Kişisel Verileri Koruma Kurumu Tarafından ‘Kanunlarda Öngörülme Kişisel Veri İşleme Şartı’na İlişkin Bilgi Notu Yayınlanmıştır

Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından 12 Şubat 2024 tarihinde Kurum’un resmi internet sitesinde yayınlanan Kanunlarda Öngörülme Kişisel Veri İşleme Şartına İlişkin Bilgi Notu (“Bilgi Notu”) ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun” veya “KVKK”) 5’inci maddesinin 2’nci fıkrası (a) bendinde yer alan “Kanunlarda açıkça öngörülme” kişisel veri işleme şartına ilişkin Türk hukuku ve Avrupa Birliği (“AB”) hukuku kapsamında incelenerek temel hak ve özgürlüklerin sınırlanmasına ilişkin açıklamalara yer verilmiştir.

Bilgi Notu ile;

• Kişisel verilerin işlenmesinin Anayasa’nın 20. ve 13. maddelerinin atfıyla ancak kanunlarda açık bir hüküm olması veya açık bir hükümle ikincil mevzuata yönlendirme yapılması sonucu mümkün olduğu ve söz konusu “Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” şeklindeki KVKK hükmünün bunun sonucunda düzenlendiği,
• Örnek olarak; işverenin çalışanının özlük dosyasını düzenleyerek kimlik bilgilerini almasının 4857 sayılı İş Kanunu’na dayandığı,
• Anayasa’da tanımlanan kişisel verilerin korunması hakkının tüzük, yönetmelik veya diğer herhangi bir idari işlem ile sınırlandırılamayacağı ve bu kapsamda Bilgi Teknolojileri ve İletişim Kurumu’na (“BTK”) kişisel verilerin işlenmesi ve gizliliğinin korunması konusunda doğrudan düzenleme yetkisi veren düzenlemenin Anayasa Mahkemesi (“AYM”) tarafından iptal edildiği,
• AYM’nin yakın tarihli kararlarında Türk Dil Kurumu (“TDK”) ve Türk Tarih Kurumu (“TTK”) gibi başkanlıklara KHK ile verilen görev alanıyla ilgili gördüğü bilgileri bütün kamu kurum ve kuruluşları ile gerçek kişilerden istemeye yetkili kılınmasının özel hayatın gizliliği ve kişisel verilerin korunması açısından Anayasa’nın kanunilik ilkesine aykırı bularak iptal ettiği,
• Türk mevzuatından farklı olarak AB Genel Veri Koruma Tüzüğü’nde (“General Data Protection Regulation” “GVKT”) kanunlarda açıkça öngörülme ve hukuki yükümlülüğün yerine getirilmesi şartlarının birbirinden ayrılmadığı,
• İrlanda Veri Koruma Otoritesi’nin “Kişisel Verilerin İşlenmesinin Hukuki Mesneti Rehber Notu”[1] nda veri sorumlularının hukuki işlemeyi gerektiren özel kanunu, tavsiyeyi, kurul veya mahkeme kararını, içtihadı veya rehberi açıkça işaret etmesini gerektiğinin belirtildiği,
• GVKT’nin Gerekçesinin 41. maddesi uyarınca kanuna tabi kişilere kanunun uygulanmasının öngörülebilir olduğu durumlarda bunun açık bir hukuki yükümlülük olması gerekmediği,
• Örneğin bir mahkeme kararının kişisel verilerin belli bir amaç için işlenmesini gerektirebileceği ve bu durumda karara uyulmasının zorunlu olduğu,
• AB hukuku kapsamında idarece tesis edilen düzenleyici işlemlerin de kanuni temeli olması durumunda hukuki yükümlülük sayılacağı,
• Sonuç olarak, KVKK’nın kişisel veri düzenlemelerinin, Anayasa’nın tanıdığı kapsamda sınırlayıcı bir düzenleme olduğu ancak Sağlık Bakanlığı tarafından çıkarılan yönetmelik, ilke kararları gibi tüm kamuyu ilgilendiren idari düzenleyici işlemlerin, idare tarafından usulüne uygun yürürlüğe konması ve idari teşkilat içerisinde bağlayıcı olması halinde uygulanması gerektiği,
• KVKK’nın söz konusu 5 inci maddesinin yorumlanması açısından kesin kurallar konmadığı ve hukuki yükümlülüğün yerine getirilmesi veya kanunlarda açıkça öngörülmesi hususlarının dar ve geniş şekilde idarenin takdir yetkisinde olduğu ve bu takdirin temel hak ve özgürlükleri kısıtlamayacağı,
• Örneğin 6458 sayılı Yabancılar ve Uluslararası Koruma Kanunu’nun atfıyla çıkarılan Yabancılar ve Uluslararası Koruma Kanununun Uygulanmasına İlişkin Yönetmelik uyarınca yabancılardan, başvuru ve uluslararası koruma statüsü sahiplerinden biyometrik veri niteliğindeki “parmak izi” verilerinin Göç İdaresi Genel Müdürlüğünce işlenmesinin KVKK’nın madde 6/3 fıkrasında düzenlenen “Kanunlarda açıkça öngörülmesi” şartına uygun olduğu,
• Örneğin trafik ve konum verilerinin üçüncü kişilere aktarımına dair hususların Elektronik Verilerin İşlenmesi ve Gizliliğinin Korunmasına İlişkin Yönetmelik’te düzenlendiği,
• Bir başka örnek olarak, 6502 sayılı Tüketicinin Korunması Hakkında Kanun gereğince hazırlanan Taksitle Satış Sözleşmeleri Hakkında Yönetmeliğin “Sözleşmenin zorunlu içeriği” başlıklı 6. maddesi uyarınca satış sözleşmesinde tüketici ve satıcı adı, soyadı, iletişim bilgileri, açık adresi gibi yer alacak olan kişisel verilerin de yönetmelikle düzenlendiği

belirtilerek yukarıda yer alan örneklerde olduğu gibi kişisel verilerin işlenmesine dair kanun hükmüyle genel çerçeve çizilmişse ayrıntılı düzenlemelerin yönetmeliklerde yer almasının bu şarta halel getirmeyeceğinin altı önemle çizilmiştir.

Kurum’un konuya ilişkin duyurusuna buradan ulaşabilirsiniz.

Kurum’un Bilgi Notu’nun tam metnine buradan ulaşabilirsiniz.

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr