KVKK Kapsamında Dikkat Edilmesi Gereken Temel Noktalar

KVKK Kapsamında Dikkat Edilmesi Gereken Temel Noktalar

Kişisel Verilerin Korunması Kanunu (“KVKK”) hakkında bilinmesi gereken bazı önemli detaylar bulunuyor. Bu kanunun amacının, kişisel verilerin işlenmesini engellemek olmadığı bilinmelidir.KVKK,kişisel verilerin işlenmesini yasaklamaz; kişisel verilerin hukuka uygun, şeffaf ve ölçülü şekilde işlenmesini amaçlar. Günümüzde işletmeler, faaliyetlerini sürdürebilmek için kişisel verileri işlerken KVKK’nın belirlediği temel ilkelere uygun hareket etmekle yükümlüdür.

KVKK uyumunda en kritik nokta, kişisel verilerin yalnızca Kanun’da sayılan hukuki sebeplerden en az birine dayanılarak işlenmesidir.

Kişisel Veriler Ne Zaman İşlenebilir?

KVKK’ya göre kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Bununla birlikte aşağıdaki durumlarda açık rızanın varlığı aranmaz;

• Kanunlarda açıkça öngörülmüşse,
• Açık rıza almak fiilen imkansızsa,
• Bir sözleşmenin kurulması veya ifası için zorunluysa,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi gerekiyorsa,
• İlgili kişinin kendisi tarafından alenileştirilmişse,
• Bir hakkın tesisi, kullanılması veya korunması için gerekliyse,
• Veri sorumlusunun meşru menfaati bulunuyorsa işlenebilir.

Bu noktada açık rızanın istisnai bir hukuki sebep olduğu ve her veri işleme faaliyeti için zorunlu olmadığı unutulmamalıdır. Bununla birlikte özel nitelikli kişisel veriler söz konusuysa ayrıca hukuki değerlendirme yapılması gerekir.

Kanunlarda açıkça öngörülmüş olması

Kişisel veriler, kanunlarda açıkça öngörülmüş hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Ancak bu durum, verilerin sınırsız veya amaç dışı kullanılabileceği anlamına gelmez.

Örneğin, işverenin çalışanına Asgari Geçim İndirimi uygulayabilmesi için çocuk sayısını öğrenmesi kanuni bir zorunluluktur. Buna karşılık, çalışanın etnik kökeni veya inancı gibi bilgiler iş ilişkisinin kurulması ve yürütülmesi bakımından gerekli değildir. Bu tür verilerin açık rıza alınmış olsa dahi ayrımcı bir amaçla kullanılması, hukuki ve cezai sorumluluk doğurabilir.

Rızanın Alınmasının Fiilen İmkansız Olduğu Hallerde İşleme

Kişinin rızasını almak fiilen imkansız olduğu ve veri işlemenin kişinin kendisinin veya başkasının hayatı ya da beden bütünlüğünün korunması için zorunlu olduğu durumlarda kişisel veriler açık rıza olmaksızın işlenebilir.

Örneğin, bilinci kapalı bir hastaya acil müdahale edilmesi gereken hallerde gerekli tıbbi test ve tetkikler rıza alınmaksızın gerçekleştirilebilir.

Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgili Olması

Kişisel veriler, bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması ve veri işlemenin zorunlu olması hâlinde açık rıza aranmaksızın işlenebilir.

Örneğin;

• Bir e-ticaret sitesinden yapılan alışverişte, ürünün teslim edilebilmesi için kişisel verilerin kargo firmasıyla paylaşılması,
• Bir sigorta brokeri aracılığıyla poliçe teklifi alınması sürecinde, teklif alınması amacıyla bilgilerin sigorta şirketleriyle paylaşılması

bu kapsamda değerlendirilir.

Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi

Veri sorumlularının, mevzuattan kaynaklanan yükümlülüklerini yerine getirebilmesi için kişisel veri işlemesi mümkündür.

Örneğin, işverenin çalışanlarına ilişkin bilgileri Sosyal Güvenlik Kurumu’na bildirmesi, kanuni bir yükümlülüğün yerine getirilmesi kapsamında değerlendirilir.

