Kişisel Verileri Koruma Kanunu (“KVKK”) hükümleri uyarınca, veri sorumluları tarafından, ilgili kişilerden açık rıza alarak yahut KVKK’nın 5’inci maddesinin 2’nci fıkrası hükmünde sayılan hallerde rıza almaya gerek kalmadan kişisel verilerin işlenmesi mümkündür. İşbu yazıda KVKK’nın 5/2 maddesinin (ç) bendinde “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” hali uyarınca veri sorumlusunun veri işleme faaliyetinin incelemesi yapılacaktır.
A. AÇIK RIZA
6698 Sayılı Kişisel Verilerin Korunması Kanunu m.5/1 hükmünde kişisel verilerin, ilgili kişinin açık rızası olmaksızın işlenemeyeceğine yer verilmiştir. KVKK m.4’te belirtilen genel ilkelere uygun veri işleme faaliyetinde ilgili kişinin açık rızasının bulunması durumunda hukuka uygun veri işleme faaliyeti gerçekleştirilecektir. Hukuka uygunluk sebebi olan açık rıza, kanunda tanımlanmamıştır. Açık rızanın hukuka uygunluğu sağlaması için gerekli eşiğin salt rızaya nazaran daha yüksek olacağı şüphesizdir. İlgili kişinin açık rızası, kanun uyarınca yalnızca genel nitelikteki kişisel verilerin işlenmesinde değil, özel nitelikteki kişisel verilerin işlenmesinde de hukuka uygunluk sebebi olmaktadır.
Açık rızanın özgür iradeye dayanarak verilmiş olması gerekir. Özellikle veri sorumlusu ile ilgili kişi arasında hiyerarşik ilişki bulunduğu, ilgili kişinin veri sorumlusuna bağlı olduğu durumlarda açık rızanın özgür irade ile verilip verilmediği iyi incelenmelidir. Örneğin, iş ilişkisi kapsamında işçilerin, kişisel verilerinin işlenmesine özgür iradelerine dayanarak rıza gösterdiklerinden söz edebilmek, isçinin işverene tabiiyet ilişkisi ile bağlı olması nedeniyle çoğu halde oldukça zor olacaktır. Özgür iradeye dayanan rıza gösterilmesinin zor olması, iş ilişkisinde rızanın kural olarak geçersiz sayılacağı anlamına gelmeyecektir. Bu nedenle hiyerarşik ilişkide veri işleme faaliyetine açık rıza verilmesinde özgür iradenin varlığına her zaman şüpheyle yaklaşılmalıdır. Bu şüpheden ötürü iş ilişkilerindeki veri işleme faaliyetinde, işveren tarafından KVKK m.5/2 hükmündeki diğer hukuki sebeplerle veri işlemenin hukuka uygun olup olmadığını değerlendirmek daha yerinde olacaktır.
Kanunun m.5/2 hükmünde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenebileceği hukuka uygunluk sebepleri sayılmıştır. Buna göre kişisel verilerin işlenebilmesi için hukuka uygunluk sebeplerinden en az birinin varlığı gerekmektedir. Bu kapsamda KVKK m.5/2(c) hükmünde belirtilen, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması şartını ele alacağız.
Hukuka Uygunluk Sebepleri Arasındaki İlişki
Kişisel veri işlenmesinde, açık rıza ile diğer hukuka uygun sebeplerinin bir arada bulunup bulunamayacağı tartışmalıdır. Veri sorumlusu, veri işlerken hukuka uygunluk sebebine dayanıyorsa, bu işlem için açık rızanın talep edilmesine ihtiyaç olmayacaktır. Veri sorumlusu hukuka uygunluk sebebine dayanmasına rağmen, ilgili kişiden açık rıza talep edilmesi halinde, kişi rızasını her an geri alabilecektir; rızanın geri alınması, veri işlerken dayanılan hukuka uygunluk sebebi mevcut olduğundan ötürü bir anlam ifade etmeyecektir. Kanunda hukuka uygunluk sebebi bulunması rağmen açık rıza talep edilmesi, yanıltıcı bir uygulama olarak nitelendirilmekte, genel işlem şartları çerçevesinde böyle bir hüküm öngörülmesi halinde ilgili hükmün geçersiz olacağı ve böylelikle açık rıza ile diğer hukuka uygunluk sebeplerinin bir arada bulunamayacağı savunulmaktadır.
