tr

3.Bölüm-Kişisel Verilerin İşlenme Şartları

3.Bölüm-Kişisel Verilerin İşlenme Şartları

Kişisel verilerin işlenmesindeki genel ilkeler nelerdir? Kişisel verilerin işlenmesi ilkeleri her bir kişisel veri işleme faaliyetinin özünde bulunmalı mıdır?

Kişisel verilerin işlenmesinde her zaman Kanunda ortaya konulan genel ilkelere uygun davranılmalıdır. Kişisel verilerin işlenmesinde genel ilkeler:

  • Hukuka ve dürüstlük kurallarına uygunluk,
  • Doğruluk ve güncellik,
  • Belirli, açık ve meşru amaçlar için işlenmek,
  • İşlendikleri amaçla bağlantılık, sınırlılık ve ölçülülük,
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.

Hukuka ve dürüstlük kuralına uygunluk ne demektir?

Dürüstlük, veri sahibinin haberi olmadan hiçbir şekilde kişisel verisinin toplanmaması ve işlenmemesi, veri sahibine karşı haksızlığa yol açacak şekilde kullanılmaması, toplanma amacının aşılmamasıdır. Hukuka uygunluk ise veri işlemenin, Kişisel Verilerin Korunması Kanunu’na ve diğer mevzuata aykırı olmamasıdır.

Doğru ve gerektiğinde güncel olma ilkesi ne şekilde yerine getirilmelidir?

Kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında veri sorumlusunun aktif özen yükümlülüğü; veri sorumlusu eğer bu verilere dayalı olarak ilgili kişi ile ilgili bir sonuç yaratıyor ise geçerlidir (örneğin kredi verme işlemi gibi). Bunun dışında veri sorumlusu her zaman ilgili kişinin bilgilerini doğru ve güncel olmasını temin edecek kanalları açık tutmalıdır. Zira ilgili kişinin haklarının düzenlendiği Kanunun 11. maddesinin (d) bendinde, ilgili kişinin kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme hakkına yer verilmiştir. Örneğin, A şirketinde çalışan kişinin işten ayrılarak B şirketinde işe başlaması halinde kişinin “A şirketi çalışanı olduğu” verisi doğru olmayacakken, “A şirketinde çalışmış kişi” olduğu verisi doğru olacaktır.

Kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ilkesi ne anlama gelir?

“Amaçla sınırlılık” kişisel verilerin korunmasında hâkim olan en önemli ilkelerden biridir. Kişisel veriler işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalıdır. Mevcutta olmayan ve sonradan gerçekleşmesi düşünülen amaçlarla kişisel veri toplanmamalıdır. Kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan ölçüde kişisel veri toplanmamalı ve/ veya işlenmemelidir. Buna göre kişisel veriler yalnızca belirli amaçlar için ve gerektiği kadar toplanmalı, amacın gerektirdiği yerlerde kullanılmalı ve amaç için gerekli olandan uzun süre tutulmamalıdır.

Bu bakımdan, kişisel veriler toplandıktan sonra, ileride ortaya çıkabilecek yeni işleme amaçları dâhilinde işleme yapılması için, verilerin ilk defa toplanması sırasında sağlanması gereken şartlar yeni amaçlar için de tekrar aranmalıdır. Örneğin, bir taşımacılık firması tarafından taşıma sözleşmesi kapsamında kaydedilen adres bilgileri, sonrasında pazarlama faaliyeti için de kullanılacaksa, bu amaçla kullanım yapılabilmesi için kişisel veri işleme şartlarının karşılanıp karşılanmadığının yeniden değerlendirilmesi gerekmektedir.

Bunun yanı sıra işlenen veri, sadece veri işleme amacının gerçekleştirilmesi için gerekli olanla sınırlı tutulmalıdır. Öyle ki, bir tekstil firması tarafından müşterilere ilişkin kimlik ya da iletişim verilerinin tutulması satış işlemlerinin takibi vb. amaçlarla bağdaşırken, müşterilerin finansal geçmişine ilişkin verilerin toplanmasının amaçla bağlantılı ve ölçülü olduğu iddia edilemez. Bunun yanında amaçla bağlantılı, sınırlı ve ölçülü olma şartının her ilgili kişi ve süreç için ayrı ayrı değerlendirilmesi gerekmektedir. Çünkü belirli bir kişi ve süreç için gerekli olan bilgi, bir diğer kişi için ölçüsüz olabilecektir. Bu hususa özellikle hassas (özel nitelikli) veriler konusunda dikkat edilmesi gerekir.

Kişisel verilerin işlenmesinde “amaçların detaylandırılması” ne demektir?

