Giriş
Kişisel verilerin korunması, modern hukuk sistemlerinde temel hak ve özgürlüklerin korunmasının önemli bir boyutunu oluşturmaktadır. Türkiye’de bu alanın temel normatif çerçevesi 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile çizilmiştir. Söz konusu Kanun, kişisel verilerin işlenmesini belirli kurallara bağlayarak özellikle özel hayatın gizliliği ve kişisel verilerin korunması hakkını güvence altına almayı amaçlamaktadır.
Anayasa’nın 20. maddesinin üçüncü fıkrası uyarınca kişisel veriler ancak kanunda öngörülen hallerde veya ilgili kişinin açık rızasıyla işlenebilmektedir. Bu anayasal çerçeve doğrultusunda KVKK, kişisel verilerin işlenmesine ilişkin hukuki zemini Kanun’un 5 ve 6. maddelerinde düzenlenen veri işleme şartları aracılığıyla belirlemiştir.
Bu çalışmada, KVKK kapsamında veri işleme şartlarının hukuki niteliği, açık rızanın sistem içindeki konumu, rıza dışı veri işleme halleri, özel nitelikli verilerin işlenmesi rejimi ve yargı kararları ile doktrindeki yaklaşımlar ele alınacaktır.
1. Kişisel Veri İşleme Şartlarının Hukuki Niteliği
KVKK’nın 5. maddesi, kişisel verilerin işlenmesini mümkün kılan hukuki sebepleri düzenlemektedir. Yargı kararlarında bu düzenlemeler;
“kişisel verilerin hukuka uygun işlenmesini sağlayan zorunlu hukuki sebepler”
veya
“hukuka uygunluk nedenleri”
olarak nitelendirilmektedir.
Bir veri işleme faaliyetinin hukuka uygun kabul edilebilmesi için iki şartın birlikte gerçekleşmesi gerekmektedir:
1. Kanun’un 5 veya 6. maddesinde yer alan veri işleme şartlarından en az birinin bulunması
2. Kanun’un 4. maddesinde düzenlenen genel ilkelere uygunluk
Dolayısıyla veri işleme faaliyetinin hukuka uygunluğu yalnızca bir hukuki sebebe dayanmasına değil, aynı zamanda veri işleme ilkelerine uygun olmasına da bağlıdır.
2. Temel Kural: Açık Rıza
KVKK sistematiğinde kişisel verilerin işlenmesinde temel kural ilgili kişinin açık rızasının bulunmasıdır.
Kanun’un 3. maddesinde açık rıza şu şekilde tanımlanmıştır:
“Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza.”
Bu tanım uyarınca açık rızanın geçerli olabilmesi için üç temel unsurun birlikte bulunması gerekmektedir:
- Belirlilik
- Bilgilendirilmiş olma
- Özgür iradeyle açıklanmış olma
2.1 Açık Rızanın Geçerlilik Şartları
Uygulamada açık rızanın geçerli kabul edilebilmesi için ***“opt-in sistemi”***nin uygulanması gerekmektedir. Bu sistemde ilgili kişinin rızası aktif ve bilinçli bir davranışla açıklanmalıdır.
Buna karşılık:
“battaniye rıza” olarak adlandırılan ve belirli bir işleme faaliyetiyle sınırlı olmayan genel nitelikli rızalar hukuken geçerli kabul edilmemektedir.
2.2 Hizmet Şartına Bağlama Yasağı
Açık rızanın geçerli olabilmesi için kişinin gerçek bir seçim hakkına sahip olması gerekir. Bu nedenle rızanın bir hizmetin sunulmasının şartı haline getirilmesi rızayı sakatlar.
Örneğin;
- Bir kamu hizmetinden yararlanmanın
- Bir uygulamayı kullanmanın
kişisel veri işlenmesine rıza gösterilmesi şartına bağlanması gerçek rıza olarak kabul edilmemektedir.
2.3 Dürüstlük Kuralı Sorunu
Doktrinde ve yargı kararlarında dikkat çekilen önemli bir husus da şudur:
Eğer veri işleme faaliyeti Kanun’un 5/2 maddesinde sayılan diğer hukuki sebeplerden birine dayanıyorsa, ayrıca açık rıza alınması dürüstlük kuralına aykırı kabul edilebilmektedir.
Bu durum ilgili kişide, rızasını geri çekmesi halinde veri işlemenin sona ereceği yönünde yanıltıcı bir algı oluşturabilir.
3. Açık Rıza Aranmaksızın Veri İşleme Halleri
KVKK’nın 5. maddesinin ikinci fıkrası, açık rıza aranmaksızın veri işlenebilecek halleri düzenlemektedir.
Doktrinde bu haller “numerus clausus” yani sınırlı sayıda sayılmış hukuka uygunluk nedenleri olarak kabul edilmektedir.
Bu sebepler şu şekildedir:
3.1 Kanunlarda Açıkça Öngörülme
Kanunlarda açıkça öngörülen durumlarda kişisel veriler açık rıza olmaksızın işlenebilir.
Yargı kararlarında örnek olarak;
- iş sözleşmesi kapsamında özlük dosyasında kimlik bilgilerinin tutulması
- mesleki mevzuat gereği adres bilgilerinin kaydedilmesi
gibi uygulamalar hukuka uygun kabul edilmiştir.
3.2 Sözleşmenin Kurulması veya İfası
Bir sözleşmenin kurulması veya ifası için veri işlemenin zorunlu olması halinde ilgili kişinin rızası aranmaz.