Kişisel Verilerin İlgili Kişi Tarafından Alenileştirilmiş Olması

İlgili kişinin kişisel verisini kendisi tarafından alenileştirmesi halinde, bu veriler alenileştirme amacıyla sınırlı olmak üzere işlenebilir. Ancak bu durum, verinin her amaçla kullanılabileceği anlamına gelmez.

Örneğin, bir kişinin inancı veya özel yaşamına ilişkin bir bilgiyi kendisinin açıklamış olması, bu bilginin ayrımcı veya zarara yol açacak şekilde kullanılmasını hukuka uygun hale getirmez.

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması

Kişisel veriler, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde açık rıza aranmaksızın işlenebilir.

Örneğin, hukuka aykırı bir saldırının ispatı amacıyla delil niteliğindeki görüntülerin kayda alınması ve yargı mercilerine sunulması bu kapsamda değerlendirilir.

Veri sorumlusunun meşru menfaati

Veri sorumlusunun meşru menfaatleri için veri işlenmesi mümkündür. Ancak bu hâlde;

• İlgili kişinin temel hak ve özgürlüklerine zarar verilmemesi,
• Ölçülülük ilkesine uyulması

zorunludur.

Örneğin, bir işletmenin müşterilerine yönelik kampanya bilgilendirmesi yapması meşru menfaat kapsamında değerlendirilebilir. Ancak elektronik ileti gönderimi için ayrıca mevzuata uygun izinlerin alınmış olması gerekir.

Açık rıza nedir?

Açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle açıklanan irade beyanıdır. Açık rızanın geçerli olabilmesi için;

• Belirli bir veri işleme faaliyetine ilişkin olması,
• Yeterli bilgilendirme yapılması,
• Baskı veya zorlamadan uzak şekilde verilmesi

gerekmektedir.

Açık rıza her zaman geri alınabilir. Geri alma beyanının veri sorumlusuna ulaşmasıyla birlikte, açık rızaya dayalı veri işleme faaliyetleri durdurulmalıdır.

Veri sahibinin aydınlatılması nedir?

Veri sorumlusu, kişisel veri işleme faaliyetinden önce ilgili kişiyi bilgilendirmekle yükümlüdür. Aydınlatma kapsamında;

• Veri sorumlusunun kimliği,
• Veri işleme amaçları,
• Verilerin aktarılabileceği kişiler,
• Veri toplama yöntemi ve hukuki sebebi,
• İlgili kişinin hakları

açık ve anlaşılır şekilde bildirilmelidir.

İlgili kişinin hakları nelerdir?

KVKK’nın 11. maddesi uyarınca ilgili kişi; kişisel verilerine ilişkin bilgi alma, düzeltme, silme, yok etme ve itiraz etme gibi haklara sahiptir.

Kişisel verilerin silinmesi ve unutulma hakkı

Kişisel veriler, işlenmesini gerektiren sebeplerin ortadan kalkması halinde silinmeli, yok edilmeli veya anonim hale getirilmelidir. Ancak hukuki yükümlülükler veya olası uyuşmazlıklarda delil olma ihtiyacı gibi nedenlerle saklama zorunluluğu devam edebilir. Bu durumda veriler yalnızca ilgili amaçla ve sınırlı olarak muhafaza edilmelidir.

Kişisel verilerin üçüncü kişilere aktarılması şartları

Kişisel verilerin üçüncü kişilere aktarılması, KVKK’da belirtilen şartlara tabidir. Yurt dışına veri aktarımı halinde ise, yeterli korumanın bulunduğu ülkeler veya Kurul izni ya da KVK Kurulu tarafından yayımlanan Standart Sözleşme tiplerinden uygun olanının imzalanması gibi ek şartlar aranır.

Veri işlenmesinde sorumlu kimdir?

Veri sorumlusu; kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen gerçek veya tüzel kişidir. Veri sorumlusu, kişisel verilerin korunması için gerekli idari ve teknik tedbirleri almakla yükümlüdür.

Veri Sorumluları Sicili nedir?

Veri Sorumluları Sicili, KVKK kapsamında yükümlü olan veri sorumlularının kayıt olmak zorunda olduğu ve Kişisel Verileri Koruma Kurumu tarafından tutulan kayıt sistemidir.