Kişisel verilerin işlenmesinde “amaçların detaylandırılması”, kişisel verilerin işleneceği amaçların bildirilmesi bakımından ne seviyede bir detay beklendiğinin her bir olay özelinde ayrı ayrı ele alınmasıdır.

Dar bir çevreye yönelik mal ve hizmet sunan küçük ölçekli bir işletme ile bir perakende zinciri tarafından sunulan veri işleme amaçlarının aynı detayda olması beklenemez. Bir market zinciri bakımından çok farklı araçlar vasıtasıyla ve amaçlarla (sadakat programı ya da çapraz satış gibi) veri işleneceği için tüm bu amaçların sıralanması gerekmektedir.

Aynı anda birbirinden çok farklı hizmetler sunan bir web sitesinin (e-ticaret, sosyal platform vs.) amaçlarını bildirirken genel ifadelerden kaçınması ve hedef kitlenin niteliklerine uygun düşen bir dil ve terminolojiyle makul bir detay seviyesinde bilgi sunması gerekir.

Özel nitelikli verilerin işlendiği alanlarda, veri işleme amaçlarının diğer alanlara nazaran daha detaylı olarak sunulması gerekmektedir.

Kişisel veri işleme amaçlarının belirli, meşru ve açık olması ilkesi ne anlama gelir?

Kişisel verilerin işlenme amaçlarının belirli, meşru ve açık olması; kişisel veri işleme amaçlarının açıklandığı hukuki işlem ve metinlerde (açık rıza, aydınlatma, ilgili kişi başvurularını yanıtlama, veri sorumlusu siciline olan başvuru) belirlilik ve açıklık ilkesine uyumda hassasiyet gösterilmesi, teknik-hukuki terminoloji kullanımından kaçınılmasıdır. Bu esasa uygun davranma aynı zamanda dürüstlük ilkesine uyum bakımından da önemlidir.

Kişisel verilerin işlenmesi için ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesi ne anlama gelir?

Kişisel verilerin, ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi zorunludur. Buna göre, veri sorumluları, ilgili mevzuatta verilerin saklanması için öngörülen bir süre varsa bu süreye uyacak; yoksa verileri, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza edebilecektir. Bir verinin daha fazla saklanması için geçerli bir sebep olmaması durumunda, o veri silinecek veya anonim hale getirilecektir. Gelecekte kullanma ihtimalinin varlığına dayanarak veri saklanamayacaktır. Veri sorumlusu, Kanunun 16. maddesi uyarınca Sicile kayıt için başvuru yaparken kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi bildirmek zorundadır.

Kişisel veri işleme faaliyetlerinin hukuki şartları sınırlı sayıda mıdır?

Kanunun 5. maddesinde kişisel verilerin, öncelikli olarak ilgili kişinin açık rızası olmaksızın işlenemeyeceği hüküm altına alınmıştır. Ancak 2. fıkrada özel olarak sınırlı şekilde sayılan diğer şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenebileceği düzenlenmiştir. Diğer bir ifadeyle Kanunun 5. maddesinin 2. fıkrasında belirtilen şartlardan birinin varlığı halinde açık rıza bulunmaksızın kişisel verilerin işlenmesi mümkündür. Bu şartlardan herhangi birisi bulunmuyor ise ilgili kişinin açık rızası alınması gerekir.

Kişisel verinin işlenme şartları nelerdir?

Kanunun 5. maddesinde kişisel verilerin hangi hallerde hukuka uygun olarak işlenebileceğine ilişkin veri işleme şartları düzenlenmiştir. Bu doğrultuda kişisel veriler ancak aşağıda sıralanan şartlardan en az birinin varlığı halinde işlenebilir:

  • Veri sahibinin açık rızasının varlığı,
  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Veri işleme amacı Kanunda bulunan “veri sahibinin açık rızası” dışındaki veri işleme şartlarından birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmamaktadır. Veri işleme faaliyeti rıza dışında bir dayanakla yürütülebilecekse, veri sahibine rızası için başvurulması durumunda veri sahibinin yanılma riskinin doğmaması gerekmektedir.

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması ne demektir?

Kanunun 5.maddesinin 2. fıkrasının (f) bendine göre, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda veri sahibinin açık rızası elde edilmeksizin kişisel verilerin işlenebileceği düzenlenmiştir. Buna göre, örneğin bir şirket sahibi, çalışanlarının temel hak ve özgürlüklerine zarar vermemek kaydıyla, onların terfileri, maaş zamları yahut sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve rol dağıtımında esas alınmak üzere çalışanların kişisel verilerini işleyebilecektir. Burada, işletmenin yeniden yapılandırılması ya da ehliyetli ve liyakatli çalışanların terfi almaları, veri sorumlusu statüsündeki şirket sahibinin meşru menfaatinedir. Direktif’in başlangıç bölümünde “şirketlerin ve diğer organların meşru olağan etkinlikleri” ifadesi yer almaktadır. Bu bağlamda “meşru menfaat”in “meşru ticari çıkarlar” olarak algılanması mümkündür.

