Veri Koruma Hukuku

Kişisel Verilerin İşlenme Şartları Nelerdir?

Yazar 13 Aralık 2022Ekim 3rd, 2023No Comments9 dakikalık okuma
Kişisel Verilerin İşlenme Şartları Nelerdir?

Kişisel verilerin işlenme şartları 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5. maddesinde belirtilmiştir. 

Kişisel Verilerin Açık Rıza Kapsamında İşlenmesi Nedir?

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun tanımlar başlıklı 3. maddesinde açık rızanın tanımı yapılmıştır. İlgili tanım uyarınca açık rıza belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza olarak gösterilmektedir. Aynı Kanun’un 5. maddesinde ise kişisel verilerin kural olarak ilgili kişinin açık rızası olmaksızın işlenemeyeceği belirtilmiştir. İlgili kişinin açık rızası 5. maddede sayılan kişisel veri işleme şartlarıyla aynı seviyede görülmektedir.

Veri sorumlusu kişisel veri işleme faaliyetine başlarken her bir kişisel veri grubu ve kişisel veri için kişisel veri işleme şartı veya şartlarına dahil edebilecek bir kişisel veri işleme faaliyeti olup olmadığını değerlendirmeli, hiçbir kişisel veri işleme şartı kapsamına dahil edilemeyecek bir kişisel veri işleme faaliyeti söz konusuysa en geç kişisel verilerin işlenme anında ilgili kişiye açık rıza metni sunmalıdır. Kişisel Verileri Koruma Kurulu’nun yerleşik uygulamaları uyarınca veri sorumlusu kişisel veri işleme şartlarından en az birinin varlığı halinde ilgili kişinin açık rızasını almaktan kaçınmalıdır. Aksi halde gerçekleştirilecek kişisel veri işleme faaliyeti hukuka ve dürüstlük kurallarına aykırı olacaktır. Ancak diğer kişisel veri işleme şartlarının varlığına rağmen ilgili kişinin kişisel verisini bu şartların dışındaki amaçlarla işlemek isteyen veri sorumlusunun bu amaçlar hakkında ilgili kişiden açık rıza alması gerekecektir.

İlgili kişiden açık rıza alınırken önem verilmesi gereken bir diğer husus ise açık rızanın unsurlarıdır. Veri sorumlusu ilgili kişiden açık rıza alırken, alınacak açık rızanın belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanmış olması gerekmektedir.

Kişisel Verilerin Açık Rıza Kapsamı Dışında İşlenme Şartları Nelerdir?

Kanun koyucu kişisel verilerin işlenmesi için açık rıza şartı dışında veri sorumluları için birtakım şartlar koymuştur. Bu şartlar dahilinde veri sorumlusu ilgili kişiden açık rıza almaksızın ilgili kişinin kişisel verilerini işleyebilecektir. 

Kişisel veri işleme şartlarının ilki kişisel veri işlemenin kanunlarda açıkça öngörülmesidir. Veri sorumlusu kişisel veri işleme faaliyetine yönelik olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat dışında başkaca bir kanunla görevlendirildiği veya yetkilendirildiği takdirde ilgili kişinin açık rızasını almaksızın kişisel verisini işleyebilecektir. Cumhurbaşkanlığı kararnameleri ve yönetmelikler gibi düzenlemeler kanun başlığı altında değerlendirilemeyeceğinden kişisel veri işleme faaliyetinin yalnızca kanunlarda gösterilmiş olması gerekmektedir. Bu kişisel veri işleme şartına örnek olarak;

  • 6098 sayılı Türk Borçlar Kanunu’nun 419. maddesi ve 4857 sayılı İş Kanunu’nun 73. maddesi uyarınca işçi-işveren ilişkisinde özlük dosyası tutulması sebebiyle işçiye ait kişisel verilerin işlenmesi,
  • 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun’un 6. maddesi uyarınca müşterinin tanınmasına ilişkin esaslar kapsamında; kimlik tespitinin yapılması için müşterinin kişisel verilerinin işlenmesi gösterilebilecektir.

Kişisel veri işleme şartlarından ikincisi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması olarak belirtilmiştir. Bu şartın varlığından bahsedebilmek için ilgili kişinin fiili imkânsızlık sebebiyle açık rızasını açıklayamayacak durumda olması veya rızasına hukuki geçerlilik tanınmayacak bir konumda bulunması ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel veri işlemenin zorunlu olması gerekmektedir. Örnek olarak;

  • Trafik kazası geçirmiş yaralı bir kişiye ulaşılması bakımından adı soyadı ve kimlik numarasının sağlık kurum veya kuruluşları tarafından işlenmesi gösterilebilecektir.

Kişisel veri işleme şartlarının üçüncüsü bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması olarak açıklanmıştır. Veri sorumlusu bu istisnayı göz önüne alarak ilgili kişiyle arasındaki mevcut ve geçerli bir sözleşmenin ifası ya da yeni bir sözleşmenin kurulmasına yönelik zorunlu işlemleri gerçekleştirebilmek adına ilgili kişinin kişisel verilerini işleyebilecektir. Örnek olarak;

  • Elektronik ticaret platformlarında alınan siparişin gönderiminin sağlanabilmesi için veri sorumlusu tarafından ilgili kişinin adı soyadı, kimlik numarası, telefon ve adres gibi kimlik ve iletişim verilerinin işlenmesi,
  • Bireysel Emeklilik Sistemine girebilmek için poliçe üretilmesi sırasında müşteriden alınan kimlik, iletişim vs. kişisel verilerinin işlenmesi gösterilebilecektir.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nda gösterilen kişisel veri işleme şartlarının dördüncüsü veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için kişisel veri işlemenin zorunlu olmasıdır. Kanunlar haricinde mahkeme kararları, yetkili mercilerin kararları ve resmi makam talimatları gibi hukuki yükümlülüklerin yerine getirilmesi kapsamında hukuki kayıtların dikkate alınması gerekmektedir. Veri sorumlusunun hukuki yükümlülük şartına dayanarak veri işleyebilmesi için aynı zamanda kişisel veri işlemenin zorunlu olması gerekmektedir. Örnek olarak;

  • Yetkili kurum ve kuruluşlarca yapılacak vergi denetimlerinde veri sorumlusunun çalışanlarına ve müşterilerine ait bilgileri ilgili kamu görevlilerinin incelemesine sunması gösterilebilecektir.

