KVKK

Kişisel veri işleme şartları

Kişisel veri işleme şartları, varlığı halinde kişisel verinin işlenmesine olanak veren şartları ifade eder. Bir başka deyişle, kişisel veri işlemenin olmaza olmaz bir aşamasıdır. Gelin, kişisel veri işleme şartları konusuna daha derinden bakalım ve şu sorunun cevabını birlikte verelim: Kişisel veri işleme şartları neler?

Kişisel veri kavramı

Konumuz kişisel veri olduğuna göre, önce bu kavramının tamının kısaca yapmak gerekir. 6698 sayılı Kişisel Verilerin Korunması Kanunu’na göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir.

Kişisel veri kavramını her yönüyle ele aldığım yazıma şu bağlantıdan göz atabilirsiniz: https://mustafabaysal.com/kisisel-veri-nedir/

Kişisel verinin işlenmesi nedir?

Bunlara göz atmadan gidersen, pişman olabilirsin!

Elimizde kişisel veri kavramı mevcut olduğuna göre, şimdi de “kişisel verinin işlenmesi”nin ne anlama geldiğini ortaya koymak gerekir.

Kişisel verinin işlenmesi 6698 sayılı Kişisel Verilerin Korunması Kanunu’na göre; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

Yukarıdaki tanımda yer alan “otomatik olan” ya da “otomatik olmayan” yollarla verilerin elde edilmesi kavramları kafa karıştırıcı olsa da şu yazımda bu hususlara detaylıca değinmiştim: https://mustafabaysal.com/kvkk-kapsami/

kişisel veri işleme şartları

Kişisel veri işleme şartları neden önemli?

Bir veri sorumlusunun, eline geçen her kişisel veriyi işlemesi mümkün değildir. Bir kişisel veri işlemeye başlamadan önce, ilk olarak var olması gereken konu, kişisel verinin işlenmesi şartlarının mevcut olmasıdır.

Bir başka deyişle kişisel veri işleme şartı mevcut olmadığı müddetçe; kişisel veri işlenemez, saklanamaz ve aktarılamaz.

Kişisel veri işlenmesinin ilk şartı: Açık Rıza

Bir kişisel verinin işlenmesi için kural olarak, ilgili kişinin açık rızasının bulunması gerekir. Açık rıza; belirli bir konuya ilişkin ve bilgilendirmeye dayalı olarak, özgür irade ile yapılan bir açıklamadır.

Çok ayrıntılı bir konu olan açık rıza kavramını anlamak noktasında şu yazım size yardımcı olabilir: https://mustafabaysal.com/acik-riza-kvkk/

Kişisel veri işleme şartları neler?

Hemen yukarıda, kişisel veri işleme şartının kural olarak “açık rıza” olduğunu söylemiştim; ancak 6698 sayılı Kanun’un 5’inci maddesinin 2’nci fıkrasında sayılan özel şartların varlığı halinde, artık açık rıza alınması gerekmez.

Daha doğru bir deyişle; 6698 sayılı Kanun’un 5/2 maddesinde sayılı şartlar varsa, artık açık rıza alınmaması ve bu şartların veri işlemek için yeterli kabul edilmesi gerekir.

5/2 maddesinde sayılı kişisel veri işleme şartları şunlardır:

  • Kanunlarda açıkça öngörülmesi
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getire-bilmesi için zorunlu olması
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

Yukarıdaki şartların tamamının bir arada bulunması gerekmez. Bunlarda herhangi birisinin varlığı, verinin işlenmesine imkân verir. Örneğin kişinin açık rızası varsa, başka bir şart aranmasına gerek yoktur. Benzer şekilde, kişinin açık rızası yoksa; ama kanunlarda verinin işlenebileceği açıkça öngörülmüşse, yine başkaca şarta gerek duyulmayacaktır.

özel nitelikli veri işleme şartları

Kişisel veri işleme şartlarına ait kanun gerekçesi

Hemen yukarıda sayılan ve 6698 sayılı Kanun’un 5/2 maddesinde yer alan bu şartlar gözünüze biraz soyut göründüyse, aşağıya eklediğim ve 6698 sayılı Kanun’un 5’inci maddesinin “gerekçesi” olan metinde, kişisel veri işleme şartlarını somutlaştıracak çok başarılı örnekleri bulabilirsiniz:

“Maddeyle, kişisel verilerin işlenme koşulları düzenlenmektedir.