Diğer taraftan veri sorumlusu veri işlerken diğer hukuka uygunluk sebeplerinin varlığı hallerinde açık rızaya hiçbir şekilde dayanamayacağı görüşü savunulmaktadır. Bir görüşe göre veri sorumlusu, gerçekleştireceği kişisel veri işleme faaliyetinde öncelikle diğer veri işleme şartlarından herhangi birine veya birkaçına dayanıp dayanmayacağına bakmalıdır. Bu görüş, bu şartlardan hiçbiri mevcut değilse kişinin açık rızasına başvurulması gerektiğini savunmaktadır.
Diğer bir görüş, hukuka uygunluk sebepleri arasında hiyerarşik ilişki olmaması sebebiyle veri sorumlusunun kişisel veri işleme faaliyetini dilediği hukuki sebebe dayandırabileceğini, ancak bu sebebin ortadan kalkması halinde artık diğer sebeplere dayanıp veri işleme faaliyetine devam etmesinin imkânsız olacağını savunmaktadır.
Veri sorumlusu, veri işleme faaliyetinin kanuna aykırı olmaması için, hukuka uygunluk nedenlerinden en az birine dayanması gerekmektedir. Veri işleme faaliyeti yürütülürken birden fazla hukuki dayanağının da mümkün olduğunu savunan görüş bulunmaktadır. Fakat birçok hukuka uygunluk sebebi mevcut olsa da mevcut kategoride veri işlerken tek bir sebebe dayanılması gerekir. Mesela bir veri sorumlusu şirketin, çalışanına maaş ödeyebilmesi için, banka hesap numarası; asgari geçim indirimi alacağı ödeyebilmesi için ilgili kişinin evli olup olmadığı, kaç tane çocuğu bulunduğunu, bakmakla yükümlü olduğu kişiler bulunup bulunmadığına ilişkin verileri işlemesi veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için veri işlemenin zorunlu olduğu hallere örnek olarak verilebilir. Bu veri işleme faaliyetini KVKK m.5/2(ç) hükmüne ya da KVKK m.5/2(c) hükmündeki sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması sebebine dayandırılabilecektir.
Kurul kararında, işverenin çalışanlarının özlük dosyalarını, Kanunun m.5/2(a)’da belirtilen kanunda açıkça öngörülme ve aynı fıkranın (ç) bendinde yer alan veri sorumlusunun hukuki yükümlülüğünün yerine getirilmesi için zorunlu olması şartlarına dayanarak işlediğini belirterek kanuna aykırılık görmemiştir. Fakat özlük dosyasında işçinin kimlik verilerinin işlenmesi sırasında tek bir hukuki sebebe dayanılması ve dayanılan hukuki sebebin belirli olması gerekmektedir. Birden çok hukuki sebebe dayanılması Kanunun amacından uzaklaşıldığı anlamına gelebilecektir.
B. VERİ SORUMLUSUNUN HUKUKİ YÜKÜMLÜLÜĞÜNÜ YERİNE GETİREBİLMESİ İÇİN ZORUNLU OLMASI
KVKK m. 5/2 hükmünde hukuka uygunluk sebebi olarak, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması hali düzenlenmiştir. Benzer düzenleme ile söz konusu uygunluk nedenine GVKT m.6/1(c)’de de yer verilmiştir. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması durumunda ilgili kişinin rızası alınmadan kişisel verileri işlenebilir. Aksi takdirde böyle bir durumda ilgili kişinin rızasını aramak veri sorumlusunun hukuki yükümlülüğünü yerine getirmemesine neden olabilir.
Hukuki yükümlülüğün, geçerli ve bağlayıcı bir mevzuat hükmünden doğmuş olması gerekir. Bu mevzuat hükümlerinin, mutlaka bir kanun hükmü olması zorunlu değildir. İkincil mevzuattaki hükümler de hukuki yükümlülük kapsamına girecektir. Ayrıca hukuki yükümlülükten söz edilebilmesi için, veri sorumlusunun bir tercih imkanı bulunmamalı, ilgili düzenlemeye uyulması zorunlu olmalıdır.
