Kişisel veri işleme nedir?
Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir.
Yani kişisel verilerin elde edilmesinden başlayarak, silinmesi, yok edilmesi ya da anonim hale getirilmesine kadar gerçekleşen tüm faaliyetler kişisel verilerin işlenmesine dahil edilir diyebiliriz.
Kişisel verilerin işlenmesinde esas alınacak temel ilkeler nelerdir?
Gerek Avrupa direktifleri gerekse kendi ülkemizdeki 6698 sayılı Kişisel Verilerin Korunması Kanunu kişisel verilerin işlenmesinde aynı temel ilkelere işaret eder. Bu ilkeler;
Hukuka ve dürüstlük kurallarına uygun olma,
Doğru ve gerektiğinde güncel olma,
Belirli, açık ve meşru amaçlar için işlenme,
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme,
Kişisel veriler işlenirken mutlaka bu ilkelere riayet edilmelidir.
Hukuka ve dürüstlük kurallarına uygun olma
Kişisel veriler işlenirken hukuka ve dürüstlük kurallarına uyma, ilgili kişilerin haklarını koruma, menfaatlerini ve beklentilerini gözetme ve kişisel verilerin korunması mevzuatına uygun davranmayı ifade eder.
Örnek: Kişisel Verilerin Korunması Kurulu vermiş olduğu bir kararda, işlemin gerektirmediği kişisel veri içeren bir belgenin müşteriden istenilmesinin hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık oluşturması sebebiyle ilgili kuruma idari yaptırım uygulanmasına karar vermiştir.
Doğru ve gerektiğinde güncel olma
Doğru ve gerektiğinde güncel olma ilkesi, ilgili kişinin verilerin düzeltilmesini talep etme hakkı ile ilintilidir. Kişisel verinin ilgili olduğu konu ile bağdaşması, uyumlu olması ve konuyu doğru anlatması şeklinde de yorumlanabilir.
Örnek: Asgari Geçim İndirimi (AGİ) hesaplanırken işlenen veriler çocuk sayısı ve eşin çalışma durumudur. Eğer bu bilgiler doğru ve güncel olursa AGİ doğru hesaplanacaktır. Böylece ilgili kişinin ekonomik menfaati korunacaktır.
Belirli, açık ve meşru amaçlar için işlenme
Veri sorumlusu, kişisel veri işleme amacını açık ve anlaşılır şekilde ifade etmelidir. Belirlenen amaç meşru olmalıdır. Yani istenen kişisel veri, veri sorumlusunun sunduğu hizmet ile bağlantılı olmalı, bu iş için gerekli olmalıdır. Kişisel veriler ilgili kişiye belirtilen amaçlar dışında bir amaçla işlenmemelidir.
Örnek: A firmasının internet sayfasından alışveriş yapmak için resmi web sitesine giriş yapan ilgili kişiden kan grubu, anne baba adı gibi bilgilerin istenmesi belirli, açık ve meşru amaçlar için işlenme ilkesine aykırılık teşkil eder. A firması alışveriş sonunda verilen hizmetle bağlantılı olarak ad soyad, ve kargo gönderimi için adres bilgileri istemelidir.
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
Bu ilke işlenen kişisel verilerin belirlenen amaçların gerçekleştirilmesinde kullanılmasını, amaç dahilinde istenmeyen kişisel verilerin işlenmesinden sakınmayı ifade eder.
Örnek: Kredi kartı başvurusu yapan kişiden sosyal hayatındaki tercihlerine ilişkin bilgi istenmesi ölçülülük ilkesine aykırılık oluşturur.
Örnek: Bir üniversitede verilecek konferansa katılım sağlayacak kişilerden istenen telefon numaralarına, üniversite tarafından reklam içerikli kısa mesajlar gönderilmesi amaçla sınırlı olma ilkesine ters düşer.
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
Veri sorumluları işledikleri kişisel verilerin muhafazasına dair ilgili mevzuatta bir hüküm varsa o süre kadar, belirlenen bir süre yoksa ancak işlendikleri amaç için gerekli olan süre kadar
muhafaza edilmelidir.
Örnek: Bir alışveriş merkezi tarafından düzenlenen araba çekilişine katılım sağlayan kişilere ait kişisel verilerin çekiliş sonuçlandıktan hemen sonra silinmesi gerekir.
Kişisel veriler gelecekte kullanma ihtimalinin varlığına dayanarak saklanamaz. Bu veriler işlenme şartı ortadan kalktıktan sonra, amaç gerçekleştikten sonra, ya da belirlenen süre dolduktan sonra asla saklanmamalıdır.
Kişisel veri işleme koşulları nelerdir?
Kişisel verilerin işlenmesi şartları 6698 sayılı Kanunun 5 inci maddesinde düzenlenmiştir. İlgili maddeye göre;
Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
Kanunlarda açıkça öngörülmesi.
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
İlgili kişinin kendisi tarafından alenileştirilmiş olması.
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Kişisel verilerin işlenme şartları Kanunda açıkça sayılmıştır. Bu şartlar genişletilemez. Kişisel veri işleme Kanunda sayılan açık rızanın alınması dışındaki şartlardan birisine dayanıyorsa, açık rıza alınmasına gerek yoktur.
Örneğin, ücret bordrosu hazırlamak amacıyla işçilerin kişisel verilerinin işlenmesinin hukuki dayanağı, kişisel veri işleme şartlarından sözleşmenin ifası ve veri sorumlusunun hukuki yükümlülüğünün yerine getirilmesidir. Bu sebeple ilgili kişilerin (işçilerin) açık rızası aranmaz.
Sonuç
Kişisel verilerin işlenmesi; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme gibi temel ilkelere dayanmalıdır. Ayrıca kişisel veriler işlenmeden Kanunda açıkça belirlenen veri işleme şartlarından birisi mutlaka gerçekleşmiş olmalıdır.
Bu yazının PDF formatına ulaşmak için tıklayınız.
YASAL UYARI Bu çalışma Kamutech Yazılım A.Ş. mevzuat grubu uzmanları tarafından hazırlanmıştır. Makalenin her türlü yayın hakkı Kamutech Yazılım A.Ş.'ye aittir. Kaynak göstermek ve link vermek kaydıyla alıntı yapılabilir.
