Kişisel Veri İşleme Şartları Nelerdir? KVKK 5. ve 6. Madde Rehberi | Nesil Teknoloji

KVKK · Madde 5 & Madde 6 · Kişisel Veri İşleme Şartları

Kişisel Veri İşleme Şartları Nelerdir? 5. ve 6. Madde Rehberi

Dijitalleşme, kurumların iş yapış şeklini kökten değiştirdi. Artık bir müşteriyle görüşmek, bir sipariş almak, bir çalışanı işe başlatmak ya da bir ziyaretçiyi binaya kabul etmek; neredeyse her adımda kişisel veri işlenmesi anlamına geliyor. Ad-soyad, telefon numarası, e-posta, IP bilgisi, kamera kaydı, müşteri notu, özgeçmiş, bordro bilgileri… Liste uzayıp gidiyor.

KVKK (6698 sayılı Kişisel Verilerin Korunması Kanunu) ise bu noktada çok net bir çerçeve çiziyor: Kişisel veri ancak belirli işleme şartları (hukuki sebepler) varsa işlenebilir. Yani “veriyi aldım çünkü lazım olur” yaklaşımı, KVKK açısından güvenli bir zemin değildir. Her veri işleme faaliyeti için “neden işliyorum?” sorusunun karşılığını mevzuat diliyle netleştirmek gerekir.

Bu rehberde, KVKK’nın Madde 5 (genel nitelikli veriler) ve Madde 6 (özel nitelikli veriler) hükümlerini herkesin anlayacağı bir dille ele alıyor; pratik örneklerle “hangi durumda hangi hukuki sebep” sorusunu netleştiriyoruz.

Madde 5 Şartları Madde 6 (Özel Nitelikli)

İçindekiler 1. Kişisel Veri İşlemek Ne Demek? 2. KVKK Madde 5: Genel Kural ve İstisnalar 3. Açık Rıza: Nedir, Ne Değildir? 4. KVKK Madde 6: Özel Nitelikli Veri Nedir? 5. Madde 6 İşleme Şartları ve Uygulama Notları 6. Madde 5 ve 6’yı Birlikte Okumak + Saha Hataları 7. Sonuç ve Mini Kontrol Listesi

ÖZET

Temel Mantık: Her veri işleme faaliyeti bir “hukuki sebep” ister. Madde 5 genel veriler için, Madde 6 özel nitelikli veriler için daha sıkı bir rejim getirir.
Kritik Nokta: Açık rıza her zaman ilk seçenek değildir; çoğu süreçte doğru hukuki sebep istisnalardır.
Risk Yönetimi: Yanlış hukuki sebep seçimi; aydınlatma, saklama-imha, aktarım ve güvenlik kurgusunu da yanlış kurdurur.

KVKK Madde 5 Madde 6 Açık Rıza

1) Önce Temel: “Kişisel Veri İşlemek” Ne Demek?

KVKK’ya göre kişisel veriyi işlemek, sadece “form doldurtmak” değildir. Bir veriyle ilgili yaptığınız hemen her işlem, veri işlemeye girer. Özetle; veriyi elde etmekten imhaya kadar tüm süreç “işleme” olarak değerlendirilir.

Kişisel veri işleme kapsamında değerlendirilen işlemler

elde etmek,
kaydetmek,
depolamak,
sınıflandırmak,
güncellemek,
açıklamak/aktarmak,
erişimi kısıtlamak,
silmek, yok etmek, anonimleştirmek.

Günlük hayattan örnekler

“Biz sadece kamera kaydı tutuyoruz” → bu bir veri işleme faaliyetidir.
“E-posta adreslerini CRM’e giriyoruz” → bu bir veri işleme faaliyetidir.
“Başvurular bittikten sonra CV’leri arşivde tutuyoruz” → bu da veri işleme faaliyetidir.

Temel soru: Bu işleme faaliyetini hangi hukuki sebebe dayanarak yapıyorsunuz? İşte Madde 5 ve Madde 6, bu soruya “mevzuat diliyle” yanıt veren çekirdek hükümleridir.

2) KVKK Madde 5: Genel Kural ve “Hukuki Sebep” Mantığı

Madde 5’in ana kuralı basittir: Kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenemez. Ancak hemen arkasından “istisnalar” gelir. KVKK, belirli şartlar varsa açık rıza aranmadan da kişisel veri işlenebileceğini söyler.

