kişisel veri işleme şartları ve ilkeleri

Kişisel Verilerin İşlenme Şartları ve Veri İşleme İlkeleri

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, kişisel verilerin işlenmesi olarak kabul edilir. (KVKK Mad.3)

Kişisel Verilerin İşlenme Şartları

Aşağıdaki hallerden en az birinin bulunması durumunda kişisel verilerin işlenmesi mümkündür. (KVKK Mad.5)

  • İlgili kişinin açık rızasının varlığı,
  • Kanunlarda açıkça öngörülmesi,
    • Örnek: Çalışana ait özlük bilgilerinin kanun gereği tutulması.
    • Örnek: Kolluk tarafından bir suç soruşturması sebebiyle, 2559 sayılı Polis Vazife ve Salahiyet Kanunu’nun 5 inci maddesi uyarınca şüphelilerin parmak izlerinin alınması
    • Örnek: 5352 sayılı Adli Sicil Kanunu uyarınca Adalet Bakanlığı’nın kişilerin ceza mahkûmiyetlerine ilişkin verilerinin işlenmesi.
  • Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
    • Örnek: Bilinci kapalı kişinin kişisel sağlık bilgisi.
    • Örnek: Hürriyeti kısıtlanan bir kişinin kurtarılması amacıyla kendisinin veya şüphelinin taşımakta olduğu telefon, bilgisayar, kredi kartı, banka kartı veya diğer teknik bir araç üzerinden yerinin belirlenmesi için bu verilerin işlenmesi.
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
    • Örnek: Sözleşme gereği teslimat yapılması için şirketin adres bilgilerinin kaydedilmesi.
    • Örnek: Bir sözleşme gereği paranın ödenmesi için alacaklı tarafın hesap numarasının alınması
    • Örnek: Bir bankayla kredi sözleşmesi yapılması sırasında bankanın, o kişiye ait maaş bordrosunu, tapu kayıtlarını, icra borcu olmadığına dair belgeyi edinmesi.
    • Örnek: İşverenin maaş ödemesini gerçekleştirmek amacıyla çalışanların banka bilgilerini elinde bulundurması.
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
    • Örnek: Bankacılık, enerji, sermaye piyasaları gibi alanlara özel denetimlerde bilgi paylaşımı yapılması. 
    • Örnek: Bir şirketin çalışanına maaş ödeyebilmesi için, banka hesap numarası, evli olup olmadığı, bakmakla yükümlü olduğu kişiler, eşinin çalışıp çalışmadığı, sosyal sigorta numarası gibi verilerin elde edilmesi ve işlenmesi.
    • Örnek: İşverenin vergi denetimi sırasında çalışanlarına veya müşterilerine ait bilgileri ilgili kamu görevlilerinin incelemesine sunması.
  • İlgili kişinin kendisi tarafından alenileştirilmiş (herhangi bir şekilde kamuoyuna açıklanmış) olması,
    • Örnek: Evini satmak isteyen kişinin, satış ilanında iletişim bilgisine yer vermesi.
    • Örnek: Kurumsal internet sitelerinde, çalışanların işyeri telefon numaraları ve kurumsal elektronik posta adreslerinin üçüncü kişilerin erişimine açık şekilde paylaşılması halinde de alenileştirmeden söz edilebilir. (Kişisel verinin aleni kabul edilebilmesi için ait olduğu kişinin aleni olmasını istemesi gerekir)
    • Alenileştirme durumunda kişisel verinin amacı dışında da kullanılmaması gerekmektedir. Örneğin, ikinci el araç satışı yapılan internet sitelerinde aracını satmak isteyen ilgili kişinin iletişim bilgilerinin pazarlama amaçlarıyla kullanılması mümkün değildir.
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
    • Örnek: İşten ayrılan bir çalışana ait gerekli bilgilerin dava zaman aşımı boyunca saklanması.
    • Örnek: Bir şirketin kendi çalışanı tarafından açılan bir davada ispat için bazı verileri kullanması.
    • Örnek: Kısıtlı bir kişinin haklarının korunması amacıyla vasisinin veya kayyumun, kısıtlının mali bilgilerini tutması.
    • Örnek: Sözleşme sona erdikten sonra, olası yasal takiplere karşı zamanaşımı süresinin sonuna kadar fatura, sözleşme, kefaletname gibi belgelerin bu amaçlar için saklanması.
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
    • Veri sorumlusunun meşru menfaati, gerçekleştirilecek olan işlenme sonucunda elde edeceği çıkara ve faydaya yöneliktir. Veri sorumlusunun elde edeceği fayda; meşru, ilgili kişinin temel hak ve özgürlüğü ile yarışabilecek yeterli düzeyde etkin, belirli ve halihazırda mevcut olan bir menfaatine ilişkin olmalıdır. Veri sorumlusunun gerçekleştirdiği güncel aktivitelerle ilişkili ve ona yakın gelecekte fayda sağlayacak bir işlem olması gerekmektedir.
    • Bu hükmün uygulanabilmesi için iki aşamalı bir değerlendirme gerektirmektedir. Yapılacak olan ilk değerlendirmede veri sorumlusunun meşru menfaatinin varlığı tespit edilmeli, ikinci olarak da bu menfaatin ilgili kişinin temel hak ve özgürlüklerine zarar vermediği belirlenmelidir.
    • Örnek: Çalışan bağlılığını artıran ödül ve prim uygulanması amacıyla veri işlenmesi.
    • Örnek: Bir şirket sahibinin, çalışanlarının temel hak ve özgürlüklerine zarar vermemek kaydıyla, onların terfileri, maaş zamları yahut sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve rol dağılımında esas alınmak üzere çalışanların kişisel verilerinin işlenmesi. (şirket sahibinin meşru menfaati)
    • Örnek: Bir şirketin satılması, devralınması veya ortaklık yapısının değişmesi gibi bir durum söz konusu olduğunda, şirketi satın alacak kişinin, şirketin güncel durumuna hakim olabilmek amacıyla içinde kişisel verilerin de bulunduğu bir takım bilgileri ölçülü ve gerekli güvenlik önlemlerini alarak incelemesi halleri. (meşru menfaat kapsamında değerlendirilebilir, ancak burada dikkat edilmesi gereken husus, veri sorumlusunun meşru menfaatinin Kanunun amacı ve ruhuna uygun olarak yorumlanmasıdır)

