Kişisel Verilerin İşlenmesi

SAYI : ÖZDERİN 2022/13

Her geçen gün giderek kalabalıklaşan dünyamızda; devletler, güvenlik önlemleri alabilmek, global şirketler, mal ve hizmetlerini talebe/sözleşmeye uygun biçimde geliştirebilmek, bu mal ve hizmetlerini doğru reklam ve pazarlama teknikleri ile daha büyük kitlelere ulaştırabilmek, finans kuruluşları, yapacakları yatırımlar öncesinde doğru analizler ile riski en aza indirgeyebilmek, kimi kuruluşlar, ellerinde bulundurdukları bilgiler ile ticari kar elde edebilmek amaçlarıyla kişisel veri işleme faaliyeti yapmaktadır. Bilişim teknolojilerinin de giderek gelişmesi, veri işleme faaliyetini her geçen gün daha da kolaylaştırmaktadır. Hal böyleyken devletler, kişisel veri kavramını tanımlamak ve kişisel veri işleme faaliyetlerini belli başlı bazı kurallara ve sınırlandırmalara tabi tutmak zorunda kalmıştır.

Bu bülten yazımızda, kişisel veri kavramının ne olduğundan, veri işleme faaliyetinin neleri kapsadığından, bu faaliyetin hangi sınırlara ve kurallara tabi tutulduğundan bahsedilecek ve tüm bunların ülkemizde hangi hukuki düzenlemeler ve kuruluşlar nezdinde yürütüldüğü açıklanacaktır.

Ülkemizde, kişisel veri kavramı, ilk olarak 2010 senesinde T.C. Anayasası md. 20’ye[1] eklenen bir fıkra ile kanunlar seviyesinde anılmış ve kişisel verilerin korunması bir hak olarak kabul edilerek anayasal teminat altına alınmıştır. Anayasal bir hak statüsüne sahip olan kişisel verilerin korunması hakkı, 24 Mart 2016 tarihinde kabul edilen, 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile müstakil bir kanun ile ayrıca düzenlenmiştir.

1. Kişisel Veri Kavramı

KVKK md. 3 (d)’ye göre, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veri olarak tanımlanmaktadır. Bu tanımdan; tüzel kişilere ilişkin bilgilerin kişisel veri olarak değerlendirilmediği, oysa bu tüzel kişilik içerisinde yer alan gerçek kişiler ile veri işleme faaliyetine konu olan diğer gerçek kişilerin belirlenmesini sağlayan her türlü bilginin ise kişisel veri olarak kabul edildiği anlaşılır. Ancak KVKK, hangi bilgilerin kişisel veri olarak kabul edileceğini teker teker saymamış bunun yerine her türlü bilgi ifadesini kullanarak kişisel veri kapsamının genişletilmesini mümkün kılmıştır. Her türlü bilgi ifadesinden, bir gerçek kişinin sadece kimliğini ortaya koyan, adı, soyadı, doğum tarihi ve doğum yeri gibi bilgilerini anlayabileceğimiz gibi; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmişi, fotoğrafı, görüntü ve ses kayıtları, parmak izi, e-posta adresi, hobileri, tercihleri, etkileşimde bulunduğu kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan diğer tüm bilgilerini de anlamaktayız. Kısacası bir verinin kişisel veri olup olmadığını anlayabilmek için, verinin herhangi bir gerçek kişi ile ilişkilendirilebiliyor olması ya da o gerçek kişiyi tanımlayabilmesi kriterleri göz önünde bulundurulacaktır.

2. Kişisel Veri İşleme Faaliyeti

KVKK md. 3 (e), kişisel verilerin işlenmesini, kişisel verilerin, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlamıştır. Yani, herhangi bir şekilde elde edilen bir kişisel veri üzerinde, elde edilmesi anından başlayarak o veri silinene, yok edilene ya da anonim hale getirilene dek gerçekleştirilen her türlü faaliyet KVKK kapsamında kişisel veri işleme faaliyeti olarak kabul edilmiştir. Bu açıklamadan, bir kişisel verinin aktarılmasının da o verinin tekrar erişilebilir halde saklanmasının da veriler üzerinde analizler yapılmasının da veri işleme faaliyeti olarak kabul edildiği anlaşılmaktadır.

