KİŞİSEL VERİLERİN KORUNMASI KANUNU - II

KİŞİSEL VERİLERİN İŞLENMESİ VE AKTARILMASI

   Kişisel verilerin tamamen ya da kısmen herhangi bir yolla elde edilmesi, değiştirilmesi, düzenlenmesi, saklanması, aktarılması gibi veri üzerinde gerçekleştirilen tüm işlemler, kişisel verilerin işlenmesi olarak değerlendirilir. Kişisel verilerin hukuka aykırı ve bilinçsiz bir şekilde işlenmesi sonucu istenmeyen durumlar ortaya çıkabilir. Günümüzde çokça karşılaşılan olaylardan biri hukuka aykırı işlenen kişisel verilerle dolandırıcılık suçu işlenmesidir. Bu gibi durumların ortaya çıkmaması ve kontrol altına alınabilmesi saikleriyle kanun koyucu kişisel verilerin işlenmesi için birtakım ilkeler öngörmüş ve bazı şartların sağlanmasını aramıştır. Kişisel verilerin işlenmesi için 6698 sayılı Kişisel Verilerin Korunması Kanunu 4. Maddesinde belirtilen ilkelere uyulması zorunludur. 

• Hukuka ve dürüstlük kurallarına uygun olma,

• Doğru ve gerektiğinde güncel olma,

• Belirli, açık ve meşru amaçlar için işlenme,

• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

   Kanun koyucu ancak bu ilkelerde belirtilen kurallara uyan kişilerin ilgili kişisel verileri işleyebileceğini öngörmüştür. Bu ilkelerden herhangi birine açıkça aykırı olan bir faaliyette bulunulması durumunda kişisel verinin hukuka aykırı işlenmesi söz konusu olacaktır. Bu hukuka aykırılıklar, 5237 sayılı Türk Ceza Kanunu 135-140. Maddeleri ile yaptırım altına alınmıştır. 

   KİŞİSEL VERİLERİN İŞLENMESİ

   Kanun koyucu belirttiğimiz gibi kişisel verilerin işlenmesi için birtakım ilkeler öngörmüş ve kişisel verilerin hangi şartlar altında, hangi yol izlenerek işlenebileceğini açıklamıştır. 6698 sayılı Kişisel Verilerin Korunması Kanunu 5. Maddesinde bu şartlar tek tek sayılmıştır. 

   “Kişisel Verilerin Korunması Kanunu 5. Madde:

(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

(2)  Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: 

a) Kanunlarda açıkça öngörülmesi. 

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. 

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. 

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.”

   Yukarıda fıkralar halinde belirtilen kişisel verilerin işlenmesini hukuka uygun hale getiren şartları tek tek incelemek gerekirse;

• Açık Rıza: Açık rızanın ne olduğunu ve hangi şartlar altında gerçekleştiğini daha önce belirtmiştik. Açık rıza kişisel verilerin işlenmesi fiilini hukuka uygun hale getirir. Kanun koyucu açık rızanın varlığı halinde herhangi bir şekilde diğer şartları aramamış ve kişisel verilerin işlenmesini hukuka uygun görmüştür. 

• Fiili İmkansızlık: Fiziki şartlar ya da sağlık sorunları sebebiyle kişiler bazen iradesini açıklayamayacak durumlar içerisinde bulunabilir. Böyle durumların varlığı halinde kişisel verilerin işlenmemesi, o kişinin ya da bir başkasının beden bütünlüğünü tehlikeye atacak, zora sokacak hale düşürmesi durumlarında, her ne kadar kişinin açık rızası olmasa da kişisel verilerin işlenmesi hukuka uygun görülmüştür. Örnek olarak kaçırılan birinin konum bilgisi bir kişisel veridir ancak ona ulaşmak için o verinin işlenmesi gerekir. Bu işlem için açık rıza aramak, kişinin hayatını tehlikeye sokacağından rızanın varlığı kabul edilerek söz konusu verinin işlenmesi hukuka uygun olur. 