Kişisel verilerin işlenme şartları her bir kişisel veri işleme faaliyetinin amacının Kanun bakımından hukuki dayanağını oluşturmaktadır. Kişisel veri işleme faaliyetinin amacında birden fazla sayıda kişisel veri işleme şartı bulunabilir. Örnek olarak; maaş bordrosu düzenlemek amacıyla çalışanların kişisel verilerinin işlenmesinin hukuki dayanağı, kişisel veri işleme şartlarından sözleşmenin ifası ve veri sorumlusunun hukuki yükümlülüğünün yerine getirilmesidir.

Kanunda sayma yoluyla (hukuka uygunluk halleri) belirlenmiş olan kişisel verilerin işlenme şartları genişletilemez.

Kişisel veri işleme, Kanunda bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmamaktadır.

  • Veri işleme faaliyeti, açık rıza dışında bir dayanağa göre yürütülebilecek iken açık rızaya dayandırılması, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacaktır. Bu durumda, ilgili kişi tarafından verilen açık rızanın geri alınması halinde veri sorumlusunun diğer kişisel veri işleme şartlarından birine dayalı olarak veri işleme faaliyetini sürdürmesi hukuka ve dürüstlük kurallarına aykırı işlem yapılması anlamına gelecektir.
  • Veri sorumlusu tarafından kişisel veri işleme faaliyetinin amacının hangi işleme şartlarından birine dayanıp dayanmadığı değerlendirilmeli, eğer bu amaç Kanunda belirtilen açık rıza dışındaki şartlardan en az birini karşılamıyorsa, bu durumda veri işleme faaliyetinin devamı için kişinin açık rızasının alınması yoluna gidilmelidir.

