Kişisel veriler, ancak Kişisel Verilerin Korunması Kanunu ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilmektedir. Buna uygun olarak, kişisel verilerin işlenme şartları, yani kişisel verilerin işlenmesinin hukuka uygunluk hâlleri, Kişisel Verilerin Korunması Kanunu kapsamında düzenlenmiştir. Kişisel verilerin işlenme şartlarına göre temel ilke, ilgili kişinin açık rızası olmaksızın kişisel verilerinin işlenememesidir. Bununla birlikte, Kişisel Verilerin Korunması Kanunu’nun 5’inci maddesinin 2’nci fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenebilmesinin şartları sayılmıştır. Bu yazımızda, açık rıza aranmaksızın kişisel verileri işlemenin şartlarını belirtecek ve bu şartları maddeler hâlinde açıklayacağız.
Kişisel Verilerin Korunması Kanunu’nun 5’inci maddesinin 2’nci fıkrası uyarınca açık rıza aranmaksızın kişisel verileri işlemenin şartları aşağıda sayılmıştır. Bu şartlar, sınırlı sayıda olarak düzenlenmiştir ve kıyas veya yorum ile genişletilmesi mümkün değildir.
- Kanunlarda açıkça öngörülmesi
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
- İlgili kişinin kendisi tarafından alenileştirilmiş olması
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
Veri sorumluları, kişisel verilerin yukarıda sayılan işlenme şartlarından herhangi birine uygun olarak işlenip işlenemeyeceğini değerlendirmek ve işlenme şartlarından herhangi biri bulunmuyorsa ilgili kişiden açık rıza almakla yükümlüdür. İşlenme şartlarından herhangi birinin varlığına rağmen, ilgili kişiden açık rıza alınması, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacaktır. Benzer bir şekilde, ilgili kişinin açık rızasını geri alması durumunda, veri sorumlusu tarafından diğer kişisel veri işleme şartlarından birine dayanarak veri işleme faaliyetinin sürdürülmesi hukuka ve dürüstlük kurallarına aykırılık teşkil edecektir.
a) Kanunlarda açıkça öngörülmesi
Kanunlarda açıkça öngörülmesi durumunda, kişisel veriler açık rıza olmaksızın işlenecektir. Örneğin, 2559 sayılı Polis Vazife ve Salahiyet Kanunu‘nun 5’inci maddesi uyarınca, polis tarafından; gönüllü, her çeşit silah ruhsatı, sürücü belgesi, pasaport veya pasaport yerine geçen belge almak için başvuruda bulunan, başta polis olmak üzere, genel veya özel kolluk görevlisi ya da özel güvenlik görevlisi olarak istihdam edilen, Türk vatandaşlığına başvuruda bulunan, sığınma talebinde bulunan veya gerekli görülmesi hâlinde ülkeye giriş yapan sair yabancı ve gözaltına alınan kişilerin parmak izi alınmaktadır. Bu kişilerin parmak izi alınırken polis tarafından ilgili kişinin açık rızası alınmayacaktır.
Benzer bir şekilde, 4857 sayılı İş Kanunu uyarınca işverenler çalıştırdığı her işçi için bir özlük dosyası düzenlemekle yükümlüdür. İşverenler bu dosyalarda, işçinin kimlik bilgilerinin yanında, İş Kanunu ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır. Dolayısıyla, işçinin özlük dosyası için işveren tarafından işlenen kişisel veriler için işçiden açık rıza alınmasına gerek yoktur.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
Açık rızanın verilemediği veya verilse dâhi geçerli olmayacağı durumlarda, kişilerin hayatını veya beden bütünlüğünü korumak amacıyla kişisel veriler açık rıza olmaksızın işlenebilecektir. Örneğin, bir kişinin hayati tehlikesinin olması sebebiyle tıbbi müdahaleye ihtiyaç duyması durumunda, kişinin şuuru yerinde değilse kendisinden açık rıza alınamayacaktır. İlgili kişinin çocuk olması veya akıl hastası olması durumunda ise, ilgili kişinin açık rızası alınsa dâhi bu rıza geçerli olmayacaktır. Böyle durumlarda, tıbbi müdahalenin yapılabilmesi için ilgili kişinin kan grubu, geçirdiği hastalıklar ve ameliyatlar, kullandığı ilaçlar gibi kişisel verileri açık rıza aranmaksızın işlenebilecektir.
Bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması durumuna ise, hürriyeti kısıtlanan bir kişinin kurtarılması amacıyla, şüphelinin taşımakta olduğu telefon, bilgisayar, kredi kartı, banka kartı veya diğer teknik bir araç üzerinden yerinin belirlenmesi örnek olarak gösterilebilir.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
Bir sözleşmenin taraflarına ait kişisel veriler, sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması durumunda, ayrıca bir açık rızaya gerek duymadan işlenecektir. Örneğin, bir iş sözleşmesi kapsamında, işçi alacaklarının ödenmesi için işveren tarafından işçinin banka hesabı bilgilerinin işlenmesi gerekmektedir. Dolayısıyla, bir sözleşmenin ifasıyla doğrudan ilgili olduğu için işçinin banka hesap bilgilerinin işlenmesi amacıyla açık rızaya ihtiyaç duyulmayacaktır. Benzer bir şekilde, tüketici ile yapılan satış sözleşmesi gereğince, bir malın teslimi veya hizmetin sağlanması amacıyla, satıcı veya sağlayıcı tarafından tüketicinin adres bilgilerinin işlenmesi için tüketicinin açık rızasına ihtiyaç duyulmayacaktır.
Sözleşmenin kurulması ile ilgili olarak ise, kredi sözleşmesinin kurulabilmesi için banka tarafından krediye başvuran kişinin maaş ve mal varlıkları ile ilgili bilgilerin ya da kredi notunun işlenmesi örnek olarak gösterilebilir. Banka ile müşteri arasında kredi sözleşmesinin kurulabilmesi için müşteriye ait bazı kişisel verilerin işlenmesi gerekmektedir ve bu verilerin işlenmesi için banka tarafından müşterinin açık rızasının alınması gerekmeyecektir.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
Veri sorumlusu tarafından herhangi bir hukuki yükümlülüğün yerine getirebilmesi amacıyla ilgili kişinin kişisel verilerinin işlenmesi gereken durumlarda, ilgili kişiden açık rıza alınmasına gerek olmayacaktır. Örneğin, iş sözleşmesi kapsamında işçiye ödenecek ücretin tespit edilebilmesi için, işçinin evli olup olmadığı, eşinin çalışıp çalışmadığı, varsa çocuk sayısı, bakmakla yükümlü olduğu kişiler, sosyal sigorta numarası gibi verilerin işveren tarafından işlenmesi gerekmektedir. Dolayısıyla, bu verilerin işlenmesi için işveren tarafından işçinin açık rızasının alınması gerekmemektedir.
Bir başka örnek vermek gerekirse, vergi mevzuatı uyarınca vergi mükellefi olan gerçek ve tüzel kişiler, gelirlerini beyan etmekle yükümlüdür. Vergi mükellefleri, beyan yükümlülüğünü yerine getirirken kazanç elde ettiği kişilerin vergi numarası veya kimlik numarası, adres, bağlı bulunduğu vergi dairesi gibi kişisel verilerini işlemek zorundadır. Dolayısıyla, bu verilerin işlenebilmesi için ilgili kişinin açık rızasına ihtiyaç duyulmayacaktır.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması
İlgili kişinin kendisi tarafından kamuoyu ile paylaşılarak alenileştirilmiş kişisel verilerin işlenmesi için ilgili kişinin açık rızası aranmayacaktır. Örneğin, internet sitesi veya sosyal medya aracılığıyla kişinin kendisi tarafından cep telefonu numarası, e-posta adresi gibi iletişim bilgilerinin ya da eğitim durumu veya mesleği gibi kişisel bilgilerinin kamuya açık bir şekilde paylaşılması durumunda, bu kişisel veriler alenileştirilmiş olacak ve veri sorumluları tarafından alenileştirme amacıyla sınırlı olarak açık rızaya gerek duyulmaksızın işlenebilecektir.
Alenileşmenin gerçekleşebilmesi için ilgili kişi tarafından alenileştirme iradesinin varlığı gerekmektedir. Eğer ilgili kişinin alenileştirme iradesi bulunmuyorsa, herkesin erişimine açık bir yerde paylaşılmış olsa dâhi, alenileşmenin varlığından söz edilemeyecektir. Ayrıca, alenileştirme durumunda, kişisel veri alenileştirme amacı dışında kullanılmamalıdır. Örneğin, bir esnafın ya da tacirin, müşterileri ile iletişim kurmak amacıyla kendi internet sitesinde cep telefonu numarası veya e-posta adresi gibi iletişim bilgilerinin alenileştirilmiş olması durumunda, bu iletişim bilgilerinin pazarlama ve reklam amacıyla kullanılması hukuka aykırı olacaktır.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması hâlinde ilgili kişinin kişisel verilerinin açık rıza olmaksızın işlenmesi mümkündür. Örneğin, kayyum ya da vasi tarafından kısıtlı kişinin mali bilgilerinin işlenmesi, sözleşme ilişkisi sona ermesine rağmen yasal takiplere karşı delil niteliğinde olan sözleşme ve ilgili belgelerin saklanması için ilgili kişinin açık rızası gerekmeyecektir.
