TBMM Madde Gerekçesi Kanun Tasarısı Gerekçesi
Maddeyle, kişisel verilerin işlenme koşulları düzenlenmektedir.
Kural olarak kişisel verilerin ilgili kişinin açık rızası veya maddede sayılan istisnalar dışında işlenmesi yasaktır, 95/46 EC sayılı Avrupa Birliği Direktifine göre rıza, ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanıdır.
Maddenin ikinci fıkrasıyla ilgili kişinin açık rızası olmasa dahi bazı hallerde kişisel verilerin işlenebilmesi öngörülmektedir.
Fıkranın (a) bendine göre ilgili kişinin açık rızası olmasa dahi kanunlarda açıkça öngörülen hallerde kişisel veri işlenebilecektir. Örneğin, kolluk tarafından bir suç soruşturması sebebiyle, 2559 sayılı Polis Vazife ve Salahiyet Kanununun 5 inci maddesi uyarınca şüphelilerin parmak izlerinin alınması; 5352 sayılı Adli Sicil Kanunu uyarınca Adalet Bakanlığının kişilerin ceza mahkûmiyetlerine ilişkin verilerini işlemesi gibi.
Fıkranın (b) bendine göre, rızanın açıklanamadığı ya da geçerli olmadığı hallerde, kişilerin hayat veya beden bütünlüğünün korunması için kişisel verilerin işlenmesi öngörülmektedir. Örneğin kişinin şuurunun yerinde olmadığı veya akıl hastası olması sebebiyle rızasının geçerli olmadığı bir durumda, hayat veya beden bütünlüğünün korunması amacıyla, tıbbi müdahale yapılması sırasında, kişisel verileri işlenebilecektir. Bu bağlamda kan grubu, geçirilen hastalıklar ve ameliyatlar, kullanılan ilaçlar gibi veriler, ilgili sağlık sistemi üzerinden işlenebilecektir. Yine hürriyeti tahdit edilen bir kişinin kurtarılması amacıyla, kendisinin veya şüphelinin taşımakta olduğu telefon, bilgisayar, kredi kartı, banka kartı veya diğer teknik bir araç üzerinden yerinin belirlenmesi için bu veriler işlenebilecektir.
Fıkranın (c) bendine göre, bir sözleşmenin kurulması veya ifasıyla ilgili olarak kişisel veri işlenebilecektir. Örneğin, yapılan bir sözleşme gereği paranın ödenmesi için alacaklı tarafın hesap numarası alınabilecektir. Yine bir bankayla kredi sözleşmesi yapılması sırasında bankanın, o kişiye ait maaş bordrosunu, tapu kayıtlarını, icra borcu olmadığına dair belgeyi edinmesi bu kapsamda değerlendirilecektir.
Fıkranın (ç) bendine göre, veri sorumlusu, hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olan verileri, ilgili kişinin rızası olmasa dahi işleyebilecektir. Örneğin bir şirketin çalışanına maaş ödeyebilmesi için, banka hesap numarası, evli olup olmadığa bakmakla yükümlü olduğu kişiler, eşinin çalışıp çalışmadığı, sosyal sigorta numarası gibi verileri işlemesi bu bendin verdiği yetkiye istinaden olacaktır.
Fıkranın (d) bendine göre, ilgili kişinin kendisi tarafından alenileştirilen bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri işlenebilecektir. Çünkü ilgili kişi tarafından alenileştirilen ve böylelikle herkes tarafından bilinebilecek hale gelen bu tür verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir.
Fıkranın (e) bendine göre, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması durumunda kişisel veriler işlenebilecektir. Bu bağlamda, bir şirketin kendi çalışanı tarafından açılan bir davada ispat için bazı verileri kullanması veya kısıtlı bir kişinin haklarının korunması amacıyla vasinin veya kayyımın, kısıtlının mali bilgilerini tutması hukuka uygun sayılacaktır.
Fıkranın (f) bendine göre, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda da açık rıza şartı aranmaksızın kişisel veriler işlenebilecektir. Buna göre, örneğin bir şirket sahibi, çalışanlarının temel hak ve özgürlüklerine zarar vermemek kaydıyla, onların terfileri, maaş zamları yahut sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve rol dağıtımında esas alınmak üzere çalışanların kişisel verilerini işleyebilecektir. Burada, işletmenin yeniden yapılandırılması ya da ehliyetli ve liyakatli çalışanların terfi almaları, veri sorumlusu statüsündeki şirket sahibinin meşru menfaati cümlesindendir. Kişisel verilerin korunmasına ilişkin temel ilkelere uyulması ve veri sorumlusu ile ilgili kişinin menfaat dengesinin gözetilmesi gerekmektedir.
