Giriş
Kişisel Verilerin Korunması Kanunu’nda açık rızaya ilişkin özel bir düzenleme bulunmamaktadır. Sadece açık rızanın (genel ifadelerle) tanımının yapılması ile yetinilmiştir. Bu da yanlış uygulamalara neden olmuş; bu yanlışlıklar ise Kurul’un kararları ve Kurum’un rehberleriyle düzeltilmeye çalışılmıştır.
Açık rıza konusundaki Kurul kararlarından şüphesiz en önemlilerinden biri, bir market zinciri hakkındaki “sadakat kart kararı”dır. Söz konusu kararda Kurul açık rızanın hizmet şartına bağlanamayacağını ifade etmiştir. Bu çalışmanın konusunu ise bir sigorta şirketinin -yine- açık rızayı hizmet şartına bağladığına ilişkin Kurul kararı oluşturmaktadır. Öncelikle açık rıza ve açık rızanın özgür iradeye dayanması konusundan (ve kısaca sadakat kart kararından) bahsedildikten sonra sigorta şirketi hakkındaki kararın değerlendirilmesi yapılacaktır.
I. Açık Rıza
6698 sayılı Kişisel Verilerin Korunması Kanunu’nda açık rızaya ilişkin özel bir hüküm bulunmamaktadır. Açık rızanın ne olduğuna ilişkin tek hüküm Kanun’un “Tanımlar” başlıklı 3/1-a maddesidir. Söz konusu hükme göre açık rıza “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı” ifade etmektedir. Başka bir deyişle açık rıza aşağıdaki asgari unsurları taşıyan rızadır:
- Belirli bir konuya ilişkin olma,
- Bilgilendirme dayanma,
- Özgür iradeyle açıklanma.
Açık rızanın bu unsurları taşımaması durumunda, hukuka uygun/geçerli bir rızadan bahsetmek mümkün değildir. Bu unsurların yanında eğer kişisel veriler bakımından Kanun’un 5/2 maddesindeki[1] hukuki sebepler; özel nitelikli kişisel veriler bakımından ise 6/3 maddesindeki[2] hukuki sebepler yok ise kişisel verilerin ve/veya özel nitelikli kişisel verilerin işlenmesi için açık rıza alınmalıdır.
Açık rıza öncelikle belirli bir konuya ilişkin olarak alınmalıdır. Örneğin, bir açık rıza metni ile tüm iş süreçlerindeki veri işleme faaliyetlerine hukuki neden yaratılmaya çalışılmamalıdır. Özellikle uygulamada evrak işi çıkmasın diye birçok iş süreci için tek bir açık rıza alınması durumuyla sıklıkla karşılaşılmaktadır.
Açık rıza almadan veri ilgililerine mutlaka hukuka uygun bir şekilde aydınlatma yapılmalıdır. Aynı metinde aydınlatma yapılarak açık rıza alınmamalı, veri ilgilileri bilgilendirilerek açık rıza vermeme seçeneği tanınmalıdır. Aki halde aydınlatma ile açık rızanın aynı metinde yer alması durumunda bu seçenek söz konusu olmamaktadır.
Ayrıca özgür iradeyle açık rıza verilmesi sağlanmalıdır. Veri ilgilileri açık rıza vermez ise işten çıkarılacağı veya kendisine hizmet sağlanamayacağı gibi iradesine sakatlayıcı argümanlarda bulunulmamalıdır. Kişisel Verileri Koruma Kurulu’nun (aşağıda ayrıntılı olarak değerlendirilecek olan) bir sigorta şirketi hakkındaki kararı tam olarak bu ikinci duruma ilişkindir.
II. Açık Rızanın Özgür İradeye Dayanması
Açık rızanın özgür iradeye dayanması, veri ilgilisinin açık rıza vermez ise mağduriyet yaşayacağını ya da zarara uğrayacağını düşünmeksizin, rıza vermesini ifade eder. Örneğin, şirkette çalışan bir kişinin işten çıkarılacağı korkusu ile kişisel verilerinin işlenmesine açık rıza vermesi durumunda özgür iradeden söz etmek mümkündür değildir. Bu korkunun kişiye hissettirilmesi de özgür iradenin sakatlanması bakımından yeterlidir (ispat edilebilirliği tartışılabilir). Nitekim uygulamada da çalışanların verdikleri açık rızaların özgür iradeyle verilip verilmediği tartışmalıdır.