Kişisel veri işleme şartlarının beşincisi ilgili kişinin kişisel verilerinin kendisi tarafından alenileştirilmiş olması olarak gösterilmiştir. Burada üzerinde durulması gereken ilgili kişinin alenileştirme iradesidir. Alenileştirmeden kasıt ilgili kişinin kişisel verilerinin yine kendisi tarafından kamuoyuna açıklanmasıdır. Örnek olarak;

  • İlgili kişinin sosyal medya üzerinde yazdığı yazılar ile paylaştığı bilgi ve belgeler gösterilebilecektir.

Kişisel veri işleme şartlarının beşincisi kişisel veri işlemenin bir hakkın tesisi, kullanılması veya korunması için zorunlu olması olarak gösterilmiştir. Burada veri işleme hakkı veri sorumlusuna ait sayılmıştır. Örnek olarak;

  • İşçinin kişisel verilerinin işten ayrılsa dahi veri sorumlusu işveren tarafından kendisine herhangi bir dava yöneltilmesi ihtimaline karşı dava zamanaşımı süreleri boyunca işlenmesi gösterilebilecektir.

Kişisel verilerin işlenmesi faaliyetleri bakımından son kişisel veri işleme şartı ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması olarak gösterilmiştir. Bu kişisel veri işleme şartına dayanılırken dikkate alınması gereken en temel husus ilgili kişinin temel hak ve özgürlüklerine zarar verilmemesidir. Veri sorumlusu ilgili kişinin temel hak ve özgürlüklerinin yanısıra meşru menfaatin varlığını da değerlendirmelidir. Meşru menfaat veri sorumlusu ile ilgili kişinin menfaatinin gözetilmesi çerçevesinde değerlendirilmesi gereken bir denge testi olarak karşımıza çıkmaktadır. Meşru menfaate ilişkin denge testi yapılırken ilk olarak veri sorumlusunun meşru menfaati olup olmadığı ve bu menfaatin niteliğinin ne olduğu tespit edilmekteyken ikinci aşamada, kişisel veri işleme faaliyetinin ilgili kişinin temel hak ve özgürlüklerine ne derecede etki edeceği ele alınmaktadır. Yani, kişisel veri işleme faaliyetinin ilgili kişinin temel hak ve özgürlükleri üzerinde oluşturacağı olumsuz etki, veri sorumlusunun meşru menfaati kapsamında elde edeceği çıkar ve faydanın yanında daha etkisiz ve önemsiz olmalıdır. Bu kişisel veri işleme şartının uygulandığı durumlara örnek olarak;

  • Çalışan bağlılığını arttıran ödül ve prim uygulamaları sebebiyle kişisel veri işlenmesi,
  • İşyerinin bulunduğu mekânın güvenliğinin sağlanabilmesi için ziyaretçilerin kimlik bilgilerinin kaydedilerek işlenmesi,
  • Çalışanların performansının ölçümlenebilmesi için ekran süresi uygulamalarının kullanılması yoluyla işlem kayıtlarının işlenmesi örnek gösterilebilecektir.

Yukarıda hukuki açıdan önem ihtiva eden kişisel verilerin işlenme şartları konusu genel bir çerçeveyle açıklanmıştır. Kişisel verilerin işlenme şartları oldukça önemli ve hukuki danışmanlık alınması gereken başlıca konulardan biridir. Daha fazla bilgi ve danışmanlık için hukuk büromuzla iletişime geçebilirsiniz.

AEY Legal

AEY Legal

AEY Legal, faaliyet göstermekte olduğu Fikri Mülkiyet Hukuku, E-Ticaret ve Bilişim Hukuku, Veri Koruma ve Siber Güvenlik Hukuku, Ticaret ve Şirketler Hukuku, Sözleşmeler Hukuku, Freelancer Hukuku, Tüketici Hukuku, Start-up Hukuku, Reklam ve Medya Hukuku başta olmak üzere birçok hukuk dalında ulusal ve uluslararası düzeydeki uyuşmazlık ve ihtilaflarla ilgili olarak Hukuki Danışmanlık, Uyum Yönetimi & Regülasyon, Dava Takibi & Uyuşmazlık Çözümü hizmetlerini müvekkillerine sunmaktadır.

İlgili Yazılar

Deepfake'in Hukuki Değerlendirmesi Bilişim HukukuHukuki YazılarVeri Koruma Hukuku Deepfake’in Hukuki Değerlendirmesi
23 Ekim 2023

Deepfake’in Hukuki Değerlendirmesi

AEY Legal
Çocukların Dijital Mahremiyeti Bilişim HukukuKişiler HukukuVeri Koruma Hukuku Çocukların Dijital Mahremiyeti
28 Eylül 2023

Çocukların Dijital Mahremiyeti

AEY Legal
Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El Koyma Bilişim HukukuCeza HukukuVeri Koruma Hukuku Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El Koyma
12 Haziran 2023

Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El Koyma

AEY Legal
Scan the code