Kural olarak kişisel verilerin ilgili kişinin açık rızası veya maddede sayılan istisnalar dışında işlenmesi yasaktır, 95/46 EC sayılı Avrupa Birliği Direktifine göre rıza, ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanıdır.

Maddenin ikinci fıkrasıyla ilgili kişinin açık rızası olmasa dahi bazı hallerde kişisel verilerin işlenebilmesi öngörülmektedir.

Fıkranın (a) bendine göre ilgili kişinin açık rızası olmasa dahi kanunlarda açıkça öngörülen hallerde kişisel veri işlenebilecektir. Örneğin, kolluk tarafından bir suç soruşturması sebebiyle, 2559 sayılı Polis Vazife ve Salahiyet Kanununun 5 inci maddesi uyarınca şüphelilerin parmak izlerinin alınması; 5352 sayılı Adli Sicil Kanunu uyarınca Adalet Bakanlığının kişilerin ceza mahkûmiyetlerine ilişkin verilerini işlemesi gibi.

Fıkranın (b) bendine göre, rızanın açıklanamadığı ya da geçerli olmadığı hallerde, kişilerin hayat veya beden bütünlüğünün korunması için kişisel verilerin işlenmesi öngörülmektedir. Örneğin kişinin şuurunun yerinde olmadığı veya akıl hastası olması sebebiyle rızasının geçerli olmadığı bir durumda, hayat veya beden bütünlüğünün korunması amacıyla, tıbbi müdahale yapılması sırasında, kişisel verileri işlenebilecektir. Bu bağlamda kan grubu, geçirilen hastalıklar ve ameliyatlar, kullanılan ilaçlar gibi veriler, ilgili sağlık sistemi üzerinden işlenebilecektir. Yine hürriyeti tahdit edilen bir kişinin kurtarılması amacıyla, kendisinin veya şüphelinin taşımakta olduğu telefon, bilgisayar, kredi kartı, banka kartı veya diğer teknik bir araç üzerinden yerinin belirlenmesi için bu veriler işlenebilecektir.

Fıkranın (c) bendine göre, bir sözleşmenin kurulması veya ifasıyla ilgili olarak kişisel veri işlenebilecektir. Örneğin, yapılan bir sözleşme gereği paranın ödenmesi için alacaklı tarafın hesap numarası alınabilecektir. Yine bir bankayla kredi sözleşmesi yapılması sırasında bankanın, o kişiye ait maaş bordrosunu, tapu kayıtlarını, icra borcu olmadığına dair belgeyi edinmesi bu kapsamda değerlendirilecektir.

Fıkranın (ç) bendine göre, veri sorumlusu, hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olan verileri, ilgili kişinin rızası olmasa dahi işleyebilecektir. Örneğin bir şirketin çalışanına maaş ödeyebilmesi için, banka hesap numarası, evli olup olmadığa bakmakla yükümlü olduğu kişiler, eşinin çalışıp çalışmadığı, sosyal sigorta numarası gibi verileri işlemesi bu bendin verdiği yetkiye istinaden olacaktır.

Fıkranın (d) bendine göre, ilgili kişinin kendisi tarafından alenileştirilen bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri işlenebilecektir. Çünkü ilgili kişi tarafından alenileştirilen ve böylelikle herkes tarafından bilinebilecek hale gelen bu tür verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir.

Fıkranın (e) bendine göre, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması durumunda kişisel veriler işlenebilecektir. Bu bağlamda, bir şirketin kendi çalışanı tarafından açılan bir davada ispat için bazı verileri kullanması veya kısıtlı bir kişinin haklarının korunması amacıyla vasinin veya kayyımın, kısıtlının mali bilgilerini tutması hukuka uygun sayılacaktır.