Özgür iradeyi sakatlayan durumlara diğer bir örnek ise açık rızanın hizmet şartına bağlanmasıdır ki Kurulun -bu yazının konusunu oluşturan- kararı da buna ilişkindir. Söz konusu kararı incelemeden önce açık rızanın hizmet şartına bağlanması konusunda Kurulun emsal nitelikteki 25.03.2019 tarihli ve 2019/82 sayılı bir market zincirinin sadakat kart uygulamasına ilişkin kararından da bahsetmek gerekir.
Bir market zinciri bazı alışveriş ve hizmet alımlarında indirim ve puan biriktirme avantajı sağlayan sadakat kart ile ilgili internet sitesinde “Kişisel Verilerin Korunması Kanunu kapsamında izninizi lütfen güncelleyiniz. İzni güncel olmayan müşterilerimiz, kişisel bilgileri silineceği için kasalarımızdan cep telefonu söyleyerek alışveriş yapamayacaklar.” açıklamasına yer vermiştir. Bunun üzerine açık rızanın hizmet şartına bağlandığı gerekçesiyle Kuruma şikâyette bulunulmuştur. Kurul ise şikâyet üzerine yaptığı inceleme neticesinde müşterinin Sadakat Kart Programına üye olmadığı durumda şirketin sunduğu ürüne ve kişiye özel fırsat dünyasından faydalanamadığı ancak bu durumun hiçbir şekilde herhangi bir müşterinin şirketin sunduğu alışveriş ortamından faydalanmasını engellemediği gerekçesiyle açık rıza alma işleminin hizmet şartına bağlanmadığına karar vermiştir.
Kurulun bu kararından şu önemli sonuç çıkmaktadır: İndirim / kampanya uygulanması için açık rıza verilmesinin şart koşulması durumunda; (açık rıza verilmemesinin hizmetin sağlanmasını engellememesi nedeniyle) açık rızanın hizmet şartına bağlanmış olmadığı; dolayısıyla da özgür irade sakatlanmadığı için (diğer unsurları da sağlıyor ise) alınan açık rızanın geçerli ve hukuka uygun olduğudur.
III. Sigorta Şirketi Hakkındaki Karar Özeti
Kararın konusunu oluşturan şikâyet dilekçesinde; veri ilgilisinin, veri sorumlusu bir sigorta şirketine başvurarak ailesi adına düzenlettiği sağlık sigortası poliçesini yeniletmek istediği; ancak veri sorumlusunun kendisinden poliçeyi yenilemek için açık rıza almak istediği ifade edilmiştir. Başvuru üzerine Kurul tarafından inceleme yapılmış olup inceleme neticesinde; sağlık sigortası poliçesinin özel nitelikli kişisel veri niteliğini haiz sağlık verilerini içerdiği, poliçede yer alan sağlık verilerinin ise Kanunun 6/3 maddesi doğrultusunda açık rıza almaksızın işlenemeyeceği ve bu nedenle ilgili kişiden açık rıza alınması talebinin Kanuna aykırılık oluşturmadığı ve de şikâyet ile ilgili olarak Kanun kapsamında tesis edilecek bir işlem bulunmadığına karar verilmiştir.
IV. Kararın Değerlendirmesi
Sağlık sigortası poliçelerinin oluşturulabilmesi ve kişilere sağlık sigortası hizmetinin sağlanabilmesi amacıyla veri ilgililerinin “Kimlik Bilgisi (Adı, Soyadı, TCKN, Doğum Tarihi, Cinsiyet vb.), İletişim Bilgileri (Adres, Telefon Numarası), Müşteri İşlem Bilgisi (Ödenecek Tutar, Taksit Sayısı vb.)” kategorilerine giren kişisel verilerinin yanında “Sağlık Bilgisi” kategorisine giren özel nitelikli kişisel verileri de işlenmektedir.
