Bu haftaki köşemizde 24 Mart 2016 tarih ve 6698 sayılı KİŞİSEL VERİLERİN KORUNMASI KANUNU’na göre kişisel verilerin hangi durumlarda kimler tarafından kullanılabileceğini değerlendirmek istiyorum. Öncelikle ilgili kanunda kişisel verinin “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlandığını belirteyim. Kanunda kişilere ait bilgilerin başkaları açısından veri olabileceği nüansına dikkat edilmesi önemli bir detay olarak kabul edilebilir.
Kanun, doğrudan gruplandırmasa da 6. Madde’nin birinci fıkrasında Özel Nitelikli Kişisel Veriler’i tanımlayarak diğer tüm kişisel verilerin genel nitelikte olabileceğini varsayarak odak noktası olarak aşağıdaki özel nitelikli olarak tanımlanan veriler baz almış:
“Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.”
Bu verilerden ise sağlığı ve cinsel hayatı ilgilendiren mahrem bilgilerin kullanımını sadece belirli koşullarda kullanıma açarken “sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar”ın izin almadan gerekli koşullarda bu verileri kullanabileceğine hükmediyor. Sağlık hizmetleri konusunda akla sağlık kuruluşları gelirken finansal planlama ile cinsel hayatın ilgisini ben çok fazla kuramadım. Muhtemelen sigorta şirketleri açısından hayat ve sağlık sigortası kapsamında bu verilerin yararlanılması serbest bırakılıyor olsa da bu tanımlama daha dikkatli yapılmalıydı diye düşünüyorum.
Diğer tüm Özel Nitelikli Kişisel Veriler’in yanı sıra kanunda tanımlanmayan tüm kişisel verilerin kullanımı öncelikle kişilerin müsaadesini gerektiriyor. Bununla birlikte ilgili kanunun 5. Madde’sinin birinci fıkrasında izin gerektirmeyen istisnai durumlar oldukça geniş tutulmuş. Kanun gereği aşağıdaki durumlardan herhangi birisinin varlığı halinde kişisel verilerin kullanıcıların izni olmadan kullanılması ve paylaşılmasına izin veriliyor:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Yukarıdaki yedi maddeye baktığımızda pek çok kurum ve kuruluşun kişisel verileri izinsiz kullanma için bir boşluk bulabileceği anlaşılıyor. Ancak yazıyı çok fazla uzatmadan yukarıdaki d maddesine tekrar göz atmanızı istiyor ve merak edip soruyorum. Şu anda İnternet’te fütursuzca dolaşan Özel Nitelikli Kişisel Veriler’e in koruma altına alınması için ilgili kurum ve kuruluşlardan yasal bir talepte bulunulmaması halinde bu verileri kanunun d maddesi uyarınca alenileştirmiş sayılır mı? Kanun bu şekilde yorumlanabilir mi? Sadece endişe ile izliyorum, bakalım önümüzdeki günlerde nelere şahit olacağız…
Sevgiyle Kalın!