TR EN DE

Kişisel Verilerin İşlenme Şartları

KVKK Madde 5 kapsamında kişisel verilerin işlenmesinin hukuka uygun sayılacağı haller, açık rıza ve açık rıza aranmayan işleme şartları, GDPR ile karşılaştırma ve Kurul kararları ışığında pratik uygulamalar.

Summary in English

Overview

This article examines the legal grounds for processing personal data under Turkish Personal Data Protection Law No. 6698 (KVKK) Article 5. Processing personal data is only lawful when one of the specified conditions is met.

Key Points

  • Explicit Consent: The primary legal basis for processing personal data. Must be specific, informed, and freely given.
  • Legal Obligation: Processing required by law or to fulfill a legal obligation of the data controller.
  • Contractual Necessity: Processing directly related to the establishment or performance of a contract.
  • Legitimate Interest: Processing necessary for the legitimate interests of the data controller, provided it does not harm the fundamental rights of the data subject.
  • GDPR Comparison: KVKK provides seven exceptions to consent requirement, similar to GDPR's six lawful bases under Article 6.
Full article in Turkish below

Überblick

Dieser Artikel untersucht die Rechtsgrundlagen für die Verarbeitung personenbezogener Daten nach dem türkischen Datenschutzgesetz Nr. 6698 (KVKK) Artikel 5. Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn eine der festgelegten Bedingungen erfüllt ist.

Kernpunkte

  • Ausdrückliche Einwilligung: Die primäre Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Muss spezifisch, informiert und freiwillig erteilt werden.
  • Gesetzliche Verpflichtung: Verarbeitung, die gesetzlich vorgeschrieben ist oder zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen erforderlich ist.
  • Vertragliche Notwendigkeit: Verarbeitung, die in direktem Zusammenhang mit der Begründung oder Erfüllung eines Vertrags steht.
  • Berechtigtes Interesse: Verarbeitung, die für die berechtigten Interessen des Verantwortlichen erforderlich ist, sofern die Grundrechte der betroffenen Person nicht beeinträchtigt werden.
  • DSGVO-Vergleich: Das KVKK sieht sieben Ausnahmen von der Einwilligungspflicht vor, ähnlich den sechs Rechtsgrundlagen der DSGVO nach Artikel 6.
Vollständiger Artikel auf Türkisch unten

1. Giriş

Kişisel verilerin işlenmesi, ancak KVKK'da öngörülen şartlardan birinin varlığı halinde hukuka uygundur. Bu şartlar, veri işleme faaliyetlerinin meşruiyet temelini oluşturur. KVKK, GDPR'a benzer şekilde, kişisel verilerin işlenmesi için alternatif hukuki temeller öngörmüştür. İlgili kişinin açık rızası temel işleme şartı olmakla birlikte, Kanun belirli durumlarda açık rıza aranmaksızın veri işlenmesine izin vermektedir.

Karşılaştırmalı Hukuk
AB (GDPR Madde 6): Altı hukuki temel öngörülmüştür: (a) Rıza, (b) Sözleşme, (c) Hukuki yükümlülük, (d) Hayati menfaat, (e) Kamu görevi, (f) Meşru menfaat. GDPR'da rıza, diğer hukuki temellerle eşit konumdadır.

ABD (CCPA/CPRA): İşleme için hukuki temel zorunluluğu yoktur. Opt-out modeli benimsenmiştir; tüketicilere verilerinin satışını reddetme hakkı tanınır.

Almanya (BDSG): GDPR'ı tamamlayıcı düzenlemeler içerir. İş hukuku bağlamında çalışan verilerinin işlenmesi için özel kurallar mevcuttur (§ 26 BDSG).

Türkiye (KVKK Madde 5): Açık rıza ana kural olarak düzenlenmiş, yedi adet açık rıza aranmayan hal sınırlı sayıda belirlenmiştir.

2. Açık Rıza

KVKK'nın 5. maddesinin 1. fıkrası uyarınca, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Bu kural, veri işlemenin temel şartını oluşturur. Ancak açık rızanın geçerli olabilmesi için belirli unsurları taşıması gerekir.