Fıkranın (f) bendine göre, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda da açık rıza şartı aranmaksızın kişisel veriler işlenebilecektir. Buna göre, örneğin bir şirket sahibi, çalışanlarının temel hak ve özgürlüklerine zarar vermemek kaydıyla, onların terfileri, maaş zamları yahut sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve rol dağıtımında esas alınmak üzere çalışanların kişisel verilerini işleyebilecektir. Burada, işletmenin yeniden yapılandırılması ya da ehliyetli ve liyakatli çalışanların terfi almaları, veri sorumlusu statüsündeki şirket sahibinin meşru menfaati cümlesindendir. Kişisel verilerin korunmasına ilişkin temel ilkelere uyulması ve veri sorumlusu ile ilgili kişinin menfaat dengesinin gözetilmesi gerekmektedir.”.

veri işleme şartı

Özel nitelikli kişisel veri işleme şartları neler?

Buraya kadar açıkladığım hususlar kişisel verilerin işleme şartları olsa da bir de “özel nitelikli kişisel veri” kavramımız mevcuttur ki; kişisel verilerin daha da sıkı korunan alt kümesi gibi kabul edebileceğimiz özel nitelikli kişisel veri kavramını şu yazımda incelemiştim: https://mustafabaysal.com/ozel-nitelikli-kisisel-veri/

İşte klasik kişisel verilerden daha sıkı korunan özel nitelikli kişisel verilerin işleme şartları da diğer kişisel verilere göre bir nebze farklıdır.

Buna göre özel nitelikli kişisel veriler de tıpkı normal kişisel veriler gibi kural olarak “açık rıza” ile ancak işlenebilir.

Ancak kişisel verilerin işleme şartları arasında, 6698 sayılı Kanun’un 5/2 maddesinde özel olarak sayılan altı şart yoktur.

Özel nitelikli kişisel verilerin, açık rıza aranmaksızın işlenmesi şartları tam olarak aşağıdaki gibidir:

  • Sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
  • Diğer özel nitelikli kişisel veriler ise kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir.

Bunlara ek olarak şunu da önemle belirtmek gerekir ki 6698 sayılı Kanun’un 6’ncı maddesinin son fıkrasına göre; Kişisel Verileri Koruma Kurulu tarafından belirlenen “özel nitelikli kişisel veri işleme önlemleri”ne uyulması da bir veri işleme şartıdır.

Bu önlemlere şu bağlantıdan ulaşabilirsiniz: https://www.kvkk.gov.tr/Icerik/4110/2018-10

kişisel veri işleme şartları neler

Veri işleme şartı yoksa ne olur?

İki farklı senaryo üzerinden gidelim. İlkinde veri sorumlusu kişisel veri işleme şartına sahip olmamasına rağmen bir kişisel veriyi işliyor olsun.

İkincisinde veri sorumlusu kişisel veri işleme şartına sahip olarak bir kişisel veriyi işlesin; ancak işleme şartı sonradan ortan kalksın (Örneğin ilgili kişi açık rızasını geri almıştır).

İki durumda da kişisel veri işlemekten derhal vazgeçilmeli, işlenen kişisel veriler yok edilmeli, kişisel veri üçüncü taraflara aktarılmışsa, bunlara da bilgi verilmelidir.

SONUÇ

Kişisel veri işleme şartları, kişisel veri işleme sürecinin adeta anahtarıdır. Kişisel veri işleme sürecinin kapısını ancak bu anahtarla açabilirsiniz ve elinizde anahtarınız yoksa kapıyı zorlamamanız gerekir.

Gerek klasik kişisel veriler ve gerekse özel nitelikli kişisel verileri için kişisel veri işleme şartı öncelikle ve kural olarak “açık rıza” alınmasıdır.

Ancak yazının ilgili bölümlerinde belirttiğim üzere; 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5 ve 6’ncı maddelerinde yazılı kişisel veri işleme özel şartlarının mevcut olması halinde, artık açık rıza alınmasına gerek bulunmamaktadır.

12 adımda kvkk kitabı mustafa baysal

Mustafa Baysal

Sizin için doğru ve değerli bilgiyi paylaşmaya çalışıyorum. Bu yazı gerçekten işinize yaradıysa ve teşekkür etmek istiyorsanız, yapmanız gereken tek şey onu PAYLAŞMAK.

Bunlara göz atmadan gidersen, pişman olabilirsin!

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Aşağıdaki yazılara bakmadan gitme!
Kapalı
Başa dön tuşu