• Sözleşmenin İfası: Bir sözleşmenin kurulmasını ya da ifa edilmesini sağlamak için, içinde bulunulan duruma uygun olan sözleşme taraflarının kişisel verilerinin işlenmesi hukuka uygundur. Bu durum için açık rıza aranmaz. Örnek olarak satış sözleşmesine binaen yapılacak teslimat için alıcının adres bilgilerinin satıcı tarafından kaydedilmesi için açık rıza aranmaz, söz konusu veri işleme olayı hukuka uygundur.

• Veri Sorumlusunun Hukuki Sorumluluğu: Veri sorumluları kimi durumlarda kişisel verileri işlemektedirler. Bu işlemeler veri sorumlusunun yükümlülüğünü yerine getirmesi için zorunlu olduğundan açık rıza aranmadan hukuka uygun sayılır. Örneğin mali denetimlerde işçilerin kişisel veri niteliğinde bilgilerin veri sorumlusu tarafından işlenmesi hukuka uygundur.

• Alenileştirilmiş Olma: İlgili kişinin, sahip olduğu kişisel veri niteliğinde bir bilgiyi kamuya açıklaması durumlarında da söz konusu kişisel verinin işlenmesi için açık rıza aranmaz. Örneğin kişilerin telefon numaraları bir kişisel veridir, kural olarak açık rıza olmadan işlenmez. Ancak arabasını satmak için ilanda bulunan kişinin telefon numarasını ilana yazması bir aleniyet kazandırmadır. Buradaki verinin işlenmesi hukuka uygundur.

• Hakkın Tesisi, Korunması, Kullanılması: Kişiler sahip olduğu bir hakkı kullanmak, korumak ya da tesis edilmesini sağlamak için gerekli olan başkasının sahip olduğu kişisel veri niteliğindeki bilgileri işleyebilir. Örneğin kişilerin adresleri, T.C. Kimlik Numaraları bir kişisel veridir, açık rıza olmadan işlenemez. Ancak bir dava açmak isteyen kişi davalısının söz konusu bilgilerini meşru düzlemde işleyebilir ve bu durum hukuka uygundur.

• Meşru Menfaat: İlgili kişinin temel hak ve özgürlüklerine herhangi bir zarar vermemek koşuluyla veri sorumlusunun meşru bir menfaati için kişisel veriler işlenebilir. Örneğin; bir işyerindeki çalışanlar arasında verim oranına göre prim dağıtılması halinde, kişilerin çalışma verimlerini işlemek hukuka uygundur.

   Kanun koyucu kişisel verilerin işlenmesinde temel olarak açık rızanın varlığını aramıştır.  Ancak bunun olmadığı durumlarda kişisel verilerin işlenmesi veri sahibinin bir hakkının doğmasını, vücut bütünlüğünün korunmasını, hukuki bir yararının olmasını ya da veri işleyecek kişinin meşru bir menfaatinin olmasını sağlayacak ise açık rıza aranmadan söz konusu işleme faaliyeti hukuka uygun hale gelecektir. 

   Genel niteliği haiz kişisel verilerin işlenmesi bu şartlara bağlanmış iken özel nitelikteki kişisel veriler daha değerli görülmüş ve korunmaya daha muhtaç haldedir. Bundan dolayı özel nitelikteki kişisel verilerin işlenmesi daha ağır şartların varlığına bağlanmıştır. Kural olarak özel nitelikli kişisel verilerde, genel nitelikteki kişisel veriler gibi işlenmesi açık rızaya bağlanmıştır. Ancak kanunda öngörülen hallerin varlığı durumlarında özel nitelikteki kişisel veriler, sağlık ve cinsel hayata ilişkin olanlar hariç olmak üzere, açık rıza olmadan da işlenebilir.  Sağlık ve cinsel hayata ilişkin kişisel veriler ise kişiler için daha değerli görünmüş ve ekstra koruma şartlarına tabi tutulmuştur. Sağlık ve cinsel hayata ilişkin verilerin işlenebilmesi için kamunun üstün yararı gerekir. Yani ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi gibi kamunun üstün yararının varlığı hallerinde sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından özel nitelikteki kişisel verinin sahibinin açık rızası aranmadan işlenebilir. Görüldüğü üzere kişisel veriler insan hayatları için çok önemli görülmüş olup işlenmesi ağır şartlara bağlanmış olmasına rağmen üstün kamu yararının varlığı hallerinde bu işleme faaliyetleri gerçekleştirilebilecektir.