3. Kişisel Verilerin İşlenmesi Şartları

Kişisel veri kavramı tanımlandıktan ve kişisel veri işleme faaliyetinin neleri kapsadığından bahsedildikten sonra ise sıra kişisel veri işleme faaliyetinin usul ve esaslarının neler olduğuna gelmektedir. Bilindiği üzere KVKK’nın temel amacı; kişisel verilerin sınırsız biçimde ve gelişigüzel toplanmasının, yetkisiz kişilerin erişimine açılmasının, ifşa edilmesinin veya amaç dışı ya da kötüye kullanımı sonucu kişisel hakların ihlal edilmesinin önüne geçmektir. KVKK, bu amacını gerçekleştirebilmek adına kişisel veri işleme faaliyetinde uyulması gereken genel ilkeleri ortaya koymuştur. Bu ilkeler KVKK md. 4’te;

• Hukuka ve dürüstlük kurallarına uygun olma,
• Doğru ve gerektiğinde güncel olma,
• Belirli, açık ve meşru amaçlar için işlenme,
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

şeklinde sıralanmıştır. Veri işleme faaliyeti her ne sebeple yapılıyor olursa olsun yukarıdaki genel ilkelere uyulmak zorundadır. Özetle aşağıdaki şartların tümü var olsa dahi bütün veri işleme faaliyetlerinin gerektiği kadar sınırlı ve ölçülü şekilde yapılması, amaç dışına çıkan veri işleme faaliyetlerinde bulunulmaması, işlenen verilerin güncel ve doğru olması ve amacın gerçekleştirilmesi halinde veya kanunen belirlenen süre sonunda silinmesi gerekmektedir. Bir başka deyişle ilgili kişinin verdiği açık rıza, sınırsız ve gelişigüzel veri işleme faaliyetinde bulunulabileceği anlamına gelmemektedir.

KVKK md. 4’te sıralanan genel ilkelere uygun şekilde yapılacak her türlü kişisel veri işleme faaliyeti kural olarak veri sahibinin/ilgili kişinin açık rızası ile mümkündür. KVKK’nın gerekçesinde açık rıza, “İlgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı” şeklinde ifade edilmiştir. Ancak öyle bazı durumlar vardır ki ilgili kişinin açık rızası olmasa da veri işleme faaliyeti hukukilik kazanabilmektedir. İşte açık rıza olmaksızın hukuki şekilde kişisel veri işlemenin mümkün olduğu haller KVKK md. 5/2’de sınırlı sayıda sayılmış olup aşağıdaki gibidir;

1. Kanunlarda açıkça öngörülmesi,
2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
5. İlgili kişinin kendisi tarafından alenileştirilmiş olması,
6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kişisel veri işleme faaliyeti söz konusu olduğu zaman KVKK md. 5/2’de sınırlı sayıda sayılmış hallerden herhangi birisi mevcut değilse veyahut özel nitelikli bir kişisel veri işleme faaliyeti söz konusu ise ilgili kişinin açık rızası alınmalıdır. Ayrıca açık rıza yükümlülüğü olmasa dahi ilgili kişiye KVKK md. 10 ve md. 11’de[2] sıralanmış şartları içeren bir aydınlatma metni sunulmalıdır. Unutulmaması gereken en önemli husus, aydınlatma metni sunulduğunun ispat yükümlülüğü veri işleyen tarafta bulunduğundan aydınlatma metninin ispat edilebilir yöntemlerle sunulmuş olması gerektiğidir.

Açıklandığı üzere kişisel veri işleme faaliyetinde bulunuyorsanız süreç boyunca;

• KVKK md. 4’te sıralanmış genel ilkelere uyulmalı,
• Her türlü veri işleme faaliyetinde açık rıza alınması yükümlülüğü olup olmadığı fark etmeksizin KVKK md. 10 ve md.11’de sıralanan şartları içeren bir aydınlatma metni sunulmalı,
• Aydınlatma metninin ilgili kişiye sunulup sunulmadığı ispatlanabilir olmalı,
• KVKK md. 5/2’de sayılmış 7 istisnadan birisi mevcut değilse veyahut KVKK md. 6’da açıklanmış özel nitelikli kişisel veri işleme faaliyeti varsa veri işleme faaliyetine başlamadan önce ilgili kişinin geçerli şekilde açık rızası alınmalıdır.

Veri işleme süreci boyunca sıralanan şartlardan herhangi birinin eksikliği halinin hem cezai hem de hukuki sorumluluğunun olduğu ise unutulmamalıdır. Kanun kapsamında kurulmuş Kişisel Verilerin Korunması Kurulu tarafından re’sen veya ilgili kişinin talebi üzerine uygulanacak olan idari para cezası meblağlarının bir hayli yüksek olduğuna da ayrıca dikkat çekmek isteriz. Bu nedenle personellerinize bu konuda eğitim vermenizi mümkünse dışarıdan ayrıca hukuki destek alınmasını tavsiye ederiz.

Konu ile ilgili herhangi bir soru veya sorununuz olması halinde bizimle irtibat kurmanızı rica ederiz.

Saygılarımızla,

Av. Senem Nimet ÇETİN                                 Stj. Av. İrem Can TANIŞ

Danışmanlık Departmanı Yöneticisi                     Danışmanlık Departmanı