GİRİŞ

Kişisel Verilerin Korunması Kanunu (“Kanun”) 24 Mart 2016 tarihinde kabul edilmiş olup, 7 Nisan 2016 tarihli 29677 sayılı Resmi Gazete ’de yayımlanarak yürürlüğe girmiştir.  Kişisel verilerin korunmasına ilişkin yapılan düzenlemeler ile kişilerin başta özel hayatı olmak üzere temek hak ve özgürlükleri uluslararası normlar dikkate alınarak güvence altına alınmış, bu kapsamda kişisel verileri işleyen gerçek ve tüzel kişilere yükümlülükler getirilerek kişisel verilerin saldırı ve müdahaleye karşı devlet tarafından korunması amaçlanmıştır.

• KANUN’UN KAPSAMI:

Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.

Kanunda kamu kurumları ile özel kuruluşlar açısından ayrım yapılmamıştır. Kanunun belirlediği usul ve esaslar kural olarak tüm kurum ve kuruluşlar için geçerlidir. Dolayısıyla kamu kurumlarının işlediği kişisel veriler hakkında da bu Kanun hükümleri uygulanacaktır.

Kanun kapsamında koruma altına alınan kişisel veriler sadece gerçek kişilere ait olan kişisel veriler olup, tüzel kişilere ait olanlar koruma altında bulunmamaktadır. Ancak tüzel kişiye ait verinin elde edilmesi, bir veya birden fazla gerçek kişinin kimliğinin belirlenmesine neden oluyor ise, bu tür verilerin de korunması gündeme gelebilir. Bu durumda da esasen korunan, gerçek kişiye ilişkin kişisel verilerdir.

• KİŞİSEL VERİ

 A-Tanım ve Unsurları

Kanun, kişisel veriyi, “kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmış ve üç ana unsurdan oluştuğunu kabul etmiştir:

1.Kişiyi Belirli veya Belirlenebilir Kılma Unsuru

2.Gerçek Kişiye İlişkin Olma Unsuru

3.Her Türlü Bilgi Unsuru

Kanun, kişisel veriyi tanımlarken herhangi bir sınır koymamış ve gerçek kişiye ait olan her türlü bilgiyi “kişisel veri” olarak kabul etmiştir.

Bu minvalde, ad ve soyadı gibi sadece kimliğin ortaya koyduğu bilgiler değil; telefon numarası, motorlu taşıt plakası, pasaport numarası, özgeçmişi, resmi, görüntüsü ve ses kayıtları, parmak izi, e-posta adresi, hobileri, tercihleri, etkileşimde bulunduğu kişiler, grup üyelikleri, sağlık bilgileri gibi kendisini doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmiştir.

B- Kişisel Verilerin Nitelik Bakımından Ayırımı

• Özel Nitelikteki Kişisel Veri

Bazı verilerin niteliği itibariyle daha fazla koruma ihtiyacına sahip olması gerektiğini değerlendiren Kanun Koyucu, kişilerin ayrımcılığa ve mağduriyete uğramamaları sağlamak adına Kanun’da ayrı bir tanım getirmiş ve “özel nitelikli kişisel verileri” tek tek saymıştır.

Kanunun 6. Maddesi’nde yer verilen özel nitelikli kişisel veriler “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler” özel nitelikteki veriler olarak değerlendirilmektedir.

• Genel Nitelikteki Kişisel Veri

“Özel nitelikli kişisel veri” dışındaki her türlü kişisel veri genel nitelikteki kişisel veri olarak kabul edilmektedir.

Genel ve özel nitelikteki kişisel veri arasındaki ayırım, bu verilerin işlenmesi için aranan şartların varlığında farklılık göstermektedir. Bu hususa ilişkin detaylı açıklamayı kişisel verilerin işlenmesine ilişkin aşağıdaki değerlendirmelerimizde bulabilirsiniz.

• KİŞİSEL VERİLERİN İŞLENMESİ

A- Tanım

Kanun’unun 3. Maddesinde “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” Kişisel verilerin işlenmesi olarak tanımlanmıştır.

