Kişisel Verileri Koruma Kurumu (“Kurum”), 12 Şubat 2024 tarihinde Kanunlarda Öngörülme Kişisel Veri İşleme Şartına İlişkin Bilgi Notu (“Bilgi Notu”) yayınlamış ve kanunlarda öngörülen hallerde kişisel verilerin işlenmesine ilişkin Türk hukuku ve AB hukuku kapsamında değerlendirmelerde bulunmuştur. Bilgi Notu, genel olarak Türk hukuku ve AB hukuku perspektifinden genel bir çalışma olmakla birlikte Bilgi Notu çerçevesinde veri sorumluları için de yararlı olabileceğini düşündüğümüz bazı hususları paylaşmak isteriz.
Kişisel Verilerin Korunması Kanunu’ndaki Hukuki Nedenler ve İstisnalar
Türkiye Cumhuriyeti Anayasası’nın “Özel Hayatın Gizliliği ve Korunması” başlıklı 20. maddesi uyarınca tüm bireylerin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğu ve kişisel verilerin kural olarak açık rıza ile veya kanunlarda açıkça öngörülen hallerde işlenebileceği düzenlenmiş olmakla birlikte bu temel hak ve özgürlüğün de kanunlarda açıkça düzenlenmiş olması halinde belirli koşullar altında sınırlandırılabilmesi mümkündür.
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca, Anayasa’ya paralel olarak, kişisel veriler ve sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülen hallerde açık rıza aranmaksızın işlenebilmektedir. Ancak bunun ötesinde Kanun’da diğer pek çok hukuki neden de düzenlenmiş ve kanunlarda açıkça öngörülmeyen bazı hallerde de kişisel verilerin açık rıza olmaksızın işlenebilmesi mümkün kılınmıştır. Bu çerçevede, veri sorumluları, (i) fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olan, (ii) bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olan, (iii) veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olan, (iv) ilgili kişinin kendisi tarafından alenileştirilmiş olan, (v) bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olan ve (vi) ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olan kişisel verileri de açık rıza olmadan işleyebilmektedir. Ayrıca, Kanun’un 28. maddesi uyarınca da Kanun’dan istisna kılınan bazı veri işleme faaliyetleri de bulunmaktadır.
Kanun tarafından öngörülen (Anayasa’da da belirtilen “kanunlarda açıkça öngörülme” ve “açık rıza” dışındaki) hukuki nedenler ve kişisel verilerin işlenmesine ilişkin Kanun’da öngörülen istisnalar da kişisel verilerin korunması hakkına bir sınırlandırma olarak değerlendirilebileceği için bunların da Anayasa’ya uygunluğu konusunda açıklama yapılması ihtiyacı doğmuştur. Kurum, bu kapsamda Kanun’un Anayasa’nın tanıdığı kapsamda sınırlandırıcı bir düzenleme olduğunu ve dolayısıyla Kanun’da düzenlenen hukuki nedenlerin ve istisnaların Anayasa’ya uygun olduğunu belirtmiştir.
İdareler Tarafından Yapılan Düzenlemeler
Anayasa’nın belirlediği temel kriter çerçevesinde kişisel verilerin korunması hakkı ancak şekli anlamda kanun, bir diğer deyişle Türkiye Büyük Millet Meclisi tarafından onaylanan ve yürürlüğe giren düzenlemeler ve usulüne göre yürürlüğe konulmuş uluslararası anlaşmalar, ile sınırlanabilmektedir. İdareler tarafından yapılabilecek ikincil düzenlemeler (yönetmelik, tebliğ, usul ve esaslar, talimat vb. hukuk kuralları), kanun olarak değerlendirilmemelidir ve ancak dayanak kanun ile verilen bir yetki çerçevesinde kanuni düzenlemeleri somutlaştıran hükümler olarak ele alınmalıdır. İdarelerin kendiliğinden kişisel verilerin korunması hakkını sınırlandıracak bir düzenleme yapmaması, ancak belli bir kanunun getirdiği sınırlamanın dışında yeni bir sınırlama yaratmaması beklenmelidir. Dolayısıyla, aksi yöndeki düzenlemelerin, kanunlarda açıkça öngörülme şartına uygun olmayabileceği değerlendirilebilir.