   Kişisel Verilerin Korunması Kanununda bahsedilen yollarla işlenmiş kişisel nitelikteki verilerin işlenme sebepleri ortadan kalkması sonucu herhangi bir menfaat bulunmayacağı için ilgili verilerin kullanılması hukuka aykırı hale gelecektir. Bundan dolayı verilerin işlenmesini gerektiren sebeplerin ortadan kalkması sonucu ilgili veriler re’sen veya veri sahibinin talebi doğrultusunda veri sorumlusu tarafından anonim hale getirilir, silinir ya da yok edilir. İşleme sebebinin ortadan kalkması sonucunda veri sahibinin ilgili verilerin silinmesi, anonim hale getirilmesi ya da yok edilmesi talebine karşın veri sorumlusunun bu talepleri yerine getirmemesi hukuka uygun başlayan durumu hukuka aykırı hale getirecek ve hukuka aykırı bir veri işleme faaliyeti söz konusu olacaktır. Bunun sonucunda veri sorumlusunun çeşitli yaptırımlara tabi olacaktır. 

   KİŞİSEL VERİLERİN AKTARILMASI

   Veri işleyen kişiler tarafından başka bir veri işleyen ya da veri sorumlusuna kişisel niteliği haiz verilerin gönderilmesi olayı kişisel verilerin aktarılması olarak tanımlanır. Kişisel verilerin aktarılması, kanunda belirtilen kişisel verilerin işlenmesi şartlarına uygun olarak elde edilen verilerin, 6698 sayılı Kişisel Verilerin İşlenmesi Kanunu 8. Maddesinde belirtilen şartların sağlamasıyla yurt içinde bir başka kişiye aktarılması durumda hukuka uygun bir hal alacaktır.  Kişisel verilerin işlenmesinde olduğu gibi kişisel verilerin aktarılmasında da kanun koyucu kural olarak açık rıza aramıştır. Ancak açık rızanın olmadığı bazı durumlarda da kişisel verilerin aktarılması hukuka aykırılık oluşturmayacaktır. Açık rıza olmadan genel nitelikteki kişisel verilerin işlenmesi için gereken fiili imkânsızlık, sözleşme ifası, veri sorumlusunun hukuki sorumluluğu, alenileştirilmiş olma, hakkın tesisi ve meşru menfaat gibi durumların varlığı halinde genel nitelikteki kişisel verilerin aktarılması fiili de hukuka aykırı olmaktan çıkacak ve hukuka uygun olarak değerlendirilecektir. Özel nitelikteki kişisel veriler açısından ise durum daha tedbirlidir. Özel nitelikteki kişisel verilerin işlenmesi için açık rıza olmadan aranan şartların geçekleşmesi halinde yeterli önlemleri almak suretiyle bu verilerinde aktarılması hukuka uygun olarak sağlanabilecektir. Özel ve genel nitelikteki kişisel verilerin yurt içinde aktarımı bu şartlara tabidir.

   Yurt dışına kişisel veri aktarımı ise daha ağır şartlara bağlanmıştır. Yine ilk olarak aranan şart, verisi aktarılacak olan kişinin açık rızasıdır. Kural olarak açık rıza olmadan yurt dışına aktarım yapılamaz. Ancak bu kuralın da istisnaları mevcuttur. Açık rıza olmadan işlenmesi mümkün olan genel ve özel nitelikteki kişisel verilerin başka bir ülkeye aktarılması durumlarında, aktarım yapılacak ülkenin yeterli korumada bulunması ya da yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verilerin Koruma Kurumunun izni bulunması kaydıyla ilgili aktarım yapılabilir. Yeterli korumanın bulunduğu ülkeler Kişisel Verileri Koruma Kurumunca ilan edilir. Yeterli korumanın varlığı, Türkiye’nin taraf olduğu uluslararası sözleşmeler, aktarım yapılacak ülke ile olan ilişkiler, ilgili mevzuat hükümleri gibi durumlar değerlendirilerek tespit edilir.