6698 sayılı Kişisel Verilerin Korunması Kanunu ("Kanun") kapsamında açık rıza aranmaksızın kişisel verilerin işlenmesi mümkün kılan hukuki sebeplerinden biri olan "kanunlarda öngörülme" şartıdır.
Kişisel Verileri Koruma Kurumu ("Kurum"), "kanunlarda öngörülme" şartı hakkında bir bilgi notu ("Bilgi Notu") yayınlamıştır ve veri koruma mevzuatı kapsamında bu hukuki sebebin dayanağı hakkında bir takım açıklamalarda bulunmuştur.
- "Kanunlarda Öngörülme" Şartı Nedir?
Kanun'un 5'inci maddesi kapsamında kişisel veriler kural olarak açık rıza olmaksızın işlenemez. Ancak maddenin devamında sayılan şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür. Bu şartlardan bir tanesi de Kurum'un Bilgi Notuna konu "kanunlarda açıkça öngörülmesi" şartıdır.
Kurum tarafından yayınlanan Kanun'un gerekçesinde, kolluk tarafından bir suç soruşturması sebebiyle Polis Vazife ve Salahiyet Kanunu uyarınca şüphelilerin parmak izlerinin alınması, Adli Sicil Kanunu uyarınca Adalet Bakanlığının kişilerin ceza mahkûmiyetlerine ilişkin verilerini işlemesi gibi durumlarda açık rızaya gerek olmadığı belirtilmiştir.
- Bilgi Notu Kapsamında Değerlendirmeler
Bilgi Notunda, Anayasa'nın 20'inci maddesi kapsamında, Herhangi bir kanunda açık bir hüküm varsa veya açık bir hüküm ile ikincil mevzuata yönlendirme yapılmışsa, bu durum kişisel verilerin açık rıza olmaksızın işlenebileceği, ancak Anayasa'daki kişisel verilerin korunması hakkına yalnızca tüzük, yönetmelik veya diğer herhangi bir idari işlem ile sınırlama getirilmesinin mümkün olmadığı vurgulanmıştır.
Bu itibarla:
- "kanunlarda öngörülme" hukuki sebebine dayanılarak, kişisel verilerin açık rıza olmaksızın işlenebilmesi için, kişisel verilerin işlenmesini gerektiren bir kanun hükmü olması gerektiği ve
- kişisel verilerin işlenmesinin genel çerçevesinin kanunla çizildiği ancak detaylarının yönetmelik vb. düzenlemeler ile düzenlendiği durumlarda, yine "kanunlarda öngörülme" sebebine dayanılabileceği ifade edilmiştir.
Örnek olarak, mesafeli sözleşmelerin akdedilmesi kapsamında tüketici verilerinin işlenmesinin temel dayanağının Tüketicinin Korunması Hakkında Kanun'da yer aldığı ancak mesafeli sözleşme kapsamında tüketiciye ait hangi verilerin işleneceği hususunun, daha detaylı olarak Mesafeli Sözleşmeler Yönetmeliği'nde düzenlendiği, bu çerçevede, satıcının tüketici verilerini işlemesi açısından "kanunlarda öngörülme" sebebinin uygulama alanı bulacağına dikkat çekilmiştir.
İlaveten, Bilgi Notunda, Genel Veri Koruma Tüzüğü ("GDPR") kapsamında da bir değerlendirme yapılmıştır. GDPR'da, Kanun'un aksine, kanunlarda açıkça öngörülme ve hukuki yükümlülüğün yerine getirilmesi hususlarının birbirinden ayrılmadığı belirtilerek, GDPR'ın Gerekçesi'nin 41. maddesi uyarınca bir hukuki yükümlülüğünün, belirli bir kanun hükmüne atıfta bulunması veya onun uygulamasını açıkça ortaya koyan bir tavsiye, rehber vb. kaynaklara işaret edilerek tanımlanabilmesi halinde, hukuki yükümlülüğün bir işleme şartı olarak kabul edilebileceği ifade edilmiştir.
Ek olarak, İrlanda Veri Koruma Otoritesinin bir rehberine atıf yapılarak, veri sorumlularının işlemeyi gerektiren hukuki yükümlülüğü doğuran özel kanunu, tavsiyeyi, kurul veya mahkeme kararını, içtihadı veya rehberi açıkça işaret etmeleri gerektiği belirtilmiştir. Bu kapsamda, Kurum'un Kanun'da yer alan, "kanunlarda öngörülme" sebebinin yorumlanması açısından, GDPR'da yer alan "hukuki yükümlülüğün yerine getirilmesi" sebebinin uygulanmasına ilişkin kriterleri de dikkate aldığı anlaşılmaktadır.
Bilgi Notunun tam metnine aşağıdaki linkten ulaşabilirsiniz:
https://kvkk.gov.tr/SharedFolderServer/CMSFiles/8d119dab-5886-4300-bd13-4eaf9bf15ea0.pdf
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
