Daha önce bilişim hukuku branşında 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) hakkındaki yazılarımızda KVKK’yı genel olarak değerlendirmiş (Bkz. ilgili yazımız…), kişisel verilerin işlenmesi ve bu konudaki genel ilkelerden (Bkz. ilgili yazımız…) söz etmiştik. Özel ve önemli bir düzenleme olan KVKK’nu incelemeye devam etmekteyiz, bu yazımızda ise kişisel verilerin hangi şartlarda işlenebileceğinden söz edeceğiz.
Öncelikle Kanun maddesine bakalım, madde 5:
“(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.”
İlk fıkrada ana yasak belirlenmiş: kişi rıza vermezse verisi işlenmeyecek! Bu rıza açık bir rıza olacaktır. Bir başka deyişle ama biz işlensin dediğini anlamıştık, sms attık geri dönmeyince bilgilerinin kullanımına izin verir anlamına geldi, mail attık geri dönmezseniz kimlik ve adres bilginizi depolayacağımızı bildirmiştik diye uyarmıştık … gibi hiçbir mazeret kabul etmeyen bir yasaklamadır bu. Açıkça kişisel verisi işleneecek olan kişi onay/izin/rıza/icazet adına her denirse densin verecek ki, bu hukuka ve KVKK’ya uygun yapılmış olsun.
İkinci fıkrada bazı haller sayılmış. Bu hallerden biri bile mevcutsa ilk fıkrada o aranan apaçık rıza aranmaksızın kişisel veri işlenir olabilecek. Burada dikkat edelim, kanunkoyucu diğer haller gibi sayılı durumları ucu açık bırakmamış, tam olarak numerus clasus şekilde belirlemiştir. Bu sayılanlara bir ihtimal daha ya da benzer bir koşul daha ekleyemezsiniz anlamına gelir. Nedir bu haller? Bazılarını örnekleyelim.
“a) Kanunlarda açıkça öngörülmesi.” Banka Kartları ve Kredi Kartları Kanunu’nda ve ilgili uygulama yönetmeliklerinde kart ya da kredi başvurusu yapan tüketicinin kişsel verileri zaten yasal zeminde depolandığından rıza vermese de bu yapılabilecek.
“b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.” Düşünelim, aile içi şiddet yaşanan bir komşuda engelli bir çocuğun fiziksel şiddete uğramasına artık dur demek için her türlü ev adres, yaş, cinsiyet, eşgal, ekonomik durum, daha spesifik belki hastalığının ya da engelinin sebep bilgisi ya da şiddet uygulayana dair bilinen tüm kişisel veriler (nerede saklanır, arabası nedir, nerde çalışır, şiddet sonrası alışkanlıkları nelerdir, …) deşifreye dair de olsa kişisel veri olarak aktarılabilir. Burada korunması hukuken beklenen kişi örnekteki engelli çocuktur, madde üzerinden düşünürsek de fiili imkansızlık nedeniyle rıza açıklayamayan, ıztırar halinde bulunan kişidir. Bu kişinin rızasının aranabileceği bir hal ve şart ortada yoktur, o nedenle rıza veremeyeceği bilinse de bir başkası böyle bir zorunluluk halinde bu durumdaki kişinin hayat ve beden bütünlüğünün korunması adına onun ya da ihtiyaç olunna diğer kişilerin kişisel verilerini elbette işleyebilecektir. Bunu mesaj atarak, sesli aktararak, görüntüsünü çekip görseli paylaşarak … çeşitli şekillerde yapması mümkündür.
“c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.” Örneğin, mortgage kullanarak ev sahibi olmak isteyen bir ailede kredi borcu altına giren erkek eş olsa da konut aile konutu olarak şerh edilecekse, kadın eşin de ekonomik durumuna dair çalışıyor mu, ne kadar maaş alıyor, sık mı iş değiştirir gibi bilgilerin kredi kuruluşu tarafından gerekli bulunup daha kredi çıkmadan araştırılması ve sorulması.
Diğer bentlerde de hep üstün bir başka menfaat korunmak kaygısıyla rıza aranmaksızın veri işlenmesinin hukuka uygunluğu düzenlenmiştir. Mesela d) bendinde kişinin kendisinin o kişisel verisini artık aleni hale gelecek biçimde her türlü platformda ortaya koymuş olmasında rıza aranmayacağı düzenlenmiştir. Burada aranan rızanın şekilsel olmadığını da buradan anlamak mümkün. Kişi gerçekten bile isteye bir verisini alenileştirmişse artık o veri üzerinde özgür iradesiyle alenileşmeye yönelik rıza gösterdiği varsayılır. Dönüp de ilgili veri sahibi kişinin ama ben rıza vermemiştim demesi hakkın kötüye kullanılması anlamına gelecektir, hukuken korunmayacaktır.
KVKK’nu incelemeye devam edeceğiz…
Hukuk Desteği