Bu kapsamda;
- kredi işlemlerinde kimlik bilgilerinin alınması
- senetli satışlarda kimlik numarasının kaydedilmesi
- üyelik işlemlerinde kimlik bilgilerinin işlenmesi
hukuka uygun kabul edilmektedir.
3.3 Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirmesi
Veri sorumlusunun tabi olduğu bir hukuki yükümlülüğün yerine getirilmesi için veri işlemenin gerekli olması durumunda açık rıza aranmaz.
Örneğin;
- bankaların Risk Merkezi’ne bildirim yapması
- döviz bürolarının kimlik tespiti yapması
- işyerlerinin kamera kaydı tutması
bu kapsamda değerlendirilmektedir.
3.4 Bir Hakkın Tesisi, Kullanılması veya Korunması
Veri işlemenin bir hakkın tesisi veya korunması için zorunlu olması halinde de açık rıza aranmaz.
Bu kapsamda;
- kamera kayıtlarının mahkemede delil olarak sunulması
- şikayet süreçlerinde kimlik bilgilerinin kullanılması
hukuka uygun kabul edilmektedir.
3.5 Veri Sorumlusunun Meşru Menfaati
KVKK’nın 5/2-f maddesi, veri sorumlusunun meşru menfaatinin bulunması halinde veri işlenmesine izin vermektedir.
Ancak bu şartın uygulanabilmesi için:
- veri işlemenin zorunlu olması
- ilgili kişinin temel hak ve özgürlüklerine zarar verilmemesi
gerekmektedir.
Örneğin;
- okul servislerinde güvenlik amacıyla kamera kullanılması
- işyerlerinde güvenlik kameraları
belirli şartlarda meşru menfaat kapsamında kabul edilmektedir.
4. Özel Nitelikli Kişisel Verilerin İşlenmesi
KVKK’nın 6. maddesi, bazı kişisel verileri “özel nitelikli kişisel veri” olarak tanımlamaktadır.
Bu veriler arasında;
- sağlık bilgileri
- biyometrik veriler
- din ve mezhep bilgileri
yer almaktadır.
Bu tür verilerin işlenmesi çok daha sıkı kurallara bağlanmıştır.
4.1 Sağlık Verileri
Sağlık verilerinin işlenmesinde kural olarak açık rıza aranır.
Ancak aşağıdaki amaçlarla rıza aranmaksızın işlenebilir:
- kamu sağlığının korunması
- tıbbi teşhis ve tedavi
- sağlık hizmetlerinin yönetimi
Danıştay kararlarında Muayene Bilgi Yönetim Sistemi (MBYS) üzerinden sağlık verilerinin toplanması bu istisna kapsamında hukuka uygun kabul edilmiştir.
5. Genel Veri İşleme İlkelerinin Emredici Niteliği
KVKK’nın 4. maddesi, veri işleme faaliyetinin temel ilkelerini düzenlemektedir.
Bu ilkeler şunlardır:
- hukuka ve dürüstlük kurallarına uygunluk
- doğru ve güncel olma
- belirli ve meşru amaçlarla işlenme
- ölçülülük
- gerekli süre kadar muhafaza edilme
Bu ilkeler emredici nitelikte kurallardır.
Dolayısıyla veri işleme için bir hukuki sebep bulunsa bile, eğer veri işleme faaliyeti ölçülülük ilkesine aykırıysa işlem hukuka aykırı kabul edilmektedir.
6. Doktrinde Veri İşleme Şartlarının Niteliğine İlişkin Tartışmalar
Literatürde veri işleme şartlarının sistem içindeki konumuna ilişkin iki temel görüş bulunmaktadır.
6.1 Kural – İstisna Yaklaşımı
Bazı yazarlara göre sistemde açık rıza temel kuraldır, diğer veri işleme şartları ise bu kuralın istisnalarıdır.
Bu görüşün dayanağı:
- KVKK sistematiği
- Anayasa’nın 20. maddesi
olarak gösterilmektedir.
6.2 Alternatiflik Yaklaşımı
Diğer bir görüş ise veri işleme şartlarının eşit değerde hukuki sebepler olduğunu savunmaktadır.
Bu görüşe göre;
her bir veri işleme şartı tek başına veri işlemeyi hukuka uygun hale getirmeye yeterlidir
Sonuç
KVKK’da düzenlenen veri işleme şartları, kişisel verilerin korunması hakkına yapılan müdahaleyi hukuka uygun hale getiren sınırlı sayıdaki hukuki dayanaklardır.
Yargı kararları ve doktrin birlikte değerlendirildiğinde şu sonuçlara ulaşılmaktadır:
- Veri işleme şartları numerus clausus niteliğindedir.
- Veri sorumluları veri işlemeye başlamadan önce hangi hukuki sebebe dayanacağını belirlemek zorundadır.
- Açık rıza temel bir kurum olmakla birlikte kanuni dayanak bulunan durumlarda rıza alınması yanıltıcı olabilir.
- Veri işleme faaliyetinin hukuka uygunluğu yalnızca bir hukuki sebebe dayanmasına değil, aynı zamanda genel veri işleme ilkelerine uygun olmasına bağlıdır.
Bu nedenle KVKK sistemi, kişisel verilerin işlenmesini sıkı bir hukuki rejime tabi tutarak bireylerin temel hak ve özgürlüklerini korumayı amaçlayan bütüncül bir düzenleme modeli ortaya koymaktadır.