Veri sorumluları tarafından, herhangi bir davada ispat için ilgili kişinin kişisel verilerin kullanılması da bu hüküm kapsamında değerlendirilecektir. Örneğin, iş sözleşmesinin feshi ya da işçi alacakları tespiti için açılan davada, işveren tarafından delil olarak sunulması için işçinin kişisel verileri işlenebilecektir. Bununla birlikte, yargılama sırasında delil olarak sunulan kişisel verilerin elde edilme yöntemi, ilgili kişinin özel hayatın gizliliği veya diğer temel hak ve hürriyetlerine aykırı olmamalıdır. Kişisel verilerin korunması ile ilgili Yargıtay tarafından verilen kararlarda, işveren tarafından işçinin nereden elde edildiği belirli olmayan WhatsApp yazışmalarının mahkemeye sunulması, kişisel verilerin korunması hakkının ihlali olarak değerlendirilirken, işveren tarafından işçiye verilen şirket aracının konum bilgilerinin mahkemede delil olarak kullanılması hukuka uygun bulunmuştur.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
Veri sorumluları, kendi meşru menfaatleri için zorunlu olduğu durumlarda, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, ilgili kişinin kişisel verilerini işleyebilecektir. Örneğin, bir şirketin yeniden yapılandırılması için görev ve rol dağılımında esas alınmak üzere çalışanların kişisel verilerinin işlenebilmesi ya da bir şirketin satılması, devralınması veya ortaklık yapısının değişmesi gibi bir durum söz konusu olduğunda, şirketin güncel durumuna hâkim olabilmek amacıyla, çalışanların kişisel verilerini içeren belgelerin şirketi satın alacak kişi tarafından ölçülü bir şekilde gerekli güvenlik önlemleri alınarak incelenmesi meşru menfaat kapsamında değerlendirilebilecektir.
Veri sorumluları tarafından meşru menfaatleri için kişisel verilerin işlenmesi durumunda, belirli şartların sağlanması gerekecektir. Bunlardan ilki, menfaatin veri sorumlusuna ait olmasıdır. Buna göre, veri sorumlusu dışındaki herhangi bir üçüncü kişinin menfaati için ilgili kişinin açık rızası olmaksızın kişisel veriler işlenemeyecektir. İkinci şart, veri sorumlusuna ait menfaatin meşru olmasıdır. İleride doğabilecek bir menfaat için kişisel verilerin işlenmesi mümkün değildir. Menfaatin hâlihazırda mevcut, ciddi ve önemli olması gerekmektedir. Son şart ise, veri sorumlusunun meşru menfaati ile ilgili kişinin temel hak ve özgürlükleri arasında dengenin gözetilmesidir. Buna göre, veri sorumlusunun meşru menfaatleri ile ilgili kişinin temel hak ve özgürlükleri arasında bir denge testi yapılmalı ve hukuken hangisinin üstün geldiği tespit edilmelidir. Dolayısıyla, meşru menfaat, kişisel verilerin işlenmesine ilişkin veri sorumlusuna sınırsız bir yetki vermemekte ve veri sorumlusunun menfaati ile ilgili kişinin temel hak ve özgürlükleri arasında makul bir denge sağlanması gerekmektedir. Meşru menfaate dayanarak, ilgili kişinin temel hak ve özgürlüklerine zarar verilmemeli ve kişisel verilerin korunmasına ilişkin temel ilkelere uyulmalıdır.
Son olarak, Anayasa Mahkemesi nezdinde Kişisel Verilerin Korunması Kanunu’nun 5’inci maddesinin 2’nci fıkrasının (c), (ç), (e) ve (f) bentleri için açılan iptal davasına değinmekte fayda bulunmaktadır. İptal davası kapsamında, ilgili işlenme şartlarının açık, anlaşılabilir ve elverişli olmadığı ve “meşru menfaat” kavramının muğlak olduğu belirtilerek ilgili bentlerin iptali istenmiştir. Anayasa Mahkemesi, ilgili bentlerin kanunun gerekçesinde örneklerle açıklandığını, 2’nci fıkrada sayılan işleme şartlarının ancak belirli durum için geçerli olan istisnalar olduğunu, ilgili istisnaların gereklilik ve zorunluluk hâlinde ortaya çıkacak ihtiyaçları karşılama amacı taşıdığını ve amacı dışında kişisel verilerin işlenmesi ve kişisel verilerin ifşa edilmesi ile ilgili Türk Ceza Kanunu kapsamında düzenlenen cezaların yasal güvence sağladığını belirterek iptal talebini reddetmiştir.