Veri sorumlusunun meşru menfaat şartına dayanması durumunda bu şartın varlığını tespit etmek için göz önünde bulundurulması gereken hususlar nelerdir?

Kanunun 5. maddesinin 2. fıkrasının (f) bendinde yer verilen veri işleme şartının varlığının tespiti için aşağıda sıralanan hususların değerlendirilmesi gerekmektedir:

  • Veri sorumlusunun menfaatinin varlığı: Meşru menfaat sahibinin “veri sorumlusu” olması gerektiği düzenlenmiştir.

Bu kapsamda, veri sorumlusu dışında üçüncü bir kişinin menfaatinin söz konusu olması hali veri işleme şartının kapsamı dışında kalmaktadır.

  • Menfaatin meşruluğu: Veri işleme şartının varlığından bahsedebilmek için veri sorumlusunun menfaatinin mevcut olması yeterli değildir. Söz konusu menfaatin meşru olması gerekmektedir. Menfaatin ileride doğma ihtimali üzerine, veri sahiplerinin kişisel verilerinin elde edilmesi mümkün değildir. İlgili madde kapsamında kabul edilen meşru menfaat kavramı, hali hazırda mevcut olan bir menfaati ifade etmektedir.
  • Veri sorumlusunun meşru menfaati ile veri sahibinin temel hak ve özgürlükleri arasında dengenin varlığı: Veri işleme şartının varlığından söz edebilmek için veri sorumlusunun meşru menfaatinin veri sahibinin temel hak ve özgürlüklerine zarar vermemesi gerekmektedir. Bu durumun tespiti için denge testi uygulanması gerekmektedir. Denge testi iki aşamalı bir testtir. Bu kapsamda yapılacak olan ilk değerlendirmede veri sorumlusunun meşru menfaati olduğunun tespit edilmesi gerekmektedir.

Buna ek olarak, veri sorumlusunun meşru menfaatinin olmasının yanı sıra, ikinci değerlendirmede ilgili kişinin temel hak ve özgürlüklerinin tehlikeye atılmaması ve bu bağlamda ilgili kişi tarafından kişisel verilerin işlenmesinin beklenen bir durum olması gerekmektedir. Dolayısıyla, veri sorumlusunun meşru menfaati olup olmadığı belirlendikten sonra, yapılacak ikinci değerlendirmede kişisel verisi işlenecek olan ilgili kişinin temel hak ve özgürlüklerinin neler olduğu tespit edilmeli ve belirtilen hak ve menfaatler değerlendirilerek hangisinin üstün geldiğine karar verilmelidir. Ancak bu değerlendirme yapılırken veri sorumlusunun meşru menfaati ile kişisel verileri işleme amacı birbirine karıştırılmamalıdır. Bu iki terim birbiriyle ilişkili olsa da farklı anlama gelmektedir. Kişisel verileri işleme amacı, özel olarak verinin neden işlendiği ile alakalıdır.

Belirtmek gerekir ki, Kanunun 5. maddesinin 2. fıkrasının (f) bendi, maddede yer alan diğer haller uygulanamadığı takdirde başvurulacak son çare olmadığı gibi her şeyi kapsamına dâhil edebilecek ve tüm kişisel verilerin işlenmesine ilişkin işlemleri yasal kılacak bir madde de değildir. Aksine, ancak madde kapsamında belirtilen veri sorumlusunun menfaati ile ilgili kişisinin temel hak ve özgürlükleri değerlendirildikten sonra ve iki menfaat arasındaki denge gözetildikten sonra kişisel verilerin işlenebileceği hüküm altına alınmıştır.

Özel nitelikli kişisel veriler, Kanunda sınırlı sayıda mıdır?

Kanunun 6. maddesinin 1. fıkrasında özel nitelikli kişisel veriler tek tek sayılmış, örnekseme yoluyla sayıldığına dair herhangi bir ibare kullanılmamıştır. Dolayısıyla bu sayım sınırlıdır.

Özel nitelikli kişisel veriler hangi durumlarda işlenebilir?

İlgili kişinin açık rızası bulunmaksızın özel nitelikli kişisel verilerin işlenmesi kural olarak yasaklanmıştır. Ancak Kanunun 6.maddesinde istisnai koşullar düzenlenmektedir. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmüş olması halinde işlenebilecek iken sağlık ve cinsel hayata ilişkin kişisel verilerin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesinde ilgili kişinin açık rızası aranmamıştır. Özel nitelikli kişisel verilerin işlenmesinde ayrıca Kişisel Verileri Koruma Kurulu tarafından belirlenen gerekli önlemlerin alınması şartı getirilmiştir.