Poliçe yenileme ve sağlık sigortası hizmetini sağlayan sigorta şirketi çalışanlarının sır saklama yükümlülüğüne sahip kişilerden (doktor, hemşire vb.) olmaması ve veri işleme faaliyetinin kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla gerçekleştirilmemesi nedeniyle sağlık bilgisinin işlenmesi ancak veri ilgilisinden açık rıza alınması ile mümkündür.
Bu nedenle somut olayda sigorta şirketinin veri ilgilisinin sağlık bilgisini açık rıza almaksızın işlemesi mümkün olmayıp açık rıza verilmediği için poliçe yenileme işlemini gerçekleştirmemesi (sağlık bilgisini işleyememesi nedeniyle) hukuka uygun bir uygulamadır. Ancak veri ilgilisinin açık rızanın hizmet şartı olarak sunulduğunu düşünmesi sigorta şirketi tarafından yapılan aydınlatmanın niteliğini konusunda soru işaretleri yaratmaktadır. Veri ilgililerine aydınlatma yapılırken sadece Kanunun 10. maddesinde ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’deki asgari unsurların sağlanmasına odaklanılmamalıdır. Asgari unsurlar sağlanırken içerikte de veri ilgilisinin doğru bir şekilde bilgilenmesi hedeflenmelidir. Mevcut olaydan örnek vermek gerekirse sağlık sigortası poliçesini yenilemek isteyen veri ilgilisinin aydınlatma metnini okuduğunda sağlık bilgisinin neden açık rıza ile işlendiği ve aslında açık rızanın hizmet şartına bağlı tutulmadığı hakkında bilgi sahibi olması gerekir.
Her ne kadar Kurul kararında bu durumdan bahsetmese de uygulamadaki en büyük problemlerden biri aydınlatma metinlerinin niteliklerinin yeterli nitelikte ve kalitede olmamasıdır. Çoğu veri sorumlusu aydınlatma metinlerinde sadece mevzuattaki asgari unsurları sağlama yoluna gittiğinden, kişileri bilgilendirmeden uzak metinler aydınlatma metni adı altında kullanılmaktadır. Oysaki aydınlatma yükümlülüğünün amacı veri ilgililerinin işlenen kişisel verileri hakkında bilgilenmesidir. Burada veri ilgililerinin profili değerlendirilerek aydınlatma metinlerinin içeriklerinin geliştirilmesi, niteliklerinin iyileştirilmesi gerekir.
Ne yazık ki Kanun’un yürürlüğe girmesinin üzerinden yaklaşık beş yıl geçmesine rağmen, Kişisel Verilerin Korunması farkındalığı uygulamada henüz tam olarak oluşmamıştır. Özellikle bu alanda faaliyet gösteren pek çok kişi tarafından yasal düzenlemelerin gerekçelerinin göz ardı edilmesinin de bu sonucun ortaya çıkmasında payı vardır.
Kişisel Verilerin Korunması’na uyum her bir veri sorumlusu özelinde bu sorumlunun faaliyet alanı ve işlediği verilin niteliği ve niceliği dikkate alınarak gerçekleştirilmelidir. Taslak aydınlatma ve açık rıza metinleri kullanılmamalı, her bir veri sorumlusunun iş süreçleri özelinde aydınlatma ve açık rıza metinleri hazırlanmalıdır. Ayrıca bununla da sınırlı kalmayıp veri sorumluları ve/veya çalışanlarının Kişisel Verilerin Korunması Hukuku konusunda bilgi sahibi olması ve veri ilgililerini doğru bir şekilde yönlendirmesi gerekir. Aydınlatma ve açık rıza metinleri bakımından veri ilgilisi soru sormak istediğinde aydınlatma ve açık rıza metnini sunan veri sorumlusu çalışanlarının konu hakkında bilgi verebiliyor olması gerekir. Belki de mevcut olayda da veri ilgilisi konu hakkında nitelikli bir aydınlatma metni ile bilgilendirilseydi ve soruları da sözlü olarak yanıtlansaydı konu Kurula intikal etmeyecekti.