Uygulamada en çok karışan nokta da burasıdır: Açık rıza, her zaman ilk seçenek değildir. Hatta çoğu kurumsal süreçte doğru hukuki sebep açık rıza değil, Madde 5’teki istisnalardan biridir.

Madde 5’e göre açık rıza aranmaksızın işleme şartları

Aşağıdaki şartlardan en az biri varsa (ve işleme amacıyla uyumluysa) veri açık rıza olmadan işlenebilir:

Şart	Ne Anlama Gelir?	Örnek
1) Kanunlarda açıkça öngörülmesi	Başka bir kanun, belirli verinin işlenmesini zorunlu kılıyorsa.	SGK/bordro süreçleri, vergi/fatura kayıtları ve saklama yükümlülükleri.
2) Fiili imkânsızlık (hayat/beden bütünlüğü)	Kişi rıza açıklayamayacak durumdaysa ve hayati risk varsa.	Acil durumda kimlik/yakın bilgisinin işlenmesi.
3) Sözleşmenin kurulması/ifası	Sözleşmeyi kurmak veya yürütmek için veri zorunluysa.	E-ticaret siparişinde adres/telefon, teslimat için iletişim paylaşımı.
4) Hukuki yükümlülük	Veri sorumlusunun mevzuattan doğan yükümlülüğü varsa.	Muhasebe kayıtları, resmi kurum taleplerine cevap.
5) Alenileştirilmiş veri	İlgili kişi verisini kendisi kamuya açık hale getirmişse ve amaçla sınırlıysa.	Kişinin kendi sitesinde açıkladığı iletişim bilgisi (amaç aşılmadan).
6) Hakkın tesisi/kullanılması/korunması	Bir hakkı savunmak veya kullanmak için veri zorunluysa.	Dava/itiraz dosyasında delil niteliğindeki kayıtlar.
7) Meşru menfaat	Kurumun menfaati ile kişinin temel hakları dengelenerek; kurum menfaati ağır basıyorsa.	Bilgi güvenliği logları, fiziki güvenlik giriş-çıkış kayıtları, dolandırıcılık önleme kontrolleri.

Pratik uyarı: “Meşru menfaat” kolay yol değildir. Bir denge testi mantığıyla düşünülmelidir: “Benim menfaatim mi ağır, kişinin mahremiyet beklentisi mi?” Bu denge kurulmadan meşru menfaat gerekçesi, sahada en çok risk üreten alanlardan biridir.

3) Açık Rıza Nedir, Ne Değildir?

Açık rıza; KVKK’da özel bir standarttır. Her “onay” açık rıza sayılmaz. Açık rıza; ilgili kişinin, verisinin işlenmesine yönelik özgür iradesiyle verdiği, bilgilendirmeye dayalı ve belirli bir konuya ilişkin irade beyanıdır.

Açık rızanın üç temel kriteri

Belirli bir konuya ilişkin olmalı (genel/ucu açık rıza olmaz),
Bilgilendirmeye dayanmalı (aydınlatma yapılmadan rıza “sağlam” olmaz),
Özgür iradeyle verilmiş olmalı (rıza dayatması rızayı sakatlar).

Uygulamada en sık yapılan hatalar

“Aydınlatma metnini okudum” kutucuğunu açık rıza gibi kullanmak.
Zorunlu hizmet için rıza dayatmak: “Rızayı vermezsen hizmet yok” yaklaşımı.
Birden fazla amaç için tek rıza almak: paket rıza.

Stratejik not: Açık rıza gerçekten gerekiyorsa alınmalı; gerekmiyorsa “gereksiz rıza” kurum için risk üretir. Çünkü rıza geri alındığında süreç durdurulmak zorunda kalır; bu da operasyonel sürdürülebilirliği etkiler.

4) KVKK Madde 6: Özel Nitelikli Kişisel Veri Nedir?

Madde 6, özel nitelikli kişisel veriler için daha sıkı bir rejim getirir. Çünkü bu verilerin ifşası; ayrımcılık, damgalama, telafisi zor zararlar ve geri döndürülemez riskler doğurabilir.

