Kişisel Verilerin İşlenme Şartları
Kişisel Verilerin İşlenme Şartları
1. Kişisel Veri Nedir?
Kişisel veri; fiziksel, zihinsel, ekonomik, kültürel veya sosyal kimliği ile bağlantılı olarak gerçek kişiye ilişkin tespit edilebilir herhangi bir bilgidir. Kişisel veri, Kişisel Verilerin Korunması Kanunu’nda kimliği belirli veya belirlenebilir olmak şartıyla, bir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır.
Bir kimsenin adı, soyadı, doğum tarihi ve doğum yeri, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri kapsamındadır.
2. Kişisel Verilerin İşlenmesi
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem kişisel verilerin işlenmesidir.
3. Kişisel Verilerin Korunma Amacı
Türkiye’de, özel hayatın gizliliği temel alınarak, 21. yüzyılın gelişen teknolojisine, değişen ticari teamüllerine uyum sağlayabilmek ve mal/hizmet sağlayanların verilerinin istismarının önüne geçmek amacıyla Kişisel Verilerin Korunması Kanunu 07.04.2016 tarihinde Resmi Gazetede yayımlanarak yürürlüğe koyulmuştur. Kanun, kişisel verilerin istismarının önüne geçerken, başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumayı ve firmaların uluslararası ortak pazardaki yerini daha ileriye taşımayı ve güvenilirliği arttırmayı hedeflemektedir.
4. Kişisel Verilerin İşlenme Şartları
Kişisel verilerin işlenme şartları Kanunun 5. maddesinde sayılmıştır. Kişisel verileri işlenecek ilgili kişi, kişisel verilerinin işlenmesine izin vermediği takdirde, kişisel verilerin işlenmesi esasen yasaktır. Ancak Kanunun 5. maddesinin 2. fıkrasında sayılan hallerde, kişisel verileri işlenen ilgili kişinin açık rızasına gerek olmaksızın, kişisel verilerin amaçla sınırlı olarak işlenebileceği belirlenmiştir. Ayrıca belirtmek gerekir ki kişisel verilerin işlenme şartları, yani hukuka uygunluk halleri, Kanunda sayma yoluyla belirlenmiş olup, bu şartlar yorum yoluyla veya başka suretle genişletilemez.
Kişisel verilerin işlenme şartları, her bir kişisel veri işleme faaliyetinin amacının Kanun bakımından hukuki dayanağını oluşturmaktadır. Kişisel veri işleme faaliyetinin amacında birden fazla sayıda kişisel veri işleme şartı bulunabilir. Örneğin, maaş bordrosu düzenlemek amacıyla çalışanların kişisel verilerinin işlenmesinin hukuki dayanağı, kişisel veri işleme şartlarından sözleşmenin ifası ve veri sorumlusunun hukuki yükümlülüğünün yerine getirilmesidir.
a. Açık Rıza
Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. Kişisel verileri işlenen ilgili kişinin, verileri işlenmeden önce aydınlatılarak açık rızası alınmalıdır. Bu kapsamda verisi işlenen kişi; işlenecek verinin niteliği, işlemenin amacı, veri sorumlusunun kimliği, alıcılar ve veri sahibinin hakları konusunda doğru, tam, açık, sade ve anlaşılır bir dilde aydınlatılmalıdır. İlgili kişi daha önce kişisel verilerinin işlenmesine dair verdiği rızasını da istediği zaman geri alabilir. Ancak bu durumun sonuçları hakkında da aydınlatılmalıdır.
b. Kanunlarda Açıkça Öngörülmesi
Kişisel verilerin işlenmesinde, açık rızanın aranmasının zorunlu olmadığı bazı kanuni düzenlemeler olabilmektedir. Kanunlarda kişisel verilerin işlenebileceğine ilişkin bir hüküm bulunması halinde, ilgili kişinin açık rızası alınmadan da kişisel verileri işlenebilir. Burada önemli olan husus, kişisel verinin açık rıza aranmaksızın işlenebileceğine ilişkin bir kanuni düzenleme bulunması ve veri sorumlusunun ilgili kişisel veriyi işlemek zorunda olmasıdır. Örneğin bir işletmede yahut kamu kurumunda çalışan kişiye ait özlük bilgilerinin kanun gereği tutulması bu kapsamdadır.
c. Fiili İmkânsızlık Olması
Bazı hallerde ilgili kişi, elde olmayan nedenlerle açık rızasını açıklayamayacak durumda olabilir. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde, ilgili kişinin kişisel verileri işlenebilecektir. Burada önem arz eden husus kişisel verilerinin işlenmesiyle ilgili kişinin içinde bulunduğu tehlike veya zararın önlenebilir olmasıdır. Örneğin, bir mağazada alışveriş yaparken epilepsi krizi geçiren kişinin mağaza personeli tarafından kimliğinin kontrol edilmesi durumunda kişisel veriler açık rıza olmadan işlenebilir.
d. Sözleşmenin Kurulması veya İfası İçin Gerekli Olması
Bir sözleşmenin akdedilmesi veya bu sözleşmeden doğan yükümlülüklerin yerine getirilebilmesi için bazı kişisel verilerin işlenme zorunluluğu ortaya çıkabilmektedir. Böyle durumlarda açık rıza alınmadan kişisel veriler işlenebilir. Ancak bu kapsamda açık rıza alınmadan kişisel verilerin işlenebilmesi için bu veri işleme faaliyetinin sözleşmenin kurulmasıyla doğrudan ilgili olması ve veri işleme faaliyeti olmadan sözleşmenin borçları ifa edilemeyecek olması gerekmektedir. Örneğin yapılan bir sözleşme gereği paranın ödenmesi için alacaklı tarafın hesap numarasının alınması veya bankayla kredi sözleşmesi yapılması sırasında bankanın, o kişiye ait maaş bordrosunu, tapu kayıtlarını, icra borcu olup olmadığına dair belgeyi edinmesi bu kapsamdadır.
e. Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirebilmesi İçin Zorunlu Olması
Veri sorumlularının kanundan kaynaklanan bazı yükümlülükleri bulunmaktadır. Bu yükümlülüklerin yerine getirilebilmesi için de bazı kişisel verilerin işlenme zorunluluğu ortaya çıkabilmektedir. Böyle bir durumun varlığı halinde ilgili kişinin açık rızası alınmadan kişisel verileri işlenebilir. Ancak veri sorumlusunun bu kapsamda açık rıza olmaksızın kişisel verileri işleyebilmesi için mevzuat gereğince uymak zorunda olduğu bir yükümlülüğü olmalı ve bu yükümlülüğün yerine getirilebilmesi için kişisel verilerin işlenmesi zorunlu olmalıdır. Örneğin Vergi Hukuku ve Sosyal Güvenlik Hukuku alanındaki sorumluluklar bu kapsamdadır. Yine taşıma işiyle yükümlü bulunan kargo firması tarafından, kişiye teslimat yapılabilmesi için, alıcının adres ve iletişim bilgilerinin kaydedilmesi bu kapsamdadır.
f. Kişisel Verilerin İlgili Kişi Tarafından Alenileştirilmiş Olması
İlgili kişinin kendisi tarafından herhangi bir şekilde kamuoyuna açıklamış olduğu kişisel veriler açık rıza alınmaksızın işlenebilir. Zira ilgili kişi tarafından alenileştirilen ve böylelikle herkes tarafından bilinebilecek hale gelen bu tür verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir. Ancak bir kişinin kişisel verilerinin herkesin görebileceği bir yerde olması, aleni olduğu ve kullanılabileceği anlamına gelmez. Aleni hale getirmeyi ilgili kişinin kendisi yapmalıdır. Ayrıca, alenileştirme durumunda, kişisel verinin amacı dışında da kullanılmaması gerekmektedir. Örneğin gazeteye ilan veren ve kişisel bilgilerini paylaşan veya elektronik ticaret sitesinde bilgilerini paylaşan kişinin verileri bu kapsamdadır.
g. Kişisel Verilerin İşlenmesinin Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Zorunlu Olması
Bir hakkın tesisi, bu hakkın kullanılması veya korunması için kişisel verilerin işlenmesinin zorunlu olması halinde, ilgili kişinin açık rızası alınmaksızın kişisel veriler işlenebilir. Ancak burada önemli olan husus hakkın kurulması, kullanılması veya korunması için kişisel verinin işlenmesinin zorunlu olmasıdır. Örneğin işçilerin AGİ sebebiyle çocuk sayısının işlenmesi, işten ayrılan bir çalışana ait gerekli bilgilerin dava zamanaşımı boyunca saklanması, bir şirketin kendi çalışanı tarafından açılan bir davada ispat için bazı verileri kullanması veya kısıtlı bir kişinin haklarının korunması amacıyla vasinin veya kayımın, kasıtlının mali bilgilerini tutması bu kapsamdadır.
h. Veri Sorumlusunun Meşru Menfaatleri İçin Veri İşlenmesinin Zorunlu Olması
Bazı hallerde veri sorumlusunun kişisel verileri işlemede meşru bir menfaati olabilir. Böyle hallerde kişisel veriler açık rıza alınmaksızın işlenebilmektedir. Ancak bu kapsamda kişisel verilerin işlenebilmesi için ilgili kişinin temel hak ve özgürlüklerine zarar vermemesi ve meşru menfaat için kişisel verilerin işlenmesinin zorunlu olması gerekir. Örneğin bir şirketin, çalışanlarının temel hak ve özgürlüklerine zarar vermemek kaydıyla, onların terfileri, maaş zamları yahut sosyal haklarının düzenlenmesinde veya işletmenin yeniden yapılandırılması sürecinde görev ve rol dağıtımında esas alınmak üzere çalışanların kişisel verilerini işlemesi bu kapsamdadır.
5. Özel Nitelikli Kişisel Veri Nedir?
Kanunun 6. maddesinde hangi kişisel verilerin, özel nitelikli kişisel veri olduğu tek tek sayılmıştır. Buna göre bir kimsenin; ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi, diğer inançları, kılık kıyafeti, dernek, vakıf, sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti, güvenlik tedbirleri, biyometrik ve genetik verileri özel nitelikli kişisel veridir. Bu veriler başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikte verilerdir. Bu nedenle Kanunda bu kişisel verilerin daha özenli korunması gerektiği hükme bağlanmıştır.
İlgili kişi, özel nitelikli kişisel verilerinin işlenmesine açık rıza vermediği takdirde kişisel verilerin işlenmesi de esasen yasaktır. Ancak kanunda açık rıza olmadan kişisel verilerin işlenebileceği bazı haller düzenlenmiştir. Bu şartlardan birinin varlığı halinde açık rıza olmadan özel nitelikli kişisel veriler işlenebilir.
Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanın planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Ayrıca özel nitelikli kişisel verilerin işlenmesinde, Kurul tarafından belirlenen yeterli önlemlerin alınması zorunludur.
Kişisel verilerin korunması kapsamında; veri sorumluları siciline kayıt yükümlülüğü, aydınlatma yükümlülüğü, envanter hazırlanması, veri politikası hazırlanması gibi Kişisel Verilerin Korunması Kanunu’na uyum sürecinde şirketlere danışmanlık hizmetleri vermekteyiz. Kişisel verilerin korunması ile ilgili olarak hukuki bilgi ve görüş almak üzere bizimle iletişime geçebilirsiniz.