Hukuki yükümlülüğe ilişkin olarak, işverenin isçilerin maaş ödemesini gerçekleştirmesi için banka hesap numarasını, isçinin bakmakla yükümlü olduğu kişilere dair verileri işlemesi; İş Kanunu m. 75 hükmüne göre özlük dosyasını tutması için veri işlemesi; işverenin işçilerin çalışma gün sayıları ve kazançlarını Sosyal Güvenlik Kurumuna bildirme yükümlülüğü kapsamında veri işlemesi; veri sorumlusu bankaların, Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun gereği, ilgili kişinin yasa dışı yollarla malvarlığı edindiği veya malvarlığını yasadışı amaçlarla kullandığına dair herhangi bir bilgi, şüphe veya şüpheyi gerektirecek bir hususun bulunması halinde bu işlemleri Maliye Bakanlığına bağlı MASAK’a bildirme yükümlülüğü kapsamında veri işlemesi örnek verilebilir.
Hukuki yükümlülükten bahsederken, bu yükümlülüğün hangi ülke mevzuatından kaynaklanması gerektiği, uluslararası mevzuattaki yükümlülüklerin bu kapsama girip giremeyeceği mevzubahis olmaktadır.
Taştan, veri sorumlusunun hukuki yükümlülüğünün kaynağının, kural olarak Türk Hukuku olması gerektiğini, Türkiye’de veri sorumluları siciline kayıtlı bir şirketin, başka bir ülkede faaliyet göstermesi ve o ülkenin kanunlarına göre yükümlü olduğu bir hususu yerine getirmek amacıyla veri işlemesi, uluslararası anlaşmalarda aksi bir durum belirtilmemişse bu fıkra kapsamında hukuka uygunluk sebebi olarak değerlendirilmeyeceğini belirtmektedir.
1. Kanunda Açıkça Öngörülme ile Hukuki Yükümlülüğün Yerine Getirilmesi Arasındaki İlişki
Genel nitelikteki kişisel verilerin işlenmesi nde hukuka uygunluk sebebi olarak düzenlenen kanunlarda açıkça öngörülme ve veri sorumlusunun hukuki yükümlülüğünün yerine getirilmesi için zorunlu olma hali arasında net bir şekilde çizilen bir ayrım bulunmakta mı sorusu gündeme gelmektedir.
Bu iki hukuka uygunluk sebebinin birbiriyle karşılaştırma riski bulunmaktadır. Çalışma grubu da yürürlülükten kaldırılan 95/46/EC sayılı Direktifin m.7(c) ile m.7(e) arasında benzerlik bulunduğunu belirtmektedir. Benzer düzenleme içeren GVKT m.6/1(c) ile m.6/1(e) hükümleri arasında da bu benzerlik mevcuttur.
Kişisel verilerin işlenmesi ne ilişkin kanunlarda açıkça öngörülen bir düzenlemede, aynı zamanda veri sorumlusunun hukuki yükümlülüğünün yerine getirilmesini zorunlu kılan hukuka uygunluk sebebine dayanılabilir. Bu duruma İş Kanunu m.75 uyarınca işverenin işçinin özlük dosyası düzenlemesi hali örnek olarak verilebilir.
Kanunda açıkça öngörülme ile hukuki yükümlülüğün ayrımı açısından, veri işlemenin, mevzuattan kaynaklanan bir yetkiye dayanılarak yapılıyorsa, diğer bir ifadeyle veri işlemenin yapılması bir yükümlülük değil ancak bir yetkinin kullanımı ise bu durumda kanunda açıkça öngörülme; fakat veri işleme bir yetkinin kullanımından değil mevzuattan kaynaklanan bir yükümlülüğün yerine getirilmesinden kaynaklanıyorsa bu durumda veri sorumlusunun hukuki yükümlülüğü yerine getirmesi için zorunlu olma hukuki sebebi kapsamına gireceğini belirten bir yorum söz konusudur. Veri sorumlusuna kanunla verilmiş bir yetki, aynı zamanda veri sorumlusunu yükümlü de kılabilir. Bu nedenle zikredilen yorum hukuka uygunluk sebeplerinin net bir şekilde ayrımını yapmamaktadır.
Kanun dışında ikincil mevzuatla düzenlenen hukuki yükümlülük durumunda veri işleme faaliyeti kanunlarda açıkça öngörülme sebebine dayandırılamayacaktır. Ayrıca kanunla öngörülmüş fakat açıkça düzenlenmemiş bir veri işleme faaliyetinde genel nitelikli kişisel verilerin işlenmesinde kanunda açıkça öngörülme sebebine dayanılamayacaktır. Kanunda açıkça öngörülen ve aynı zamanda hukuki yükümlülük kapsamında giren bir durumda veri işleme faaliyeti bu iki sebepten birisine dayandırılabilecektir.