Özel nitelikli kişisel veriler (kanuni liste)

Özel nitelikli kişisel veriler, kanunda sayılan kategori setidir. Uygulamada en sağlıklı yaklaşım; bu listeyi “yüksek riskli veri sınıfı” olarak tanımlayıp, erişim ve güvenlik kontrollerini bu sınıfa göre kurgulamaktır.

Kategori	Veri Türleri	Örnek
Kimlik/Aidiyet	Irk, etnik köken; siyasi düşünce; din/mezhep/diğer inançlar; felsefi inanç; kılık ve kıyafet; dernek/vakıf/sendika üyeliği.	Bir kişinin sendika üyeliği bilgisinin tutulması.
Medikal/Biyolojik	Sağlık verileri; cinsel hayata ilişkin veriler; biyometrik veriler; genetik veriler.	İşyeri hekimi muayene kayıtları; parmak iziyle giriş sistemi verileri.
Hukuki	Ceza mahkûmiyeti ve güvenlik tedbirlerine ilişkin veriler.	Sabıka kaydı / adli sicil kaydı süreçleri.

Önemli ayrım: “Gizli” olan her veri özel nitelikli değildir. Örneğin maaş bilgisi gizlidir ve korunmalıdır; ancak kanuni anlamda “özel nitelikli veri” değildir. Buna karşın sendika üyeliği veya sağlık verisi, kanunen özel niteliklidir ve işleme şartları çok daha katıdır.

5) Madde 6’ya Göre İşleme Şartları: Neden Daha Katı?

Madde 6’nın temel kuralı şudur: Özel nitelikli kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenemez. Ancak burada da istisnalar vardır. Fakat istisnalar daha dar yorumlanır ve süreç tasarımı daha titiz olmalıdır.

A) Sağlık ve cinsel hayat dışındaki özel nitelikli veriler

Sağlık ve cinsel hayat dışındaki özel nitelikli veriler, kanunlarda öngörülmesi hâlinde açık rıza olmadan işlenebilir. Burada ana prensip; verinin keyfi değil, mevzuat dayanaklı bir zorunlulukla işlenmesidir.

Çalışan için kanunen zorunlu bazı kayıtlar,
Yetkili kurumların mevzuat kaynaklı işleme faaliyetleri.

B) Sağlık ve cinsel hayata ilişkin veriler

Sağlık ve cinsel hayata ilişkin veriler, daha sıkı şartlarda işlenebilir. Klasik yaklaşım; kamu sağlığının korunması, koruyucu hekimlik, teşhis-tedavi ve bakım hizmetleri gibi amaçlarla, sır saklama yükümlülüğü altındaki kişiler/kurumlar üzerinden yürüyen işleme faaliyetleridir.

Pratikte ne anlama gelir?

Sağlık verisi işliyorsanız; erişim, rol bazlı yetkilendirme, kayıt, şifreleme ve loglama gibi kontroller “opsiyon” değil, temel gerekliliktir.
Sağlık verisini herkesin eriştiği bir klasörde tutmak veya e-posta ile şifresiz iletmek ciddi risk doğurur.

Uygulama notu: Özel nitelikli verilerde en kritik kontrol; erişim sınırlandırması + izlenebilirlik (loglama) kombinasyonudur. “Kim erişti, ne zaman erişti, hangi kayıt üzerinde işlem yaptı?” sorularının cevapları; denetim ve olay yönetiminde doğrudan belirleyicidir.

6) Madde 5 ve Madde 6’yı Birlikte Okumak: Pratik Mantık + Saha Hataları

Madde 5 ve Madde 6’yı birlikte okumanın en pratik yöntemi

Kurumsal hayatta en doğru yaklaşım; veri işleme faaliyetini tek bir cümleyle değil, adım adım analiz etmektir. Bu analiz, uyumun “omurga kurgusunu” oluşturur:

İşlenen veri genel mi, özel nitelikli mi?
İşleme amacı ne? (örn. sözleşme, hukuki yükümlülük, güvenlik, pazarlama)
Madde 5 veya Madde 6’daki uygun hukuki sebep hangisi?
Açık rıza gerçekten gerekli mi, yoksa istisna var mı?
Aydınlatma metni, saklama süresi, güvenlik tedbirleri ve aktarım kurgusu bu seçime uygun mu?

