Kişisel veri, “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi” ifade eder. Bu tanım bizzat Kanunun 3.maddesinde geçmektedir.
Özel nitelikli kişisel veriler ise; öğrenildiği takdirde ilgili kişi hakkında ayrımcılığa uğrama gibi farklı mağduriyetlere neden olma potansiyeli nedeniyle daha sıkı koruma altına alma gereği duyulan verilerdir. Kişisel veri, bir anlamda özel nitelikli kişisel verileri kapsayan bir küme gibidir.
Kişisel Verilerin İşlenmesi Nedir?
Kişisel verilerin kaydedilmesi, elde edilmesi, değiştirilmesi, yeniden düzenlenmesi, aktarılması, açıklanması, devralınması, depolanması ve yedeklenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, kişisel verilerin işlenmesi olarak kabul edilmiştir. Burada bahsedilen işlemeler, verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla yapılan işlemelerdir.
Kişisel Verilerin İşleme Şartları Nelerdir?
Kişisel verilerin işleme şartları kanunun 5.maddesinde sayılmıştır.
Açık Rıza, kişinin kendisine ait verilerin işlenmesine onay vermesi anlamına gelmektedir. Burada kişisel verilerin işlenmesi isteği kişinin kendinden kaynaklı olabileceği gibi karşı taraftan da talep gelebilir. Açık rıza yazılı olmak zorunda değildir. Çağrı merkezi veya elektronik ortamda da açık rıza alınabilir. Hangi yolla olursa olsun açık rızanın alınmasında ispat yükümlülüğü veri sorumlusundadır.
Kanunlarda açıkça öngörülmesi (çalışana ait özlük bilgilerinin kanun gereği saklanması, kolluk kuvvetlerinin soruşturma nedeniyle şüphelinin parmak izini alması)
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak olan veya rızasına hukuki olarak geçerli olmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması (kaçırılan bir kişinin kurtarılması veya bir şüphelinin yakalanması için kaçırılan kişinin veya şüphelinin telefonuna ait konum bilgilerinin işlenmesi gibi.)
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, (işveren maaş ödemesi için çalışanın banka bilgilerini alması, satıcının malı teslim etmesi için adres bilgilerini alması)
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, (işveren maaş ödemesi için çalışanın banka bilgilerini alması örneği burada da geçerlidir. Yani aslında veri sorumlusu bir kişisel verinin işlenmesinde birden fazla şarta dayanabilir. Çalışanın maaş bilgilerinin hesaplanabilmesi için medeni hali, çocuk sayısı ve eşinin çalışma durumu gibi bilgilerinin alınması)
İlgili kişinin kendisi tarafından alenileştirilmiş olması, (Örneğin, ikinci el araç satışı yapılan internet sitelerinde aracını satmak isteyen ilgili kişinin iletişim bilgilerini paylaşması. Burada önemli olan belirtilen amaç dışında kullanmak alenileştirme kapsamında değerlendirilmez. Buradaki iletişim bilgilerinin pazarlama amacıyla veri sorumlusu tarafından kullanılması mümkün değildir.)
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, (bir şirketin çalışanları ile ilgili bazı verileri gelecekte karşılaşabileceği davalar nedeniyle hukuki delil olarak tutmaya devam etmesidir. Burada verilerin tutulma süresi dava zamanaşımı ile sınırlıdır.)
Veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. Bu zorunluluk ilgili kişinin temel hak ve özgürlüklerine zarar veremez. (Bir şirketin satılması, devralınması veya ortaklık yapısının değişmesi gibi bir durum söz konusu olduğunda, şirketi satın alacak kişinin, şirketin güncel durumuna hâkim olabilmek amacıyla içinde kişisel verilerin de bulunduğu bir takım bilgileri ölçülü ve gerekli güvenlik önlemlerini alarak incelemesi halleri de meşru menfaat kapsamına alınabilecektir. Öncelikle veri sorumlusunun meşru menfaatinin varlığı tespit edilmeli, daha sonra bu menfaatin ilgili kişinin temel hak ve özgürlüklerine zarar vermediği belirlenmelidir. Meşru menfaat şartı, son çare olarak başvurulacak bir veri işleme şartı değildir. Ayrıca işlenebilecek tüm verilerin dahil edilebileceği bir veri işleme şartı da değildir.
Kanunda yazılı bu şartlar dışında başka bir gerekçe ile kişisel veriler işlenemez. Veri sorumlusu öncelikle açık rıza dışındaki şartlardan birisine dayanabilecek durumda olup olmadığına bakmalıdır. Eğer açık rıza dışındaki şartlardan hiçbirini karşılamıyorsa, bu durumda açık rızasının alınması yoluna gidilmelidir. Açık rıza dışındaki bir şarta bağlı olarak yürütülebilecek veri işleme faaliyeti, açık rıza dayandırılırsa, hakkın kötüye kullanılması çerçevesinde değerlendirilmesi gerekir.
Bununla birlikte herhangi bir kişisel veri için birden fazla veri işleme şartı da bulunabilir. Örneğin; çalışanların hesap bilgileri işlenmesinin hukuki dayanağı hem işçi-işveren sözleşmenin gereklerinin hem de veri sorumlusunun hukuki yükümlülüğünün yerine getirilmesidir.
Özel Nitelikli Verilerin İşlenme Şartları
Kanun bu verilere diğerlerine nazaran özel bir önem vermektedir. Bu veriler sınırlıdır. Genişletilemez.
Açık Rıza
Ana kural: “özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemez”. Kuralın istisnaları ise aşağıdaki maddelerdir.
Kanun Hükmü
Özel nitelikli kişisel veriler açık rıza dışında kanunda öngörülmesi durumunda da işlenebilir. Fakat sağlık ve cinsel hayatla ilgili olarak bu istisna geçerli değildir. Yani sağlık ve cinsel hayatla ilgili bilgiler kanun öngörmesi halinde dahi açık rıza olmadan işlenemez
Sağlık ve Cinsel Hayat
Sağlık ve cinsel hayata ilişkin kişisel veriler açık rıza dışında; koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım, kamu sağlığının korunması, sağlık hizmetleri finansmanının planlanması amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir. (Örneğin tamamlayıcı sağlık sigortası yaptırdınız. Finansman maksadıyla sizinle ilgili sağlık bilgileri sigorta şirketince sizin açık rızanız olmadan da tutulur. Ayrıca sağlık kuruluşları ve laboratuvarlar da bu verileri tutarlar. )