Kişisel verinin ne olduğuna ve hangi tür verilerin kişisel veri olduğuna ilişkin yazımızı buradan okuyabilirsiniz. Bu yazımızda ise kişisel verilerin işlenmesinin ne demek olduğuna ve işlenmenin hangi şartlarda mümkün olduğunu inceleyeceğiz.
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
Açık Rıza
Kişisel veriler istisnai haller yoksa ancak ilgili kişinin açık rızası ile işlenebilir.
Kişisel verilerin sahibi olan ilgili kişinin verilerinin işlenmesine; özgürce, konuyla ilgili yeterli bilgiye sahip olarak, açık bir şekilde ve sadece o işlemle sınırlı olarak verdiği beyandır. Belirtmek gerekir ki verilen açık rıza geri alınabilir. Bu geri almadan sonra veri işlemenin durdurulması ve verilerin anonimleştirilmesi, yok edilmesi veya imha edilmesi gerekmektedir.
Kanuna göre açık rızanın üç unsuru vardır:
1. Belirli bir konuya ilişkin olma: Açık rıza beyanının kapsamı genel nitelikte olmamalı, belirli bir duruma özgülenmiş olmalıdır. Örneğin; veri sorumlusu tarafından “tüm ürün ve hizmetlerimizin sunulması için kişisel verilerinizin işlenmesine açık rıza veriyor musunuz?” biçiminde rıza alınması durumunda, rıza “belirli bir konuya ilişkin” olmayacağı için geçerli bir rıza olarak kabul edilmeyecektir. Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızalar “Şemsiye rızalar” hukuken geçersizdir.
2. Bilgilendirmeye dayanma: Elde edilecek kişisel verilerin hangi amaçlarla kullanılacağı açıkça belirtilmeli, kişinin anlamayacağı terimler ya da yazılı bilgilendirme yapıldığında okumakta güçlük çekeceği oranda küçük puntolar kullanılmamalıdır. Bu kapsamda bir bilgilendirme metni hazırlanmalı ve bu metin kişinin açık rızasını verirken kolayca erişilebileceği bir yerde olmalıdır.
3. Özgür iradeyle açıklanmış olma: Bir irade beyanı olan “rıza” beyanının kişinin özgürlüğünü etkileyecek hallerden arınmış olması gerekmektedir. Bu doğrultuda, “açık rıza” beyanını veren veri sahibinin iradesini bozacak bir durum mevcut olmamalıdır. Örneğin; veri sorumlusu tarafından veri sahiplerinin rızalarının elde edilmesi, bir ürün veya hizmetin sunulmasının ön şartı olarak ileri sürülmemelidir. Başka bir deyişle bir e-ticaret sitesinin düşünecek olursak, alışverişin yapılabilmesi için kişisel verilerle ilgili bir açık rızanın alınması durumunda özgür iradeden bahsetmek mümkün olmayacaktır.
Açık Rıza Olmadan Kişisel Verilerin İşlenebileceği Haller
Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
- Kanunlarda açıkça öngörülmesi
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
- İlgili kişinin kendisi tarafından alenileştirilmiş olması
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
Kişisel verilerin işlenmesinde genel ilkeler
Kişisel verilerin işlenmesinde her zaman Kanunda ortaya konulan genel ilkelere uygun davranılmalıdır.
- Hukuka ve dürüstlük kurallarına uygunluk
- Doğruluk ve güncellik
- Belirli, açık ve meşru amaçlar için işlenmek
- İşlendikleri amaçla bağlantılık, sınırlılık ve ölçülülük
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