Kritik uyarı: Birçok kurumun hatası; 2. adımı atlayıp direkt “rıza alalım” demesidir. Oysa doğru hukuki sebep çoğu zaman daha sürdürülebilir ve daha az risklidir.

En sık yapılan 10 hata (saha notu)

Her şey için açık rıza almak
Amaç belirtmeden veri toplamak
Ölçüsüz veri istemek (gereksiz alanlar)
“Meşru menfaat”i her şeye gerekçe yapmak
Özel nitelikli veriyi yanlış sınıflandırmak (ör. her fotoğrafı biyometrik sanmak)
Aydınlatma metnini süreçle uyumsuz bırakmak
Saklama süresi tanımlamamak
İmha yapmamak (veri yıllarca sistemde kalıyor)
Tedarikçi sözleşmelerinde veri işleyen hükümlerini eksik bırakmak
Yurt dışı aktarım risklerini göz ardı etmek (özellikle SaaS araçlarda)

Soru 1: “Biz sadece saklıyoruz, işlemiyoruz” demek doğru mu?

Cevap: Genellikle hayır. Saklamak da “işleme” kapsamındadır. Ayrıca erişim, yedekleme, sınıflandırma ve silme gibi işlemler de veri işleme faaliyetidir.

Soru 2: Açık rıza alınca her şey çözülür mü?

Cevap: Hayır. Açık rıza, ancak gerekli olduğu hallerde doğru kurgulanırsa anlamlıdır. Gereksiz rıza almak; rıza geri çekildiğinde süreçleri kilitleyebilir ve uyum riskini büyütebilir.

Soru 3: “Meşru menfaat” her durumda kullanılabilir mi?

Cevap: Meşru menfaat, bir “kolay yol” değildir. Kişinin temel hak ve özgürlükleri ile kurum menfaatinin dengelenmesi gerekir. Özellikle pazarlama gibi alanlarda bu gerekçe çoğu zaman uygun değildir.

7) Sonuç: Doğru İşleme Şartı, Uyumun Omurgasıdır

KVKK uyumu, sadece “metin yayınlamak” değildir. Uyumun gerçek omurgası; doğru hukuki sebep seçimi ve bu seçime uygun süreç yönetimidir. Madde 5 ve Madde 6, kurumların veri işleme faaliyetlerini “rasyonel ve denetlenebilir” bir zemine oturtur.

Genel verilerde Madde 5’in şartları doğru seçilmeli,
Özel nitelikli verilerde Madde 6’nın sıkı rejimi işletilmeli,
Açık rıza “her şeyin çözümü” gibi değil, gerçekten gerektiği yerde kullanılmalı,
Amaç, ölçülülük, güvenlik, saklama-imha ve aktarım yönetimi birlikte düşünülmelidir.

Mini Kontrol Listesi: “Doğru Hukuki Sebep Seçtim mi?”

Aşağıdaki sorular, hızlı doğrulama sağlar:

Bu veriyi neden işliyorum? Amaç net mi?
Bu amaç için en uygun Madde 5 / Madde 6 şartı hangisi?
Açık rıza gerçekten şart mı, yoksa istisna mı var?
Aydınlatma metni bu amacı ve hukuki sebebi doğru söylüyor mu?
Veriyi gerçekten gerekli olduğu kadar mı topluyorum?
Saklama süresi ve imha yöntemi belli mi?
Erişim yetkileri, loglar, şifreleme, MFA gibi kontroller yeterli mi?
Üçüncü taraflara aktarım varsa (yurt içi/yurt dışı) kurgusu doğru mu?

Kısa özet: Gereksiz veriyi toplama; toplayacaksan hukuki sebebi netleştir; güvenli yönet; işin bittiğinde imha et. Bu yaklaşım, KVKK’nın 5. ve 6. maddesini sahada “çalışan” bir modele dönüştürür.

Kişisel Veri İşleme Şartları KVKK Madde 5 KVKK Madde 6 Açık Rıza Meşru Menfaat Özel Nitelikli Veri Aydınlatma Saklama-İmha Veri Güvenliği

İlgili hizmet: KVKK hakkında detaylı bilgi hakkında detaylı bilgi almak için sayfamızı inceleyebilirsiniz.