Esasen, kişisel verilerin kötü niyetli kişilerin eline geçme riski, farkında olmadan mağdur edilme ihtimalimiz olan bir konudur. Kişisel verilerin korunması, özünde insan hakları ve temel özgürlüklere ilişkindir. Dolayısıyla elde edilen veya işlenen her türlü kişisel verinin özel hayatın gizliliği esası çerçevesinde işlenmesi gerekmektedir.
Bu anlamda kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek üzere hazırlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu yayınlandı.
Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenememektedir.
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
Ancak aşağıdaki tabloda belirtilen şartlardan birinin varlığı halinde açık rıza alınmaksızın veri işleme yapılabilecek.
AÇIK RIZA OLMAKSIZIN KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
- Kanunlarda açıkça öngörülmesi,
- Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçirlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Örneğin, bir işverenin, engelli çalıştırma zorunluluğu kapsamında, işyerinde, bu statüde çalıştırdığı kişilere ilişkin rapor ve belgeleri işlemesi bu kapsamda değerlendirilecektir. Yine engelli bir kişinin özel tüketim vergisinden muaf özel donanımlı araç almak hakkından yararlanabilmesi için, engelliliğine ilişkin sağlık raporlarının vergi dairesi tarafından edinilmesi ve işlenmesi de bu kapsamında değerlendirilecektir.
Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
Özel nitelikli kişisel bilgi, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler.
Özel nitelikle veriler arasında sadece sağlık ve cinsel hayatla ilgili veriler hariç olmak üzere aşağıdaki tabloda belirtilen hallerde açık rıza aranmaksızın veri işlenebilecek.
Sağlık ve cinsel hayatla ilgili veriler,
- Kamu sağlığının korunması,
- Koruyucu hekimlik,
- Tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
- Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla işlenebilir. Ancak yine de veri işleme yapılacaksa sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından yapılması esastır.
ÖZEL NİTELİKLİ KİŞİSEL BİLGİLERİN İŞLENMESİ AÇIK RIZA ARANMAYAN HALLER
- Kanunlarda açıkça öngörülmesi,
- Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya kurum ve kuruluşlar tarafından işlenmesi.
Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Kişisel veriler verilerin işlenmesi esasları ve yeterli önlemler alınmak kaydıyla, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın yurtdışına aktarılabilir.
Bu koşullar altında kişisel verilerin yurtdışına aktarılabilmesi için;
- Yeterli korumanın bulunması
- Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulunun izninin bulunması gerekir.