kişinin menfaatini ararken, Türk hukuku kendisinin veya bir başkasının hayatı diyerek çerçeveyi geniş tutmuştur. Diğer taraftan, Türk hukukunda yer alan verinin ilgili kişi tarafından alenileştirilmesi ve bir hakkın tesisi, kullanılması veya korunması şartları, KKTC mevzuatında bağımsız birer hukuka uygunluk nedeni olarak açıkça düzenlenmemiştir. Aşağıdaki veri tablosunda söz konusu yasal şartların mevzuatsal eşleşmesi özetlenmektedir.
| İşleme Şartı Konusu | KKTC Hukuku (89/2007 Sayılı Yasa) | Türk Hukuku (6698 Sayılı Kanun) |
|---|---|---|
| Temel Rıza Kavramı | Şüpheye Sebebiyet Vermeyecek Onay | Açık Rıza |
| Hayati Çıkarın Korunması | Sadece Bilgiye Konu Kişi İçin (Genel Veride) | Kişinin Kendisi veya Bir Başkası İçin |
| Kanuni Gereklilik | Yasal Yükümlülüğün Yerine Getirilmesi | Kanunlarda Açıkça Öngörülmesi |
| Sözleşme İfası | Taraf Olunan Sözleşme İçin Gerekli Olması | Sözleşmenin Kurulması/İfasıyla Doğrudan İlgili Olması |
| Alenileştirme | Yasada Bağımsız Şart Olarak Düzenlenmemiştir | İlgili Kişinin Kendisi Tarafından Alenileştirilmesi |
| Hassas Veri İstisnası | Açık Onay veya Hayati Çıkar | Açık Rıza veya Kanun / Sır Saklama Yükümlülüğü |