KVKK Madde 5/1 - Genel Kural
"Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez."

2.1. Açık Rızanın Unsurları

Unsur Açıklama Geçersizlik Sebebi
Belirli bir konuya ilişkin Rıza, hangi verilerin hangi amaçla işleneceğini açıkça belirtmelidir Genel ve belirsiz ifadeler ("tüm verilerim işlenebilir")
Bilgilendirilmeye dayanan İlgili kişi, rıza vermeden önce yeterli düzeyde aydınlatılmalıdır Aydınlatma yapılmadan alınan rıza
Özgür iradeyle açıklanan Rıza, herhangi bir baskı veya zorlama olmaksızın verilmelidir Sözleşme şartı olarak dayatılan rıza
Kurul Kararı - Açık Rızanın Geçerliliği
Kurul'un 2019/78 sayılı kararında, bir şirketin müşterilerinden "tüm kişisel verilerimin işlenmesine rıza gösteriyorum" şeklinde genel bir onay almasının, rızanın "belirli bir konuya ilişkin" olma şartını taşımadığı için geçersiz olduğuna hükmedilmiştir.

2.2. Açık Rızanın Alınma Şekli

KVKK, açık rızanın yazılı alınmasını zorunlu kılmamaktadır. Ancak ispat kolaylığı açısından yazılı veya elektronik ortamda alınması önerilir. Rıza; fiziksel form, elektronik onay kutusu, SMS onayı veya sesli onay gibi yöntemlerle alınabilir.

Önemli Not - Opt-in Zorunluluğu
Açık rıza, ilgili kişinin aktif bir eylemiyle verilmelidir. Önceden işaretlenmiş onay kutuları (pre-ticked boxes) veya susma yoluyla rıza alınması KVKK'ya aykırıdır. GDPR Recital 32 de aynı ilkeyi benimsemektedir.

2.3. Rızanın Geri Alınması

İlgili kişi, verdiği açık rızayı her zaman geri alabilir. Rızanın geri alınması, geri alma tarihine kadar yapılan işlemlerin hukuka uygunluğunu etkilemez. Ancak geri alma tarihinden itibaren veri işleme faaliyetinin başka bir hukuki temele dayanması veya sona ermesi gerekir.

3. Açık Rıza Aranmayan Haller

KVKK'nın 5. maddesinin 2. fıkrası, açık rıza aranmaksızın kişisel veri işlemenin mümkün olduğu yedi hali sınırlı sayıda (numerus clausus) düzenlemiştir.

KVKK Madde 5/2 - Açık Rıza Aranmayan Haller
Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
  1. Kanunlarda açıkça öngörülmesi
  2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan kişinin hayatı veya beden bütünlüğünün korunması için zorunlu olması
  3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşme taraflarına ait verilerin işlenmesinin gerekli olması
  4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
  5. İlgili kişinin kendisi tarafından alenileştirilmiş olması
  6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
  7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

3.1. Kanunlarda Açıkça Öngörülmesi

Bir kanun hükmü, kişisel verilerin işlenmesini açıkça öngörüyorsa, ilgili kişinin rızası aranmaksızın veri işlenebilir. Burada "kanun" kavramı dar yorumlanmalı; kanun hükmünde kararname, yönetmelik veya tebliğ bu kapsamda değerlendirilmemelidir.

Kanun İşlenen Veri Amaç
5510 sayılı SGK Kanunu Çalışan kimlik ve sigorta bilgileri Sosyal güvenlik bildirimleri
213 sayılı VUK Müşteri/tedarikçi kimlik ve finansal bilgileri Vergi beyannameleri
6102 sayılı TTK Ortak ve yönetici bilgileri Ticaret sicili bildirimleri
5651 sayılı İnternet Kanunu IP adresi, erişim kayıtları Log tutma yükümlülüğü
Kurul Kararı - Kanuni Yükümlülük
Kurul'un 2020/915 sayılı kararında, bir bankanın MASAK bildirimleri kapsamında müşteri bilgilerini işlemesinin "kanunlarda açıkça öngörülme" şartı kapsamında değerlendirildiği ve açık rıza gerekmediği belirtilmiştir.