Özel nitelikli kişisel verilerin işlenmesi neden daha sıkı şartlara bağlanmıştır?

Özel nitelikli kişisel veriler, işlenmeleri halinde sahipleri hakkında ayrımcılık yapılmasına neden olma riski taşıyan verilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir.

Öte yandan, tüm temel hak ve özgürlüklerde olduğu gibi, bu koruma mutlak değildir ve diğer hak ve özgürlükler lehine sınırlanabilir. Bu sınırlamanın, demokratik bir hukuk devletinin gereklerine ve Anayasanın 13. maddesinde yer alan esaslara uygun olarak gerçekleştirilmesi gerekmektedir.

Bu nedenle, hassas kişisel verilerin işlenmesinin tam olarak hangi durumlarda ve hangi koşullara uyularak mümkün olduğu Kanun vasıtasıyla öngörülmüştür ve böylece hukuk devletinin bir gereği olan hukuki belirlilik sağlanmıştır. Zira yaşam hakkı, ifade özgürlüğü, haberleşme özgürlüğü gibi birçok temel hak ve özgürlüğün kullanılması, hassas kişisel verilerin işlenmesini zorunlu kılmaktadır.

Örnek vermek gerekirse, oldukça tehlikeli ve/veya sağlığa zararlı şartlar altında çalışmakta olan kimselerin sağlık verilerinin işveren tarafından kaydedilmesi ve gerektiğinde otoriteler ile paylaşılması gerekmektedir. Üstelik ülkemizde iş sağlığı ve güvenliği konusundaki mevzuat bu konuyu emredici hukuk kurallarıyla düzenlemektedir. Bu bakımdan, “özel nitelikli kişisel verilerin” işlenmesinin mutlak bir yasak olarak kabul edilmesi mümkün değildir.

Kanunun kaynağı niteliğinde bir düzenleme olan AB’nin 95/46/ EC sayılı Direktifi kapsamında da özel nitelikli kişisel verilerin işlenmesine ilişkin olarak aynı şartlar öngörülmektedir.

Ayrıca Direktif’te, üye devletlerin bu konudaki işleme şartlarını genişletebileceğine ilişkin bir hüküm bulunmaktadır.

Görüldüğü gibi, özel nitelikli kişisel verilere ilişkin koruma hakkı mutlak bir hak olmayıp, Anayasal çerçevede diğer temel hak ve özgürlükler lehine sınırlanabilir.

Kişisel sağlık verileri hangi hallerde işlenebilir?

Kişisel sağlık verisi işleme faaliyetinde bulunanlar, kişisel sağlık verilerini ancak aşağıda sıralanan şartlardan birinin varlığı halinde işleyebilecektir.

  • Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından kişisel sağlık verileri aşağıdaki hallerden en az birinin bulunması halinde, kişisel veri sahibinin açık rızası olmaksızın işlenebilecektir.
    • Kamu sağlığının korunması,
    • Koruyucu hekimlik,
    • Tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
    • Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla işleme.
  • İlgili kişinin ayrıntılı bir şekilde bilgilendirilmesi, yazılı rızasının alınması ve bu rızanın muhafaza edilmesi hâlinde ilgili kişiye ait sağlık verileri, rıza doğrultusunda işlenebilir ve aktarılabilir.

Kişisel verilerin işlenmesi ile aktarılması neden aynı şartlara tabi tutulmuştur?

Gerek Kanunda gerekse Direktif’de kişisel verilerin üçüncü kişilere aktarımı, bir veri işleme biçimidir. Bu bağlamda aynı koruma şartlarına tabi tutulmaları kabul edilmiştir.

Kanunda düzenlenen tam ve kısmi istisnalar nelerdir?

Kanunun 28. maddesinde, bazı hallerde Kanunun hiç uygulanmayacağı, bazı hallerde ise sınırlı olarak uygulanacağı düzenlenmektedir. Buna göre, Kanun hükümleri aşağıdaki hâllerde uygulanmaz:

  • Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,
  • Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
  • Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Ayrıca, Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10. maddesi, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11. maddesi ve veri sorumluları siciline kayıt yükümlülüğünü düzenleyen maddesi aşağıdaki faaliyet alanları ile sınırlı olmak üzere uygulanmamaktadır:

  • Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
  • Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
  • Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
ETİKETLER:
Whatsapp
Data Vekili
Data Vekili
Merhaba, Data Vekili'ne hoş geldiniz.
Size nasıl yardımcı olabiliriz?