Kişisel Verilerin Korunması Kanunu 
Yazı Dizisi-9
 

34) Kişisel Verilerin İşlenme Şartları Nelerdir?



Kanunun 5. maddesinde kişisel verilerin işlenme şartları düzenlenmiştir. Özel nitelikli kişisel verilerin işlenme şartları ise Kanunun 6. maddesinde farklı esaslara bağlanmıştır. Bu çerçevede, özel nitelikli olmayan kişisel verilerin hangi hallerde hukuka uygun olarak işlenebileceği Kanundaki esaslara göre aşağıdaki şekilde düzenlenmiş olup, bu şartlardan sadece bir tanesinin bulunması özel nitelikli olmayan kişisel verilerin işlenmesi için yeterli hukuki şartı oluşturacaktır.

1. İlgili kişinin açık rızasının varlığı
2. Kanunlarda açıkça öngörülmesi,
3. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
4. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
5. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
6. İlgili kişinin kendisi tarafından alenileştirilmiş olması,
7. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
8. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kişisel verilerin işlenme şartları, yani hukuka uygunluk halleri, Kanunda sınırlı sayıda sayılmış
olup, bu şartlar genişletilemez.

Kişisel veri işleme, Kanunda bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmamaktadır. Veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılması, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacaktır. Nitekim, ilgili kişi tarafından verilen açık rızanın geri alınması halinde veri sorumlusunun diğer kişisel veri işleme şartlarından birine dayalı olarak veri işleme faaliyetini sürdürmesi hukuka ve dürüstlük kurallarına aykırı işlem yapılması anlamına gelecektir.


35) Kişisel Verilerin Aleni Olması Ne Demektir?



Herhangi bir şekilde ilgili kişi tarafından kamuoyuna açıklanmış olan bir başka ifadeyle ilgili kişinin kendisi tarafından alenileştirilen kişisel verileri alenileştirme amacına uygun bir şekilde açık rıza aranmaksızın işlenebilecektir. Çünkü ilgili kişi tarafından alenileştirilen ve böylelikle herkes tarafından bilinebilecek hale gelen bu tür verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir.

Kişisel verinin, aleni kabul edilebilmesi için ait olduğu kişinin aleni olmasını istemesi gerekir. Başka bir ifade ile, alenileştirmenin gerçekleştirilebilmesi için alenileştirme iradesinin varlığı gerekir. Yoksa bir kişinin kişisel verisinin herkesin görebileceği bir yerde olması aleni olmasını sağlamaz. Ayrıca, alenileştirme durumunda kişisel verinin amacı dışında da kullanılmaması gerekmektedir. Örneğin, ikinci el araç satışı yapılan internet sitelerinde aracını satmak isteyen ilgili kişinin iletişim bilgilerinin pazarlama amaçlarıyla kullanılması mümkün değildir.

36) İlgili Kişinin Temel Hak ve Özgürlüklerine Zarar Vermemek Kaydıyla, Veri Sorumlusunun Meşru
Menfaatleri İçin Veri İşlenmesinin Zorunlu Olması Ne Anlama Gelmektedir?



Kanuna göre, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda kişisel verilerin işlenebileceği düzenlenmiştir. Veri sorumlusunun meşru menfaati, gerçekleştirilecek olan işlenme sonucunda elde edeceği çıkara ve faydaya yöneliktir. Veri sorumlusunun elde edeceği fayda; meşru, ilgili kişinin temel hak ve özgürlüğü ile yarışabilecek düzeyde etkin, belirli ve mevcut bir menfaatine ilişkin olmalıdır.

Örneğin bir şirket sahibi, çalışanlarının temel hak ve özgürlüklerine zarar vermemek kaydıyla, onların terfileri, maaş zamları yahut sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve rol dağıtımında esas alınmak üzere çalışanların kişisel verilerini işleyebilecektir. Burada, işletmenin yeniden yapılandırılması ya da ehliyetli ve liyakatli çalışanların terfi almaları, veri sorumlusu statüsündeki şirket sahibinin meşru menfaatinedir.

Bu şarta dayalı olarak veri işlenebilmesi için, veri sorumlusunun meşru menfaatinin bulunması ve ilgili kişinin temel hak ve özgürlüklerine zarar verilmemesi gerekmektedir.

37) Veri Sorumlusunun Meşru Menfaatini Tespit Etmek İçin Göz Önünde Bulundurulması Gereken Hususlar Nelerdir?

Veri sorumlusunun meşru menfaat şartına dayanması durumunda bu şartın varlığını tespit etmek için aşağıda sıralanan hususların değerlendirilmesi gerekir:

a. Menfaatin veri sorumlusuna ait olması: Kanunda varlığı aranması gereken meşru menfaatin veri sorumlusuna ait olması gerektiği düzenlenmiştir. Veri sorumlusu dışında üçüncü bir kişinin meşru menfaati bu veri işleme şartının kapsamı dışında kalmaktadır.

b. Menfaatin meşruluğu: Veri işleme şartının varlığından bahsedebilmek için veri sorumlusunun menfaatinin mevcut olması değil, söz konusu menfaatin meşru olması da gerekmektedir. Menfaatin ileride doğma ihtimali üzerine, ilgili kişinin kişisel verilerinin elde edilmesi mümkün değildir. Madde kapsamında kabul edilen meşru menfaat kavramı, hali hazırda mevcut olan bir menfaati ifade etmektedir.

c. Veri sorumlusunun meşru menfaati ile ilgili kişinin temel hak ve özgürlükleri arasında dengenin varlığı: Veri sorumlusunun meşru menfaatinin varlığı, ilgili kişinin temel hak ve özgürlüklerine zarar vermemelidir. Bu durumun tespiti için iki aşamalı bir denge testi uygulanmalıdır. Bu kapsamda yapılacak olan ilk değerlendirmede veri sorumlusunun meşru menfaatinin olup olmadığı belirlenmeli, yapılacak ikinci değerlendirmede kişisel verisi işlenecek olan ilgili kişinin temel hak ve özgürlüklerinin neler olduğu tespit edilmeli ve belirtilen hak ve menfaatler değerlendirilerek hangisinin üstün geldiğine karar verilmelidir. Ancak bu değerlendirme yapılırken veri sorumlusunun meşru menfaati ile kişisel verileri işleme amacı birbirine karıştırılmamalıdır. Bu iki terim birbiriyle ilişkili olsa da farklı anlama gelmektedir. Kişisel verileri işleme amacı, özel olarak verinin neden işlendiği ile alakalıdır.

Önemle belirtmek gerekir ki, veri sorumlusunun meşru menfaat şartına dayanması durumu, maddede yer alan diğer haller uygulanamadığı takdirde başvurulacak son çare olmadığı gibi, her şeyi kapsamına dâhil edebilecek ve tüm kişisel verilerin işlenmesi faaliyetlerini hukuka uygun kılacak bir unsur da değildir.


Kaynak : Kişisel Verileri Koruma Kurumu

Konu ile ilgili KVKK (Kişisel Verileri Koruma Kurumu) tarafından bir çok rehber yayın hazırlanarak yayınlanmıştır.“100 Soruda Kişisel Verilerin Korunması Kanunu”   bu yayınlardan biridir.  Bu rehber yayını  Elektrik Tesisat Portalımızda  sektörümüzü bilgilendirmek için  bölüm bölüm yayınlıyoruz. Yayınına izin veren "Kişisel Verileri Koruma Kurumuza”  teşekkür ederiz.