Kurul kararında, işverenin çalışanlarının özlük dosyalarını, Kanunun m.5/2(a)’da belirtilen kanunda açıkça öngörülme ve aynı fıkranın (ç) bendinde yer alan veri sorumlusunun hukuki yükümlülüğünün yerine getirilmesi için zorunlu olması şartlarına dayanarak işlediğini belirtilmesi aslında bir nevi, iki hukuka uygunluk sebebinin benzerliğini ifade etmektedir. İş Kanunu m.75’e göre işçinin özlük dosyasının düzenlenmesi, hem KVKK m.5/2(a)’ya hem de m.5/2(ç)’ye verilen örnekler arasındadır.
2. Sözleşmesel Yükümlülük
Sözleşme ile düzenlen yükümlülüklerin, hukuki yükümlülük kapsamına girip girmediği tartışmalıdır. Hukuki yükümlülük, yalnızca mevzuatta öngörülen yükümlülükleri ifade ettiğinden veri sorumlusunun yükümlülüğünü yerine getirmesi için zorunlu olan hallerin, KVKK m.5/2-c hükmü kapsamında değerlendirilemeyeceğini savunan görüş bulunmakla birlikte, veri sorumlusunun hukuki yükümlülüklerinin, ilgili kişilerle aralarında akdettiği sözleşmelerden de doğabileceğini savunan görüş de bulunmaktadır.
3. Özel Nitelikte Kişisel Verinin Hukuki Yükümlülük İlişkisi
Özel nitelikteki kişisel verilerin işlenmesi nin mümkün olması için ilgilinin açık rızası gerekmektedir. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin işlenmesi nde kanunda öngörülme durumu mevcutsa açık rızaya ihtiyaç olmayacaktır. Sağlık ve cinsel hayata ilişkin verilerin işlenmesi bakımından ise KVKK m.6/3 hükmünde hukuka uygunluk sebepleri zikredilmiştir.
Kanunda özel nitelikli kişisel verilerin işlenmesinde, genel nitelikteki kişisel verilerin işlenmesi kapsamındaki hukuka uygunluk sebebi olan veri sorumlusunun hukuki yükümlülüğünün yerine getirilmesinin zorunlu olması düzenlenmemiştir. Yukarıda kanunda açıkça öngörülme ile hukuki yükümlülük arasındaki yakınlığı, bu hukuka uygunluk sebeplerinin iç içe geçebileceğini dile getirmiştik. Bu kapsamda sağlık ve cinsel hayat dışındaki kişisel verilerin işlenmesinde yer alan kanunda öngörülme hukuki sebebi de hukuki yükümlülük sebebiyle bir arada bulunabilir. Buna ilişkin olarak hukuki yükümlülük sebebinin, özel nitelikteki kişisel veriler bakımından da sınırları net bir şekilde çizilmek suretiyle düzenlenmesi gerektiğini savunan görüş bulunmaktadır. Buna gerekçe olarak, hukuki yükümlülüğün yerine getirilmesi hukuka uygunluk ve denetlenebilirliğin sağlamasının en önemli yollarından biri olduğunu, her somut olaya göre değerlendirme yapılması gerektiğini belirtmektedir.
Kurul kararında, işçinin özlük dosyasındaki verilerinin sır saklama yükümlülüğü altında bulunan iş yeri hekiminin erişimi ile sınırlı olarak saklanmakta olduğundan ve özel nitelikli kişisel verilerin işlenmesi nde veri sorumlularınca alınması gereken yeterli önlemler alınmak suretiyle mevzuatta öngörülen görevleri kapsamında iş yeri hekimi tarafından sağlık verisinin işlenmesinin mümkün olduğunu belirtmiştir. Kurulun kararında Kanuna aykırı bir durum bulunmamaktadır. Özel nitelikteki kişisel verilerin işlenmesi nde sınırları net bir şekilde çizilerek veri sorumlusunun hukuki yükümlülüğünü yerine getirmesinin zorunlu olması hukuka uygunluk sebebinin düzenlenebileceği savunulmaktadır.