Yine de Kanun’un kendisinin de bir sınırlandırma olduğu gözetilerek Kurum tarafından şekli anlamda kanunlarda açık hüküm bulunan hallere ek olarak kanunda yer alan açık hükümler ile yönlendirilen ikincil mevzuat kapsamında da kişisel verilerin işlenebileceği belirtilmiştir. Kurum her ne kadar Anayasa’nın temel hak ve özgürlüklerin sınırlandırılması ile ilgili kanunilik ilkesinin önemini vurgulasa da, Kanun perspektifinden ele alındığında, idare tarafından usulüne uygun olarak tesis edilen ikincil düzenlemelerin iptal edilmedikleri sürece bağlayıcı olduğu, uygulanması gerektiğini ve bu düzenlemeler çerçevesinde de kişisel verilerin işlenebileceğini de kabul etmektedir. Dolayısıyla, Bilgi Notu’nda açıkça kanunların verdiği bir yetkiye dayanılarak idareler tarafından yapılan ikincil düzenlemelere dayanan veri işleme faaliyetleri bakımından da açık rıza gerekmeyebileceği ifade edilmiştir. Belirli durumlarda idarelerin işlenecek verilerin kapsamını belirlemek noktasında bir takdir yetkisi de olabileceği de vurgulanmıştır.
Örneğin, İş Kanunu uyarınca özlük dosyalarının düzenlenmesi ve özlük dosyaların çalışanların kimlik bilgilerinin yer alması zorunlu olduğu için, bu amaçla elde edilen ve özlük dosyalarının kanuni saklama süresi boyunca tutulan kimlik verileri açısından açık rıza aranmamaktadır. Yine Yabancılar ve Uluslararası Koruma Kanunu uyarınca yabancılara ait hangi verilerin alınacağı açıkça düzenlenmemiş olsa da bu kanun çerçevesinde verilen yetkiye dayanılarak çıkarılan ve hangi verilerin alınabileceğini ve nasıl işleneceğini düzenleyen yönetmelik kapsamındaki verilerin kanunda açıkça öngörülme şartına dayanarak işlenebileceği belirtilmiştir. Benzer şekilde Tüketicinin Korunması Hakkında Kanun’da işlenmesi gerektiği açıkça düzenlenmeyen tüketici verilerinin yönetmelik ile belirlenmesi de uygun görülmüştür.
“Açıkça” Öngörülme Şartı
Kurum’un görüşü bu şartın sağlanıp sağlanmadığı konusunda ilgili kanun koyucunun iradesine de bakılması gerektiği yönündedir. Aksi halde, kanunların genellikle soyut ve ikincil düzenlemelerle detaylandırılması gereken düzenlemeler olduğu gözetildiğinde ilgili işleme şartının çok sınırlı olacağı belirtilmiştir. Bu çerçevede, Kurum’un Bilgi Notu çerçevesinde, bir veri sorumlusu bir yükümlülük altında ise yükümlülüğün yerine getirilmesi bazı kişisel verilerin işlenmesini gerektiriyorsa söz konusu kişisel verilerin kendisi de bizzatihi bir sınırlandırma olan Kanun’un verdiği yetkiye dayanarak açık rıza aranmaksızın işlenmesinin de mümkün olduğu belirtilmiştir.
Bilgi Notu’nda verilen örnek çerçevesinde maaş ödemelerinin yapılabilmesi için çalışanların banka hesap bilgilerinin, evli olup olmadıklarına ilişkin bilgiler, bakmakla yükümlü oldukları kişilere ilişkin bilgiler, sosyal sigorta numarası gibi verilerin açık rıza olmadan işlenebileceği belirtilmiştir.
Değerlendirme
Kanunlarda öngörülme kişisel veri işleme şartı, kişisel verilerin yasal bir dayanağa dayanarak ve belirli amaçlarla işlenmesini gerektirir. Veri sorumlularının kişisel veri işleme faaliyetlerinde açık rıza dışında diğer veri işleme şartlarına dayanırken doğru şekilde belirleme yapılması son derece önemlidir. Kurum’un söz konusu veri işleme şartının yorumlanmasında amaç odaklı olarak konuyu ele alması ve bu konudaki takdir yetkisini vurgulamasını, ilgili veri işleme şartının geniş yorumlanmasının önünü açan bir gelişme olarak değerlendirmekteyiz.
Meriç Güdücüoğlu'na katkılarından dolayı teşekkür ederiz.