Genel Değerlendirme
Kanun'un beşinci maddesi, kişisel veri işlemenin hukuki dayanaklarını düzenlemekte olup Kanun'un en kritik hükümlerinden birini oluşturmaktadır.1 Bu düzenlemenin anayasal temeli, Anayasa'nın 20. maddesinin üçüncü fıkrasında yer almaktadır: kişisel veriler ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir.2
Maddenin sistematik yapısı iki katmanlıdır: birinci fıkra, açık rıza olmaksızın veri işlemenin yasak olduğu temel kuralını koymakta; ikinci fıkra ise yedi alternatif hukuki dayanak öngörerek bu hallerde açık rıza aranmayacağını düzenlemektedir. İkinci fıkradaki şartların alternatif nitelikte olduğu, yani herhangi birinin varlığının yeterli olduğu önemle vurgulanmalıdır. Ancak hangi hukuki dayanak söz konusu olursa olsun, madde 4'te düzenlenen temel ilkelere uyum her durumda zorunludur.3
GDPR Art. 6 ile karşılaştırıldığında en önemli fark meşru menfaat (legitimate interest) şartındadır.[fn:4] KVKK m. 5/2-f'de "temel hak ve özgürlüklere zarar vermemek kaydıyla" ifadesi yer alırken, GDPR'da "denge testi" (balancing test) uygulanır. KVKK'daki düzenleme daha kısıtlayıcıdır.
Açık Rıza (m. 5/1)
Açık rıza, Kanun'un 3. maddesinde tanımlanan üç kurucu unsuru bir arada barındırmalıdır.1 Birinci unsur, rızanın belirli bir konuya ilişkin olmasıdır; genel veya belirsiz nitelikteki rıza beyanları, örneğin "her türlü veri işlenebilir" şeklindeki ifadeler, geçersiz kabul edilmektedir. İkinci unsur, bilgilendirmeye dayanmasıdır; ilgili kişinin verilerinin hangi amaçlarla ve ne şekilde işleneceği hakkında yeterli bilgiye sahip olması gerekmektedir. Üçüncü unsur ise özgür iradeyle verilmesidir; baskı, zorlama veya yanıltma altında alınan rıza geçerli değildir.
Geçerlilik koşulları açısından rızanın açık bir olumlu eylemle ifade edilmesi zorunludur; sessiz kalma veya önceden işaretlenmiş kutucuklar rıza olarak kabul edilemez.2 Rıza herhangi bir koşula bağlanamaz ve ilgili kişi tarafından her zaman geri alınabilmelidir.3
Önemle belirtmek gerekir ki madde 5/2'deki alternatif hukuki dayanaklar mevcut olduğunda, açık rızaya gereksiz yere başvurulmamalıdır. Rızanın geri alınması halinde ise veri işleme faaliyetine derhal son verilmesi gerekmektedir.4
Kanunlarda Açıkça Öngörülme (m. 5/2-a)
Madde 5/2(a) uyarınca, veri işlemenin kanunla açıkça düzenlenmiş olması halinde ilgili kişinin açık rızası aranmamaktadır. Bu hükmün yorumunda dar yorum ilkesi geçerlidir: "kanun" ibaresi, yalnızca TBMM tarafından kabul edilen kanunları kapsamakta; kanun hükmünde kararnameler ve yönetmelikler bu kapsam dışında kalmaktadır. Ayrıca kanunda veri işlemeye ilişkin açık ve belirli bir hükmün bulunması şarttır; genel nitelikteki düzenlemeler bu dayanak kapsamında değerlendirilemez.
Uygulamada bu hukuki dayanak çerçevesinde çeşitli kanuni yükümlülükler örnek gösterilebilir: 4857 sayılı İş Kanunu'ndaki işçi özlük dosyası tutma yükümlülüğü, 213 sayılı Vergi Usul Kanunu'ndaki defter ve belge saklama yükümlülüğü, 5411 sayılı Bankacılık Kanunu'ndaki müşteri tanıma (KYC) yükümlülüğü ve 6698 sayılı KVKK'nın öngördüğü Veri Sorumluları Siciline kayıt yükümlülüğü bu kapsamdadır.