V. Sigorta Şirketleri Tarafından İşlenen Sağlık Verileri
Sigorta şirketleri, sigorta hizmetinin sağlanması için veri ilgilisinin “Kimlik Bilgisi, İletişim Bilgisi, Müşteri İşlem Bilgisi” kategorilerine giren kişisel verilerinin yanında “Sağlık Bilgisi” gibi özel nitelikli kişisel verilerini de işlemektedir. Nitekim sigorta poliçesinin hazırlanması, sözleşmenin akdedilmesi ve hizmetin sağlanabilmesi için mutlaka kişisel verilerin işlenmesi gerekir.
Kimlik bilgisi, iletişim bilgisi ve müşteri işlem bilgisi kategorilerine giren kişisel verilerin işlenmesi bakımından 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5/2 maddesindeki hukuki sebepler söz olduğu için bu kategorideki kişisel verilerin işlenmesi için açık rıza gerekmemektedir. Ancak konu sağlık verisinin işlenmesi olunca 6/3’deki şartlar sağlanmadığından mutlaka açık rıza alınması gerekir.
Hizmeti sağlamak için sağlık verisine ihtiyacı olan sigorta şirketi, bu veriyi işlemek için doğal olarak açık rıza istemektedir. Açık rıza almaksızın hizmeti sağlaması mümkün değildir. Bu durumda veri sorumlusu açık rızayı hizmet şartına mı bağlamış olur?
İşte Kurul kararı da bununla ilgilidir. Açık rızanın hizmet şartına bağlanması konusunda açık rızanın hangi veriler ve hangi işleme faaliyeti için istendiğinin belirlenmesi ve ikili bir ayrıma gidilmesi gerekir. Şöyle ki; eğer ana hizmetin sağlanabilmesi amacıyla açık rıza gerekli ise burada açık rıza verilmediği takdirde hizmetin sağlanamıyor olması açık rızanın hizmet şartına bağlandığı anlamına gelmemektedir. Tabi bu durum için veri ilgililerine açık rıza vermeksizin hizmet alabileceği alternatif bir yol sunulmalıdır ki her zaman alternatif bir yol da olmayabilir.
Sigorta şirketleri bakımından durumu somutlaştırmak gerekirse sigorta şirketleri sağlık verisini işleyerek poliçe düzenlemektedirler. Poliçeyi düzenleyen kişiler de sır saklama yükümlülüğüne sahip olmayan kişilerdir. Açık rıza vermek istemeyen kişinin poliçesi sır saklama yükümlülüğüne sahip bir kişi tarafından düzenlense bile (yani kişi doktor, hemşire ve benzerine yönlendirilse bile) sağlık verisinin işlenme amacının kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçlarından biri (veya birden fazlası) olmadığı için açık rıza verilmediği takdirde sağlık verisinin işlenmesi sağlık sigortası hizmetinin sağlanması bakımından mümkün değildir.
Açıkça görülüyor ki mevcut düzenlemeler kapsamında söz konusu faaliyet bakımından alternatif bir yol mevcut olmadığından açık rıza verilmemesi durumunda ana hizmetin sağlanamaması açık rızanın hizmet şartına bağlandığı anlamına gelmemektedir. Ancak uygulanabilir alternatif bir yol olsaydı ve sigorta şirketi alternatifi yolu oluşturmaksızın açık rıza vermeyenlere hizmet sağlamasaydı açık rızanın hizmet şartına bağlanması söz konusu olacaktı. Bu bakımdan sigorta şirketlerinin yapması gereken aydınlatma metinlerini nitelikli şekilde hazırlamalarıdır. Aydınlatma metnini okuyan kişi sigorta şirketinin neden açık rıza aldığını, neden açık rıza verilmediği takdirde kendisine sağlık sigortası hizmetinin sağlanamayacağını anlamalıdır. Ayrıca aydınlatma ve açık rıza metinlerini veri ilgilisine sunan sigorta çalışanlarının (muhtemelen poliçe düzenleme konusunda yetkili kişilerin) veri ilgililerine ihtiyaç halinde sözlü olarak bilgi verebilecekleri donanıma sahip olmaları gerekir. Açık rızanın bilgilendirme unsuru tam olarak yerine getirildiğinde açık rızanın hizmet şartına bağlandığı düşüncesi de veri ilgililerinde oluşmayacaktır.