Özel Nitelikli Kişisel Verilerin İşlenmesi Şartları

Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.

Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

(Yaşam hakkı, ifade özgürlüğü, haberleşme özgürlüğü gibi birçok temel hak ve özgürlüğün kullanılması, özel nitelikli kişisel verilerin işlenmesini zorunlu kılmaktadır. Bu bakımdan, özel nitelikli kişisel verilerin işlenmesinin mutlak bir yasak olarak kabul edilmesi mümkün değildir.)

Kişisel Veri İşleme İlkeleri

Kişisel Verilerin Korunması Kanunu’nda, kişisel verilerin işlenmesi kapsamında belirtilen temel ilkeler şunlardır:

  • Hukuka ve dürüstlük kurallarına uygun olma,
    • Bu ilke, diğer ilkeleri de kapsayıcı bir özelliğe sahiptir.
    • Hukuka uygunluk, genel olarak hukuk normlarına ve evrensel hukuk ilkelerine uygunluktur. Hukuka uygunluğun kapsamı geniştir, mevzuata uygunluk da buna dahildir. Kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluludur. 
    • Dürüstlük kuralına uygun olma ilkesi uyarınca veri sorumlusu, veri işlemedeki hedeflerine ulaşmaya çalışırken, ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate almalıdır. Veri işleme faaliyetinin şeffaf olması ve veri sorumlusunun bilgilendirme ve uyarı yükümlülüklerine uygun hareket etmesi gerekmektedir.
  • Doğru ve gerektiğinde güncel olma,
    • Bu ilke, ilgili kişinin haklarını koruduğu gibi, veri sorumlusunun da menfaatlerine yöneliktir.
      • Örneğin bir kişinin veri sorumlusunun sisteminde kayıtlı telefon numarasının doğru olmaması ya da artık ilgili kişi tarafından kullanılmıyor oluşu, o kişiye ilişkin gerçek bir veriyi yansıtmadığından hatalı sonuçların ortaya çıkmasına neden olabilmektedir. Yine, adres bilgisi yanlış kaydedilen bir kişinin kendisine ait tebligatları zamanında alamaması veya yanlış bir kişiye tebliğ edilmesi durumlarında ilgili kişi maddi ve manevi zarar görebilir.
  • Belirli, açık ve meşru amaçlar için işlenme,
    • Kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılabilir olması,
    • Kişisel veri işleme faaliyetlerinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesi,
    • Kişisel veri işleme faaliyetinin ve bu faaliyetin gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulması.
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
    • Amacın meşru olması, veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir. Veri sorumluları, ilgili kişiye belirttikleri amaçlar dışında, başka amaçlarla veri işlemeleri halinde, bu fiillerinden dolayı sorumlulukları doğacaktır.
      • Örneğin, bir hazır giyim mağazasının, müşterilerinin ad-soyad bilgilerini işlemesi meşru amaç kapsamındayken, anne kızlık soyadını işlemesi meşru amaç kapsamında değerlendirilemeyecektir.
    • İşlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirmektedir. Yine, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilmemelidir.
    • Ölçülülük ilkesi, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması anlamına gelmektedir. Yani veri işlemenin, amacı gerçekleştirecek ölçüde olması demektir.
      • Örneğin, kredi kartı başvurusunda bulunan kişiden sosyal hayatına ve sosyal faaliyetlerine yönelik tercihleri konusunda bilgi talebinde bulunulması ölçülülük ilkesine aykırılık teşkil edebilecektir.
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
    • Kişisel verilerin işlendikleri amaç için gerekli olan süreye uygun olarak muhafaza edilmesi gerekir. Bu konuda, veri sorumlusu, idari ve teknik tedbirleri almakla yükümlüdür.
    • Veri sorumlusu, kişisel veri saklama ve imha politikası ve esaslarını oluşturmak, saklama süreleri ve muhafazada uygulamaya alınacak teknik ve idari tedbirleri belirlemek ve kişisel verilerin bu esaslara uygun olarak muhafazasını sağlamakla yükümlüdür.