Söz konusu tanımda geçen “her türlü işlem” ibaresi, tanımda sayılan hususların sınırlı olmadığı, dolayısıyla kişisel verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türlerinin de işleme olarak değerlendirileceğini göstermektedir.

B– Kişisel Verilerin İşlenmesine Hâkim Olan İlkeler

Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

• Hukuka ve dürüstlük kurallarına uygun olma
• Doğru ve gerektiğinde güncel olma
• Belirli, açık ve meşru amaçlar için işlenme
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

 C– Kişisel Verilerin İşlenme Şartları

• Açık Rıza

Herhangi bir ayrıma gidilmeksizin genel ve özel nitelikteki özel verilerin işlenmesi için temel şart “açık rıza”dır.

Açık rıza beyanının alınması, herhangi bir şekil şartına tabi değildir. Önemli olan açık rızanın Kanundaki unsurları taşıması ve ispatlanabilir olmasıdır. Diğer mevzuatlardaki düzenlemeler saklı kalmak koşulu ile sözlü, yazılı, elektronik ortam vb. yöntemlerle açık rıza alınması mümkündür.

Açık rızanın, üç unsuru bulunmaktadır:

• Belli bir konuya ilişkin olması
• Bilgilendirmeye dayalı olması
• Özgür irade ile açıklanmış olması

Açık Rızanın geçerli olması için ise;

• Rızanın baskı altında verilmiş olmaması
• İlgili kişinin rızanın amaç ve sonuçları hakkında bilgi sahibi olması
• Rızanın somut bir konuda alınmış olması gerekmektedir.

Açık rıza, her zaman ilgili kişi tarafından geri alınabilir. Geri alma beyanı ileriye yönelik sonuç doğurur ve veri sorumlusuna ulaşmak ile hüküm doğurur. Veri sorumlusu, beyanın ulaştığı andan itibaren açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetleri durdurmalıdır.

Bununla birlikte, kişinin kendisi tarafından alenileştirilen kişisel verileri alenileştirme amacına olmak kaydıyla açık rıza aranmaksızın işlenebilecektir. İlgili kişi tarafından alenileştirilen ve böylelikle herkes tarafından bilinebilecek hale gelen bu tür verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir. Belirtmek gerekir ki, bir kişinin kişisel verisinin herkesin görebileceği bir yerde olması aleni olmasını sağlamaz. Alenileştirme durumunda kişisel verinin amacı dışında da kullanılmaması gerekmektedir. Örneğin, ikinci el araç satışı yapılan internet sitelerinde aracını satmak isteyen ilgili kişinin iletişim bilgilerinin pazarlama amaçlarıyla kullanılması mümkün değildir.

• Açık Rızanın Aranmadığı Durumlar

Açık rızanın aranmadığı durumlarda genel ve özel nitelikli veriler açısından farklılık göstermektedir.

(i) Genel Nitelikteki kişisel verilerde “Açık Rıza” aranmaksızın verilerin işlenebilme koşulları aşağıdaki şekildedir:

1. Kanunlarda açıkça öngörülmesi,
2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
5. İlgili kişinin kendisi tarafından alenileştirilmiş olması,
6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

 (ii) Özel Nitelikteki kişisel verilerde “Açık Rıza” aranmaksızın verilerin işlenebilme koşulları aşağıdaki şekildedir:

-Sağlık ve cinsel hayata ilişkin özel nitelikteki kişisel veriler açısından: Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

-Yukarıda sayılanlar dışındaki özel nitelikli kişisel veriler: Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.

Belirtmek isteriz ki, özel nitelikli verilerin işlenmesinde Kurul tarafından belirlenecek ilave önlemlerin alınabileceği ayrıca Kanun’da hüküm altına alınmıştır.

Saygılarımızla,

Av. Ayça Berker

Kurucu Ortak

BERKERBERKER Hukuk Bürosu