Sözleşmenin Kurulması veya İfası (m. 5/2-c)
Madde 5/2(c) kapsamında sözleşmesel ilişki çerçevesinde taraf verilerinin işlenmesi, belirli koşullara tabidir. İlk koşul, veri işlemenin sözleşmeyle doğrudan ilgili olması; ikinci koşul, yalnızca sözleşme taraflarına ait verilerin kapsama dahil edilmesidir. Bunların yanı sıra veri işlemenin, sözleşmenin kurulması veya ifası için zorunlu olması gerekmektedir.
Bu hukuki dayanak, sözleşme yaşam döngüsünün farklı aşamalarını kapsamaktadır: sözleşme öncesi müzakereler, sözleşmenin kurulması, sözleşmenin ifası ve sözleşme sonrası yasal yükümlülükler bu çerçevede değerlendirilebilir.
Önemle belirtmek gerekir ki pazarlama veya profilleme faaliyetleri bu hukuki dayanak kapsamında değerlendirilemez; bu tür işlemler için ayrı bir hukuki dayanak gereklidir.
GDPR Art. 6(1)(b) ile paraleldir. Ancak GDPR'da "contract or pre-contractual measures at the request of the data subject" ifadesi yer alırken, KVKK'da ilgili kişinin talebi şartı aranmamaktadır.
Veri Sorumlusunun Hukuki Yükümlülüğü (m. 5/2-ç)
Madde 5/2(ç)'de düzenlenen hukuki yükümlülük dayanağı, veri sorumlusunun yasal yükümlülüklerini yerine getirmesi için zorunlu olan veri işleme faaliyetlerini kapsamaktadır. Bu dayanağın uygulanabilmesi için iki temel şart aranmaktadır: birincisi, veri işlemenin yükümlülüğün ifası için kaçınılmaz olması; ikincisi, yükümlülüğün kanun, yönetmelik veya düzenleyici işlemlerden kaynaklanmasıdır.
Uygulamada bu hukuki dayanak kapsamında çeşitli yükümlülükler örnek gösterilebilir: Sosyal Güvenlik Kurumu'na yapılan bildirimler için çalışan verilerinin işlenmesi, vergi beyannamesi yükümlülükleri, bankacılık mevzuatı çerçevesinde şüpheli işlem bildirimi ve iş sağlığı ve güvenliği mevzuatının gerektirdiği kayıtların tutulması bu kapsamda değerlendirilmektedir.
Meşru Menfaat (m. 5/2-f)
Madde 5/2(f)'de düzenlenen meşru menfaat, uygulanması en tartışmalı ve özenli değerlendirme gerektiren hukuki dayanağı oluşturmaktadır.1 Bu dayanağın geçerli olabilmesi için iki koşulun birlikte gerçekleşmesi gerekmektedir: veri sorumlusunun hukuken korunan meşru bir menfaatinin bulunması ve bu menfaatin izlenmesinin ilgili kişinin temel hak ve özgürlüklerine halel getirmemesi.
Meşru menfaatin kabul gördüğü tipik örnekler arasında dolandırıcılık önleme, ağ ve bilgi güvenliği, grup içi idari amaçlar ve şirket varlıklarının korunması sayılabilir.2 Buna karşılık Kurul'un yerleşik içtihadına göre pazarlama faaliyetleri, profilleme, davranışsal reklamcılık ve kamu kurumlarının faaliyetleri bu hukuki dayanak kapsamında değerlendirilememektedir.
Karşılaştırmalı hukuk perspektifinden bakıldığında, ABAD güncel bir kararında salt ekonomik menfaatlerin de meşru menfaat teşkil edebileceğine hükmetmiştir.3 Bu hukuki dayanağa başvurulmadan önce, yazılı bir meşru menfaat değerlendirmesi (LIA - Legitimate Interest Assessment) yapılması tavsiye edilmektedir.
GDPR Art. 6(1)(f)'de denge testi uygulanırken, KVKK m. 5/2-f'de "temel hak ve özgürlüklere zarar vermemek kaydıyla" ifadesi kullanılmıştır.[fn:4] Kurul yorumlarında bu şart oldukça dar tutulmakta, özellikle pazarlama faaliyetleri için kabul edilmemektedir.