Makale

6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin yasal sınırlar çerçevesinde ve bireylerin temel hak ve özgürlüklerini ihlal etmeyecek şekilde işlenmesini güvence altına almaktadır. Veri sorumluları tarafından gerçekleştirilen kişisel veri işleme faaliyeti, verilerin ilk defa elde edilmesinden başlayarak depolanması, değiştirilmesi, aktarılması veya erişilebilir hale getirilmesi gibi çok çeşitli işlemleri kapsamaktadır. Bu faaliyetlerin hukuka uygun kabul edilebilmesi için, kanun koyucu tarafından belirlenen genel ilkelere mutlak surette uyulması ve işlemenin kanunda tahdidi olarak sayılan hukuka uygunluk nedenlerinden en az birine dayandırılması gerekmektedir. İster otomatik yollarla ister bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlensin, tüm veri işleme süreçleri anayasal güvenceler ışığında titizlikle yürütülmelidir. Hukuki dayanaktan yoksun veya genel ilkelere aykırı olarak gerçekleştirilen her türlü işleme faaliyeti, yasal yaptırımları beraberinde getirecektir.

Kişisel Verilerin İşlenmesinde Hâkim Olan Temel İlkeler

KVKK'nın dördüncü maddesinde düzenlenen genel ilkeler, kişisel veri işleme faaliyetinin adeta ruhunu oluşturmakta olup, bu ilkelere uyulması mutlak bir hukuki zorunluluktur. Öncelikle tüm veri işleme süreçlerinin hukuka ve dürüstlük kurallarına uygun olması, ilgili kişinin menfaatlerinin gözetilerek şeffaf bir şekilde yürütülmesi şarttır. İşlenen verilerin doğru ve gerektiğinde güncel tutulması, veri sahibinin maddi ve manevi zararlara uğramasını engellemek adına veri sorumlusuna aktif bir özen yükümlülüğü yüklemektedir. Verilerin belirli, açık ve meşru amaçlar için işlenmesi kuralı, veri toplama amacının hukuki çerçevede net olarak belirlenmesini emreder. Buna ek olarak, işlenen veriler amaçla bağlantılı, sınırlı ve ölçülü olmalı; yani amaca hizmet etmeyen veya ileride kullanılabileceği ihtimaliyle ihtiyaç dışı veri toplanmasından, diğer bir deyişle veri minimizasyonu ilkesine aykırı hareketlerden kaçınılmalıdır. Son olarak, kişisel veriler ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmeli, süre bitiminde yasal usullere uygun şekilde silinmeli veya yok edilmelidir.

Kişisel Verilerin İşlenmesinde Hukuka Uygunluk Nedenleri

Açık Rıza ve Geçerlilik Şartları

Kişisel verilerin işlenmesinde temel kural, veri işleme faaliyetinin hukuka uygunluk sebeplerine ve ilgili kişinin rızasına dayanmasıdır. KVKK kapsamında açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmıştır. Bu tanımdan anlaşılacağı üzere, açık rızanın geçerli olabilmesi için verilerin ne amaçla işleneceğinin belirli olması, ilgili kişinin aydınlatma yükümlülüğü çerçevesinde eksiksiz şekilde bilgilendirilmesi ve iradesinin hiçbir baskı altında kalmadan özgürce açıklanmış olması gerekmektedir. Kanun, rızanın şekli konusunda özel bir şart öngörmese de, hukuki ihtilafları önlemek adına rızanın tereddüde yer bırakmayacak bir açıklıkta verilmesi şarttır; dolayısıyla örtülü rıza hukuken geçerli kabul edilmemektedir. Veri sorumlusunun çoklu veri işleme amaçları gütmesi halinde, her bir amaç için ayrıca rıza alması hukuki bir gerekliliktir. İlgili kişinin verdiği açık rızayı geri alması durumunda ise veri işleme faaliyeti derhal durdurulmalıdır, aksi takdirde hakkın kötüye kullanılması yasağı ihlal edilmiş sayılacaktır.

Açık Rıza Aranmayan İstisnai Durumlar

KVKK, açık rıza alınmasının kural olduğunu belirtmekle birlikte, beşinci maddesinde açık rıza aranmaksızın kişisel veri işlenebilecek bazı istisnai hukuka uygunluk nedenlerini sınırlı sayı ilkesiyle saymıştır. Bu şartlardan herhangi birinin varlığı halinde, veri sorumlusunun ayrıca açık rıza talep etmesi hukuka aykırı ve ilgili kişiyi yanıltıcı bir tutum olarak değerlendirilmektedir. Açık rıza olmaksızın veri işlenebilmesi için aşağıdaki yasal dayanıklardan birinin bulunması zorunludur:

• Fiilin işlenmesinin kanunlarda açıkça öngörülmesi.
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan kişinin hayatı veya beden bütünlüğünün korunması.
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla taraflara ait verilerin işlenmesinin gerekli olması.
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
• İlgili kişinin kişisel verisini kendi iradesiyle alenileştirmiş olması.
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin mecburi olması.
• Kişinin temel haklarına zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için zorunlu olması.

Özel Nitelikli Kişisel Verilerin İşlenme Şartları

KVKK'nın altıncı maddesinde, bireylerin ayrımcılığa uğrama riskini barındıran özel nitelikli kişisel veriler daha katı bir koruma rejimine tabi tutulmuştur. Kural olarak bu verilerin işlenmesi yasaklanmış olmakla birlikte, mevzuatta yapılan güncellemeler ışığında açık rıza şartı ile diğer hukuka uygunluk sebepleri eşit ağırlıkta alternatifler olarak düzenlenmiştir. Özel nitelikli verilerin işlenebilmesi için ilgili kişinin açık rızasının varlığı, fiili imkânsızlık, söz konusu verinin bizzat ilgili kişi tarafından alenileştirilmiş olması veya bir hakkın tesisi gibi sınırlı yasal sebeplerden birinin bulunması gerekmektedir. Ayrıca, istihdam ilişkilerinde iş sağlığı ve güvenliği yükümlülüklerinin yerine getirilmesi amacıyla da bu veriler işlenebilmektedir. Önemle vurgulanmalıdır ki, hukuka uygunluk şartları mevcut olsa dahi, özel nitelikli kişisel verilerin işlenmesi süreçlerinde Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemlerin alınması veri sorumlusu için mutlak bir idari ve teknik zorunluluktur.