Kişisel Verilerin İşlenme Şartları (KVKK Madde 5 ve 6)

1. KVKK Madde 5: Kişisel Verilerin İşlenme Şartlarına Genel Bakış

Kanunun 5. maddesinde, kişisel verilerin işlenme şartları genel olarak düzenlenmiştir. Özel nitelikli kişisel verilerin işlenme hükümleri ise Kanunun 6. maddesinde farklı esaslara bağlanmıştır. Bu iki kategori arasındaki farklar ve özel nitelikli olmayan kişisel verilerin işlenme koşulları dikkatle değerlendirilmelidir.

Bu çerçevede, özel nitelikli olmayan kişisel verilerin hukuka uygun olarak işlenebileceği şartlar Kanunda sınırlı sayıda sayılmıştır ve bu şartlar genişletilemez. Veri sorumlusu, her veri işleme faaliyeti için bu hukuki dayanaklardan en az birine dayanmak zorundadır.

Kişisel verilerin işlenmesi, yalnızca teknik bir işlem değil, aynı zamanda hukuki, idari ve etik bir sorumluluktur. Bu nedenle, hangi şart altında veri işlendiği mutlaka kayıt altına alınmalı ve gerekirse ispatlanabilir olmalıdır.

2. Özel Nitelikli Olmayan Kişisel Verilerin İşlenme Şartları

Kanuna göre, özel nitelikli olmayan kişisel veriler aşağıdaki şartlardan birinin varlığı halinde hukuka uygun olarak işlenebilir. Bu şartlar sınırlı sayıda olup genişletilemez:

• İlgili kişinin açık rızasının olması: Veri sahibinin, belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle verdiği rıza.
• Kanunlarda açıkça öngörülmesi: Verinin işlenmesine, ilgili özel kanun veya mevzuatta açıkça izin verilmiş olması.
• Fiili imkânsızlık hâli: Rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için verinin işlenmesinin zorunlu olması.
• Sözleşme ilişkisi: Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
• Hukuki yükümlülük: Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için verinin işlenmesinin zorunlu olması.
• Alenileştirme: İlgili kişinin kendisi tarafından alenileştirilmiş olması; verinin, alenileştirme amacına uygun biçimde işlenmesi.
• Hak tesisi, kullanılması veya korunması: Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
• Meşru menfaat: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Özel nitelikli olmayan kişisel verilerin işlenmesi için yukarıda belirtilen şartlardan sadece bir tanesinin bulunması yeterlidir. Birden fazla şart aynı anda mevcut olabilir, ancak en az bir geçerli hukuki dayanak bulunmak zorundadır.

3. Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Özel nitelikli kişisel veriler, ilgili kişinin mağduriyete veya ayrımcılığa uğrama riski taşıyan hassas verilerdir. Bu sebeple, bu verilerin diğer kişisel verilere göre çok daha sıkı bir şekilde korunması gerekmektedir.

Kanun, özel nitelikli kişisel verilere özel bir önem atfetmekte ve bu verilere yönelik farklı bir düzenleme getirmektedir. Bu veriler, “özel nitelikli kişisel veri” ya da “hassas veri” olarak kabul edilmektedir ve iki ana gruba ayrılabilir:

• Sağlık ve cinsel hayata ilişkin kişisel veriler,
• Bunlar dışındaki diğer özel nitelikli kişisel veriler (ırk, etnik köken, siyasi düşünce, din, mezhep vb.).

Kanun, bu iki grup için farklı işlenme şartları öngörmektedir:

• Sağlık ve cinsel hayata ilişkin veriler: İlgili kişinin açık rızası aranmaksızın, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.
• Diğer özel nitelikli kişisel veriler: Kanunda belirtilen hallerde ve ilgili kişinin açık rızası bulunmaksızın işlenebilir.

Ancak her iki durumda da, özel nitelikli kişisel verilerin işlenmesinde Kurul tarafından belirlenen yeterli teknik ve idari önlemlerin alınması şarttır. Bu önlemler, veri güvenliğini ve ilgili kişinin haklarını koruma amacını taşır.

Özetle, özel nitelikli kişisel verilerin işlenmesi, ilgili kişinin açık rızası olmaksızın sınırlı hallerde mümkündür; ancak veri güvenliği ve kişisel hakların korunması için özel önlemler mutlaka alınmalıdır.

4. Açık Rıza Dışındaki Şartlar ve Açık Rızayla İlişkisi

Kişisel veri işleme faaliyeti, Kanunda açık rıza dışındaki diğer şartlardan birine dayanıyorsa, ilgili kişiden ayrıca açık rıza alınmasına gerek bulunmamaktadır. Hatta veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkünken gereksiz yere açık rızaya dayandırılması, aldatıcı ve hakkın kötüye kullanımı niteliğinde olabilir.

Bu nedenle; ilgili kişi tarafından verilen açık rıza geri alındığında, veri sorumlusunun aynı işlem bakımından diğer kişisel veri işleme şartlarından birine dayanması mümkünse, veri işleme faaliyeti bu şart üzerinden sürdürülebilir. Aksi takdirde, işleme faaliyetine devam edilmesi hukuka ve dürüstlük kurallarına aykırı olacaktır.

Veri sorumlusu, her bir veri işleme faaliyeti için gerçek hukuki dayanağı tespit etmeli, kayıt altına almalı ve gerektiğinde ispat edebilmelidir. Açık rıza, tek ve her şeyi çözen bir dayanak değildir.

5. Kurul İlke Kararları ve Rehber Niteliği

Kişisel Verileri Koruma Kurulu’nun kişisel verilerin işlenme şartlarına ilişkin olarak 2018/119 sayılı ilke kararı ile, rehberlik hizmeti veren internet sitelerinde/uygulamalarda kişisel verilerin korunmasına yönelik 2017/61 sayılı ilke kararı incelenerek konu hakkında daha fazla bilgi edinilebilir.

Bu ilke kararları, kişisel verilerin korunması ve işlenmesi konusunda rehberlik sağlamak amacıyla yayımlanmış olup, veri sorumlularının teknik ve idari tedbirleri, hukuki dayanakları ve aydınlatma süreçlerini somut örneklerle değerlendirmelerine yardımcı olur.