3.2. Hayati Menfaatin Korunması

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde açık rıza aranmaz.

Pratik Örnek
Bir kaza sonucu bilinci kapalı olarak hastaneye getirilen kişinin acil müdahale için sağlık verilerinin işlenmesi, bu şart kapsamında değerlendirilir. Kişinin kendisi rıza veremeyecek durumda olduğundan, hayati tehlikenin önlenmesi için veri işleme meşrudur.

3.3. Sözleşmenin Kurulması veya İfası

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesi gerekli olduğunda açık rıza aranmaz. Bu şartın uygulanabilmesi için veri işlemenin sözleşmeyle "doğrudan" ilişkili ve "gerekli" olması zorunludur.

Sözleşme Türü Gerekli Veri İşleme Kapsam Dışı
E-ticaret satış sözleşmesi Teslimat adresi, ödeme bilgileri Pazarlama tercihleri
İş sözleşmesi Kimlik, banka hesabı, SGK bilgileri Aile üyesi bilgileri (istisnalar hariç)
Sigorta sözleşmesi Risk değerlendirmesi için gerekli bilgiler Üçüncü kişi verileri
Kredi sözleşmesi Mali durum, gelir bilgileri Eşin gelir bilgisi
Kurul Kararı - Sözleşme İlişkisi
Kurul'un 2019/81 sayılı kararında, bir bankanın kredi başvurusunda başvuru sahibinin eşinin gelir bilgisini talep etmesinin bu şart kapsamında değerlendirilemeyeceğine karar verilmiştir. Eş, sözleşmenin tarafı olmadığından, eşin verileri için ayrıca açık rıza alınması gerektiği belirtilmiştir.

3.4. Hukuki Yükümlülüğün Yerine Getirilmesi

Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması halinde açık rıza aranmaz. Bu şart, "kanunlarda açıkça öngörülme" şartından farklı olarak, mevzuattan kaynaklanan dolaylı yükümlülükleri de kapsar.

3.5. Alenileştirme

İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi için açık rıza aranmaz. Burada önemli olan, alenileştirme iradesinin ilgili kişiye ait olması ve alenileştirmenin bizzat ilgili kişi tarafından yapılmış olmasıdır.

Pratik Örnek
Bir kişinin LinkedIn profilinde açıkça paylaştığı iş deneyimi ve eğitim bilgileri "alenileştirilmiş" kabul edilir. Ancak bu verilerin işlenmesi, alenileştirme amacıyla sınırlı olmalıdır. Örneğin, işe alım sürecinde kullanılabilir ancak pazarlama amacıyla kullanılamaz.

3.6. Hakkın Tesisi, Kullanılması veya Korunması

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde açık rıza aranmaz. Bu şart, özellikle hukuki uyuşmazlıklarda delil olarak kullanılmak üzere verilerin saklanması veya işlenmesi durumlarında uygulanır.

Durum İşlenen Veri Hukuki Temel
İş davası Eski çalışan kayıtları Savunma hakkı
Alacak takibi Borçlu iletişim bilgileri Alacak hakkının korunması
Miras davası Muris kayıtları Miras hakkının tesisi
Tazminat davası Kaza kayıtları, tanık bilgileri Tazminat hakkının kullanılması

3.7. Meşru Menfaat

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması halinde açık rıza aranmaz. Bu şart, en esnek ancak en dikkatli uygulanması gereken hukuki temeldir.

Meşru Menfaat Denge Testi
Meşru menfaat şartının uygulanabilmesi için üç aşamalı bir test yapılmalıdır:
  1. Meşru menfaatin varlığı: Veri sorumlusunun gerçek ve meşru bir menfaati olmalıdır
  2. Zorunluluk: Veri işleme, bu menfaatin gerçekleştirilmesi için zorunlu olmalıdır
  3. Denge testi: İlgili kişinin temel hak ve özgürlükleri, veri sorumlusunun menfaatine göre ağır basmamalıdır
Kurul Kararı - Meşru Menfaat
Kurul'un 2020/252 sayılı kararında, bir şirketin çalışanlarının iş e-postalarını denetlemesinin meşru menfaat kapsamında değerlendirilebileceği, ancak bunun için çalışanların önceden bilgilendirilmiş olması, denetimin orantılı olması ve özel hayata ilişkin içeriklerin korunması gerektiği belirtilmiştir.

4. KVKK ve GDPR Karşılaştırması

KVKK Madde 5/2 GDPR Madde 6/1 Fark
Kanunlarda açıkça öngörülme Hukuki yükümlülük (c) KVKK daha dar kapsamlı
Hayati menfaat Hayati menfaat (d) Benzer düzenleme
Sözleşme Sözleşme (b) Benzer düzenleme
Hukuki yükümlülük Hukuki yükümlülük (c) KVKK'da iki ayrı bent
Alenileştirme Açık düzenleme yok (Madde 9/2-e özel veriler için) KVKK'da genel kural
Hakkın tesisi/korunması Açık düzenleme yok (meşru menfaat altında) KVKK'da ayrı bent
Meşru menfaat Meşru menfaat (f) GDPR'da kamu kurumları hariç
- Kamu görevi (e) KVKK'da açık düzenleme yok

5. İşleme Şartlarının Seçimi

Veri sorumluları, veri işleme faaliyetleri için uygun hukuki temeli doğru belirlemelidir. İşleme şartının yanlış seçilmesi, idari para cezası ve tazminat sorumluluğuna yol açabilir.

İşleme Şartı Seçim Kriterleri
1. Öncelik sırası yoktur: Açık rıza, diğer işleme şartlarından öncelikli değildir. Kanunda öngörülen şartlardan biri varsa, açık rıza almaya gerek yoktur.

2. Tek şart yeterlidir: Veri işleme için şartlardan yalnızca birinin varlığı yeterlidir. Birden fazla şarta dayanmak gerekmez.

3. Şart değişikliği: Başlangıçta belirlenen hukuki temel, sonradan değiştirilemez. Örneğin, açık rızaya dayanan bir işleme için rıza geri alındığında, meşru menfaate geçiş yapılamaz.

4. Şeffaflık: Hangi işleme şartına dayanıldığı, aydınlatma metninde belirtilmelidir.

6. Sonuç

Kişisel verilerin işlenme şartları, veri koruma hukukunun temel yapı taşlarından biridir. KVKK, açık rızayı genel kural olarak benimsemekle birlikte, yedi adet açık rıza aranmayan hal öngörmüştür. Veri sorumlularının, her veri işleme faaliyeti için uygun hukuki temeli doğru belirlemesi, hem hukuka uygunluk hem de ilgili kişilerin haklarının korunması açısından kritik öneme sahiptir.

Uygulamada en sık karşılaşılan sorunlardan biri, açık rızanın gereksiz yere alınması veya yanlış hukuki temele dayanılmasıdır. Özellikle sözleşme ilişkisi veya kanuni yükümlülük gibi şartların varlığında ayrıca açık rıza alınması, hem ilgili kişileri yanıltabilir hem de rızanın geri alınması durumunda hukuki belirsizlik yaratabilir. Bu nedenle, veri işleme faaliyetlerinin başlangıcında doğru hukuki temelin belirlenmesi büyük önem taşımaktadır.

KVKK Makale Serisi 2 / 15
Kişisel Veri Kavramı Özel Nitelikli Kişisel Veriler

Bu çalışma yalnızca bilgilendirme amacıyla hazırlanmış olup hukuki tavsiye niteliği taşımaz. Mevzuat ve içtihatlarda meydana gelebilecek değişiklikler nedeniyle içerik zamanla geçerliliğini yitirebilir. İçeriğin somut olaylara uygulanması veya bu içeriğe dayanılarak alınan kararlar nedeniyle doğabilecek sonuçlardan sorumluluk kabul edilmez.