Kararda belirsizlik olan noktalar olmakla birlikte uygulamada benzer örnekleriyle çok sık karşılaşılan bir konuda Kurulun verdiği bu karar çok önemlidir. Ancak umut ederiz ki Kurul kararlarında daha çok ayrıntıya yer vererek alternatif yola da dikkat çeker ve uygulamanın yanlış yönlenmesinin önüne geçer. Aksi halde böyle önemli bir karar, açık rıza alınmaksızın hizmetin sağlanması mümkün olduğu durumlarda, yani alternatif bir yolun olduğu durumlarda dahi veri sorumlularını daha kolay ve maliyetsiz görünen açık rıza alma yoluna itebilecektir.
Son olarak yan hizmetler bakımından açık rızaya değinmek gerekir. Yan hizmetlerin sağlanması için kişisel verilerin işlenmesi amacıyla açık rıza alınmak istenmesi halinde açık rızanın hizmet şartına bağlanmasından söz etmek mümkün değildir. Çünkü veri sorumlusu ana hizmetini sağlamakta, reklam/kampanya/indirim gibi yan hizmetleri konusunda ise açık rıza istemektedir. Böyle bir açık rıza alma işlemi açık rızanın özgür iradeyle verilmesi unsurunu sakatlamayacağından hizmetin açık rızaya bağlandığından da söz edilemeyecektir. Ancak bu konuda aydınlatma çok iyi yapılmalı, ana hizmet ile yan hizmetler için alınan açık rıza metinleri ayrıştırılmalı, veri ilgilisi ne için açık rıza verdiği çok iyi bilebilecek durumda olmalıdır.
Sonuç
Açık rıza 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 3/1-a maddesi ile tanımlanmıştır. Söz konusu hükme göre açık rıza belirli bir konuda, bilgilendirmeye dayalı ve özgür iradeyle verilmiş olmalıdır. Bu üç unsurdan biri eksik ise açık rıza hukuka aykırı olmaktadır. Bu unsurlara sahip açık rızanın, kişisel veriler bakımından Kanunun 5/2 maddesindeki, özel nitelikli kişisel veriler bakımından ise 6/3 maddesindeki hukuki sebepler yok ise alınması gerekir. Bu hukuki sebepler varken kişisel veri işlemek için alınan açık rıza hukuka aykırıdır. Ancak Kanunun yürürlüğe girmesinin üzerinden beş yıl geçmesine rağmen hala 5/2 ve 6/3. maddelerindeki hukuki sebepler varken açık rıza alındığı (garanti olur düşüncesiyle), aydınlatma ile açık rızanın aynı metinde düzenlendiği (az evrak işi çıksın düşüncesiyle), açık rızanın hizmet şartına bağlandığı veya aydınlatma ve açık rıza metinlerinin (sadece idari para cezası almamak düşüncesiyle) kötü nitelikte hazırlandığı durumlarla karşılaşmaktayız. Bu durumların hala yaşanıyor olması Kişisel Verilerin Korunması konusunda farkındalığın henüz sağlanamadığının en büyük göstergesidir.
Daha önceki çalışmalarımızda da belirttiğimiz üzere Kurul’un kararlarında mutlaka uygulamadaki problemleri çözme amacıyla hareket etmesi, karar özetlerini de bu kapsamda oluşturması gerekir. Ancak ne yazık ki Kurul bu kararı ile de bilineni tekrar etmekten öteye gidememiştir.
