Kişisel Verileri Koruma Kurulu tarafından 12.02.2024 tarihinde Kanunlarda Öngörülme Kişisel Veri İşleme Şartına İlişkin Bilgi Notu yayımlandı.
6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) m.5 Kişisel Verilerin İşlenme Şartlarını düzenlemektedir.
KVKK m.5/1 uyarınca kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez hükmünü amirdir. KVKK m.5/2 ise bu kuralın istisnalarını düzenlemiş olup maddenin (a ) bendi “Kanunlarda açıkça öngörülme” kişisel işleme veri şartını düzenlemektedir. Bu şartın oluşması halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür.
Kişisel Verileri Koruma Kurulu tarafından hazırlanan Bilgi Notu, KVKK m. 5/2(a) bendinde yer alan “kanunlarda açıkça öngörülme” kişisel veri işleme şartının kapsamının sınırlarını temel hak ve özgürlüklerin sınırlanmasına ilişkin açıklamalara yer vererek açıklığa kavuşturma amacını taşımaktadır. Bilgi Notu’nda yer alan prensipler genel olarak aşağıda dikkatinize sunulmuş olup Bilgi Notuna https://www.kvkk.gov.tr/Icerik/7823/Kanunlarda-Ongorulme-Kisisel-Veri-Isleme-Sartina-Iliskin-Bilgi-Notu adresinden erişim sağlanmaktadır.
Bilgi Notunda;
i) Kişisel verilerin korunmasını isteme hakkının Anayasa’nın Özel hayatın Gizliliğin Korunması başlıklı 20.maddesinde düzenlendiği; Anayasa’nın 13.maddesinin ise temel hak ve hürriyetlerin sınırlandırılmasını düzenlediği, buna göre temel hak ve hürriyetlerin ancak Anayasa’da yer alan sebeplere bağlı olarak ve kanunla sınırlanabileceği; dolayısıyla kişisel verilerin işlenmesinin Anayasa’nın 20. ve 13. maddelerinin atfıyla mümkün olduğu;
ii) Kişisel veriler ile ilgili işleme şartına dayanılarak ancak herhangi bir kanunda açık bir hüküm varsa veya açık bir hüküm ile ikincil mevzuata yönlendirme yapılmışsa işlenebileceği; Örneğin işverenin çalışanlarına ait özlük dosyasını düzenleyerek kimlik bilgilerini alması ve işlemesinin yasal dayanağının 4857 sayılı İş Kanunu olduğu; bu kapsamda İşveren çalışanın verilerini Kanunlarda açıkça öngörülmesi işleme şartına dayanarak işleyebileceği, yine veri sorumlusu bir düzenleme ile yükümlülük altına sokulmuşsa bu yükümlülüğün ifası amacıyla açık rıza olmaksızın zorunlu işleme faaliyetlerini yerine getirebileceği, işverenin çalışanın maaşını ödeyebilmesi için çalışanın banka hesap numarası işlemesinin bu kapsamda olduğu;
iii) Bununla birlikte her ne kadar kişisel verilerin korunmasını isteme hakkı ancak kanunlar ile sınırlandırılabilecek ise de her kanun gibi 6698 sayılı kanunun da kişisel verilerin işlenmesine yönelik tüm faaliyet alanlarına ilişkin düzenleme yapması beklenmeyeceği; Anayasa Mahkemesi kararları ve doktrinin de kabul ettiği üzere kanun ile çerçevesi çizilen bazı normların düzenlenmesinin yönetmelikler, tebliğler, genelgeler eliyle yürütülebileceği, tüm kamuyu ilgilendiren idari düzenleyici işlemlerin, idare tarafından usulüne uygun yürürlüğe konması ve idari teşkilat içerisinde bağlayıcı olması halinde uygulanması gerektiği, örneğin özel nitelikli kişisel verilerin Kanun kapsamında nasıl işleneceğine dair Sağlık Bakanlığı tarafından bir yönetmelik çıkartılması örneğindeki gibi düzenleyici idari kurumlar tarafından yapılan idari işlemlerin uygulanması gerektiği,
iv) 6698 sayılı Kanunun 5.ci maddesinin yorumlanması açısından kesin kıstasların öngörülmediği, söz konusu hukuki yükümlülüğün yerine getirilmesi veya kanunlarda açıkça öngörülmesi hususlarının dar ve geniş şekilde yorumlanmasında idarenin takdir hakkının olduğu ve kişisel verilerin işlenmesine dair kanun hükmüyle genel çerçeve çizilmişse de ayrıntılı düzenlemelerin yönetmeliklerde yer almasının söz konusu kişisel verilerin “Kanunlarda açıkça öngörülmesi şartı” uyarınca işlenmesine halel getirmeyeceği çeşitli örnek verilerek açıklanmıştır.