Kişisel Verilerin İşlenmesi ve Silinmesine İlişkin Şartlar Nelerdir?

A. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Kişisel Verileri Koruma Kanunumuzun 5. maddesinde kişisel verilerin işlenme koşulları belirtilmiş olup kural olarak ilgilinin açık rızasının bulunduğu durumlar ve maddede sayılan istisnalar haricinde ilgilinin kişisel verilerinin işlenmesi yasaktır.

1. Açık Rıza

Açık rıza şartı genel ve hassas nitelikli verilerin işlenmesinde aranır. Açık rıza KVKK m.3’de “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza’’ olarak tanımlanmıştır. Avrupa Birliği Temel Haklar Şartı’nda ve 95/46/AT sayılı Avrupa Birliği Yönergesinde yer alan düzenlemelere göre ilgilinin açık rızasının geçerli bulunabilmesi için bazı gerekliliklere ihtiyaç vardır. Bunlardan biri rızanın şüpheye yer vermeyecek şekilde yani kesin olması ve açık olarak belirtilmesidir. Bu gerekliliklerin sağlanabilmesi için ilgili kişinin kişisel verilerinin işlenip işlenmemesi konusunda bir seçim hakkı olmasıdır. Eğer kişinin rıza gösterme konusundaki iradesi dış sebeplerce etkilenmişse bu durumda kişinin özgür iradesinden şüphe edilmelidir. Söz konusu rıza bittabi örtülü şekilde de olabilir. Bahsi geçen yönergede belirtilen diğer bir ölçüt ise rızanın somut veri işlem faaliyetine ilişkin olmasıdır.

2. Açık Rıza Aranmaksızın Kişisel Verilerin İşlenmesi

a) Kanunlarda Açıkça Öngörülmesi

6698 sayılı Kanunumuzun 5. Maddesinde kanunlarda açıkça öngörülmesi halinde açık rıza aranmaksızın verilerin işlenebilmesi hukuka uygun hale getirilmiştir. Kanun’un gerekçesinde, kolluk tarafından bir suçun soruşturulması sırasında 2559 sayılı Polis Vazife ve Salahiyet Kanunu m.5 uyarınca şüphelilerin parmak izlerinin alınması veya 5253 sayılı Adli Sicil Kanunu uyarınca Adalet Bakanlığının kişilerin ceza mahkûmiyetine ilişkin verilerini işlemesi halleri bu istisnanın birer örneği olarak gösterilmiştir.[1]

Bu örneklerin dışında; CMK’nın 134. maddesinde belirtildiği üzere bilgisayarlarda, bilgisayar programlarında ve kütüklerinde arama, kopyalama ve elkoyma yapılabilmesine, aynı kanunun 135. Maddesinde bir suça ilişkin yapılan soruşturma veya kovuşturmaya ilişkin olarak kanunda aranan şartların varlığı halinde şüpheli veya sanığın iletişiminin tespit edilebilmesine, kayda alınabilmesine ve sinyal bilgilerinin değerlendirilebilmesine imkân tanıyan hükümler mevcuttur.

İcra İflas Kanunun 8. maddesinde belirtildiği üzere icra ve iflas dairelerince yapılacak her türlü icra ve iflas iş ve işlemlerinde Ulusal Yargı Ağı Bilişim Sistemi kullanılır; her türlü veri, bilgi, belge ve karar, Ulusal Yargı Ağı Bilişim Sistemi vasıtasıyla işlenir, kaydedilir ve saklanır.

İş Kanunun 75. madde hükmünde işverene işçilerin özlük dosyasını hazırlama ve kişisel verilerini hukuka uygun şekilde kullanmakla yükümlüdür.

a) İşlemenin İlgili Kişi veya Bir Başkasının Hayatı veya Beden Bütünlüğünün Korunması için Zorunlu Olması

Kişisel verilerin işlenmesi için açık rızanın aranmayacağı ikinci hal, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için işlemenin zorunlu olması halidir.

Bununla birlikte KVKK m. 5/1(b)’nin gerekçesinde verilen örnekte kişinin şuurunun yerinde olmadığı veya akıl hastası olması sebebiyle rızasının geçerli olmadığı bir durumda, hayat veya beden bütünlüğünün korunması amacıyla, tıbbi müdahale yapılması sırasında, kişisel verileri işlenebilecektir. Bu bağlamda kan grubu, geçirilen hastalıklar ve ameliyatlar, kullanılan ilaçlar gibi veriler, ilgili sağlık sistemi üzerinden işlenebilecektir. Yine hürriyeti tahdit edilen bir kişinin kurtarılması amacıyla, kendisinin veya şüphelinin taşımakta olduğu telefon, bilgisayar, kredi kartı, banka kartı veya diğer teknik bir araç üzerinden yerinin belirlenmesi için bu veriler işlenebilecektir. [2]

Bununla birlikte yalnızca kişisel veri sahibinin hayati çıkarı için değil kişinin çevresindeki bireyler lehine de veriler kullanılabilir. Örneğin veri sahibine salgın hastalık bulaşması dolayısıyla çevresindeki kişilerin bundan etkilenmemesi için veri sahibinin izni alınmaksızın verileri işlenebilir.[3]