Bu yazının konusunu oluşturan kararda sigorta şirketi sağlık sigortası poliçesinin yenilenmesi için (sağlık bilgisi kategorisine giren özel nitelikli kişisel verileri işlemesi gerektiğinden ve Kanunun 6/3 maddesi uygulama bulmadığından) açık rıza almak istemiş; açık rıza verilmez ise poliçeyi yenilemeyeceğini belirtmiştir. Veri ilgilisi ise açık rızanın hizmet şartına bağlandığı gerekçesiyle Kuruma şikâyette bulunmuştur.
Açık rızanın hizmet şartına bağlanması açık rızanın unsurlarından olan özgür iradeyle verilmesi unsurunu sakatladığından, hizmet şartına bağlanan açık rıza hukuka aykırı hale gelmektedir. Bu nedenle açık rızanın hizmet şartına bağlanıp bağlanmadığı somut olay özelinde değerlendirilmelidir. Hizmetin sağlanması amacıyla kişisel verilerin (ve/veya özel nitelikli kişisel verilerin) işlenmesi için açık rıza verilmesi gerekiyor ve veri ilgilisi açık rıza vermediği için de kişisel veriler (ve/veya özel nitelikli kişisel verileri) işlenemiyor ise doğal olarak veri sorumlusu tarafından hizmetin sağlanması mümkün değildir. Ancak hizmetin sağlanması amacıyla gerekli olan kişisel verilerin açık rıza almaksızın (5/2 ve 6/3’deki hukuki sebepler olduğundan) işlenebildiği durumda yan hizmetler (tanıtım, reklam vb.) bakımından gerekli olan kişisel verilerin işlenmesi için açık rıza isteniyor ve bu verilmediği takdirde ana hizmetin sağlanamayacağı belirtiliyor ise burada açık rızanın hizmet şartına bağlandığından söz edilir. Ancak dikkat edilmelidir ki ana hizmetin sunulması için açık rızanın gerektiği durumlarda açık rıza alınmaksızın da ana hizmetin sağlanabilmesine imkân sağlayan alternatif bir yol var ise bu yol mutlaka oluşturulmalı ve sahibine alternatif yol da gösterilmelidir. Aksi halde yine açık rızanın hizmet şartına bağlanması söz konusu olacaktır. Bu bakımdan -karara konu olan örnekteki bir durumda- sigorta şirketlerinin açık rızayı hizmet şartına bağlaması hukuka uygun olarak kabul edilecektir.
Son olarak her ne kadar Kurul inceleme yapmasa da veri sorumlularının aydınlatma yaparken nitelikli metinler kullanmaları ve veri ilgililerini bilgilendirmeleri çok önemlidir. Meğerki karara konu olaydaki gibi yanlış değerlendirilmelerin önüne geçilmesin. Bu bakımdan sigorta şirketlerinin de aydınlatma ve açık rıza metinlerini nitelikli şekilde oluşturmaları, özellikle açık rıza verilmeksizin hizmetin sağlanamayacağı (alternatifsiz) durumlarda aydınlatma metnini okuyan kişilerin açık rıza vermediği takdirde neden kendisine hizmetin sağlanamayacağını rahatlıkla anlayacağı bir içerikte olmalıdır.
Ayrıca aydınlatma ve açık rıza metnini veri ilgililerine sunan veri sorumlusu çalışanların da veri ilgililerini konu hakkında sözlü olarak da bilgilendirebilecekleri bir donanıma sahip olması gerekmektedir. Böylece açık rıza bakımından bilgilendirme unsuru tam olarak yerine getirilmiş olacaktır.
Murat Volkan Dülger* / Cansu Ceren Kahraman*
-----------------
* Avukat, Doç. Dr., İstanbul Aydın Üniversitesi Hukuk Fakültesi Ceza Hukuku ve Ceza Muhakemesi Hukuku Anabilim Dalı,
* Avukat, İstanbul Barosu, Marmara Üniversitesi Sosyal Bilimler Enstitüsü Kamu Hukuku Bölümü Yüksek Lisans Öğrencisi,
[1] “Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması.”.
[2] “Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.”.