Kanunumuzun açık rızaya istisna getirdiği bu hükmün kullanış amaçlarından bir diğeri rızasına hukuki geçerlilik tanınmayan kişilerin hayati çıkarlarını korumak amacıyla kişisel verilerinin işlenebilmesidir. Buna örnek olarak, ayırt etme gücü olmayan bir küçüğün velisine veya vasisine ulaşılamaması halinde ve eğer bu küçüğün veya bir başkasının hayati çıkarlarının korunması için küçüğün kişisel verileri işlenmesi gerekiyorsa, küçüğün rızası alınmaksızın kişisel verilerinin işlenebilmesi hali gösterilebilir[4].

a) Sözleşmenin Kurulması veya İfasıyla İlgili Kişisel Verilerin İşlenmesi

Kanun m.5/2(c) hükmünde, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde açık rıza olmaksızın ilgili kişinin kişisel verilerinin işlenebileceği belirtilmektedir. Kanun gerekçesinde verilen örnek dikkate alınırsa bankayla kredi sözleşmesi yapılması sırasında bankanın, o kişiye ait maaş bordrosunu, tapu kayıtlarını, icra borcu olmadığına dair belgeyi edinmesi bu kapsamda değerlendirilir.

b) Veri sorumlusunun Hukuki Yükümlülüğü Sebebiyle Veri İşlenmesinin Zorunlu Olması

Kişisel verilerin işlenmesini hukuka uygun hale getiren istisnalardan bir diğeri ise, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması halinde ilgili kişinin kişisel verilerinin işlenmesidir. Bu istisna 6698 sayılı Kanun m.5/2(ç) de düzenlenmiştir.

6698 sayılı Kanun’un gerekçesinde bu duruma örnek olarak, çalışanının maaşını ödeyebilmek için banka hesap numarası, bakmakla yükümlü olduğu kişiler, evli olup olmadığı, eşinin çalışıp çalışmadığı, sosyal sigorta numarası gibi kişisel verilerini işleyebileceği belirtilmiştir.[5] Aynı şekilde işçilerin diğer bazı kişisel verilerinin işlenmesi de, hukuki yükümlülüğe ilişkin tanınan istisnanın bir örneği olarak değerlendirilebilecektir.

[1] 117 sayılı Kişisel Verilerin Korunması Kanunu Tasarısı (1/541) ve Adalet Komisyonu Raporu, 18.12.2017 [2] TBMM Komisyon Raporu

[3] KAYA, Cemil, ‘’Avrupa Birliği Veri Koruma Direktifi Ekseninde Hassas (Kişisel) Veriler ve İşlenmesi’’, İstanbul Üniversitesi Hukuk Fakültesi Mecmuası [4]AYÖZGER, Çiğdem, ‘’ Kişisel Verilerin Korunması: Elektronik Haberleşme Sektörüne İlişkin Özel Düzenlemeler Dahil, İstanbul, Beta Yayınları, 2016 [5] TBMM Komisyon Raporu

a) İlgili Kişinin Kendisi Tarafından Verilerinin Alenileştirmiş Olması

İşbu kanunumuzun 5. maddesinde veri işlenmesi için rıza gerektirmeyen hallerinden biri olan kişisel verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması, bu verinin işlenmesini hukuka uygun hale getirmektedir.

Veri sahibi herhangi bir verisini kamuoyuna açık biçimde paylaşmış ise bu verinin herkes tarafından bilinmesini öngörmüş ve veriye ilişkin işlemeyi kabul etmiş olduğu varsayılır.

b) Bir Hakkın Tesisi, Kullanılması veya Korunması için Veri İşlemenin Zorunlu Olması

Veri işlenmesini hukuka uygun hale getiren diğer bir durum kanunda belirtildiği üzere veri işlenmesinin amacı hakkın tesisi, kullanılması, korunmasını zorunlu kılıyorsa ilgilinin rızasına ihtiyaç yoktur.

Kanun bu duruma örnek olarak bir şirkete karşı çalışanı tarafından açılan davada haklarını koruması ve ispat için çalışanının bazı verilerini kullanması veya kısıtlı bir kişinin haklarının korunması amacıyla vasinin veya kayyımın kısıtlının mali bilgilerini tutması gösterilmiştir.

c) Veri Sahibinin Temel Hak ve Özgürlüklerine Zarar Vermemek Kaydı ile Verimli Sorumlusunun İlgili Veriyi Meşru Menfaat Sebebiyle İşlemek Zorunda Olması

Kanunumuzda belirtilen son hukuka uygunluk hali veri sorumlusunun meşru menfaati olmak kaydıyla veri işlemesidir. Buna örnek olarak bir şirket sahibinin çalışanlarının temel hak ve özgürlüklerini ihlal etmemek kaydıyla, onların terfileri, maaş zamları ya da sosyal haklarının düzenlenmesi amacıyla veya işletmenin yeniden yapılandırılması sürecinde görev ve rol dağıtımına esas alınmak amacıyla çalışanların kişisel verilerini işleyebileceği madde gerekçesinde belirtilmiştir.[6]

[6] TBMM Komisyon Raporu

B. VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ İLE İLGİLİ MADDELER

KVKK m.10’da belirtildiği üzere veri sorumlusu ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve son olarak 11’inci maddede sayılan diğer hakları konusunda bilgi vermekle yükümlüdür.

Ek olarak kanunun 12. maddesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

C. KİŞİSEL VERİLERİN SİLİNMESİ

İşbu kanunun 7. maddesinde bu kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.