TASLAĞIN GEREKÇESİ

Madde 5- Maddeyle, kişisel verilerin işlenme koşulları düzenlenmektedir.

Kural olarak kişisel verilerin ilgili kişinin açık rızası veya maddede sayılan istisnalar dışında işlenmesi yasaktır, 95/46 EC sayılı Avrupa Birliği Direktifine göre rıza, ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanıdır.

Maddenin ikinci fıkrasıyla ilgili kişinin açık rızası olmasa dahi bazı hallerde kişisel verilerin işlenebilmesi öngörülmektedir.

Fıkranın (a) bendine göre ilgili kişinin açık rızası olmasa dahi kanunlarda açıkça öngörülen hallerde kişisel veri işlenebilecektir. Örneğin, kolluk tarafından bir suç soruşturması sebebiyle, 2559 sayılı Polis Vazife ve Salahiyet Kanununun 5 inci maddesi uyarınca şüphelilerin parmak izlerinin alınması; 5352 sayılı Adli Sicil Kanunu uyarınca Adalet Bakanlığının kişilerin ceza mahkûmiyetlerine ilişkin verilerini işlemesi gibi.

Fıkranın (b) bendine göre, rızanın açıklanamadığı ya da geçerli olmadığı hallerde, kişilerin hayat veya beden bütünlüğünün korunması için kişisel verilerin işlenmesi öngörülmektedir. Örneğin kişinin şuurunun yerinde olmadığı veya akıl hastası olması sebebiyle rızasının geçerli olmadığı bir durumda, hayat veya beden bütünlüğünün korunması amacıyla, tıbbi müdahale yapılması sırasında, kişisel verileri işlenebilecektir. Bu bağlamda kan grubu, geçirilen hastalıklar ve ameliyatlar, kullanılan ilaçlar gibi veriler, ilgili sağlık sistemi üzerinden işlenebilecektir. Yine hürriyeti tahdit edilen bir kişinin kurtarılması amacıyla, kendisinin veya şüphelinin taşımakta olduğu telefon, bilgisayar, kredi kartı, banka kartı veya diğer teknik bir araç üzerinden yerinin belirlenmesi için bu veriler işlenebilecektir.

Fıkranın (c) bendine göre, bir sözleşmenin kurulması veya ifasıyla ilgili olarak kişisel veri işlenebilecektir. Örneğin, yapılan bir sözleşme gereği paranın ödenmesi için alacaklı tarafın hesap numarası alınabilecektir. Yine bir bankayla kredi sözleşmesi yapılması sırasında bankanın, o kişiye ait maaş bordrosunu, tapu kayıtlarını, icra borcu olmadığına dair belgeyi edinmesi bu kapsamda değerlendirilecektir.

Fıkranın (ç) bendine göre, veri sorumlusu, hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olan verileri, ilgili kişinin rızası olmasa dahi işleyebilecektir. Örneğin bir şirketin çalışanına maaş ödeyebilmesi için, banka hesap numarası, evli olup olmadığa bakmakla yükümlü olduğu kişiler, eşinin çalışıp çalışmadığı, sosyal sigorta numarası gibi verileri işlemesi bu bendin verdiği yetkiye istinaden olacaktır.

Fıkranın (d) bendine göre, ilgili kişinin kendisi tarafından alenileştirilen bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri işlenebilecektir. Çünkü ilgili kişi tarafından alenileştirilen ve böylelikle herkes tarafından bilinebilecek hale gelen bu tür verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir.

Fıkranın (e) bendine göre, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması durumunda kişisel veriler işlenebilecektir. Bu bağlamda, bir şirketin kendi çalışanı tarafından açılan bir davada ispat için bazı verileri kullanması veya kısıtlı bir kişinin haklarının korunması amacıyla vasinin veya kayyımın, kısıtlının mali bilgilerini tutması hukuka uygun sayılacaktır.

Fıkranın (f) bendine göre, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda da açık rıza şartı aranmaksızın kişisel veriler işlenebilecektir. Buna göre, örneğin bir şirket sahibi, çalışanlarının temel hak ve özgürlüklerine zarar vermemek kaydıyla, onların terfileri, maaş zamları yahut sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve rol dağıtımında esas alınmak üzere çalışanların kişisel verilerini işleyebilecektir. Burada, işletmenin yeniden yapılandırılması ya da ehliyetli ve liyakatli çalışanların terfi almaları, veri sorumlusu statüsündeki şirket sahibinin meşru menfaati cümlesindendir. Kişisel verilerin korunmasına ilişkin temel ilkelere uyulması ve veri sorumlusu ile ilgili kişinin menfaat dengesinin gözetilmesi gerekmektedir.

  ALT KOMİSYONUN DEĞİŞİKLİK GEREKÇESİ

Tasarının 5’inci maddesinin ikinci fıkrasının (f) bendi, bentte yer alan “meşru menfaat” kavramının çok geniş bir istisnaya neden olması ve veri sorumlusunun meşru menfaati kavramının sınırlarının ve kapsamının neler olduğunun uygulamada ciddi sorun ve endişelere neden olabilmesi ihtimaline binaen metinden çıkarılmış ve madde yapılan değişiklik doğrultusunda kabul edilmiştir.

  ADALET KOMİSYONUNUN DEĞİŞİKLİK GEREKÇESİ

Alt Komisyon tarafından kabul edilen metnin 5’inci maddesinin (Tasarının 5’inci maddesi) ikinci fıkrasına, kişisel verisi işlenecek kişinin temel hak ve özgürlüklerine zarar vermemek ve veriyi işleyecek veri sorumlusunun meşru menfaati için zorunluluk olması hâlinde açık rıza olmaksızın veri işlenmesine imkân tanınması amacıyla (f) bendi eklenmiştir. Veri sorumlusunun meşru menfaatinin varlığından söz edilebilmesi için somut olayda veri sorumlusunun meşru bir menfaatinin olması, işlemenin bu meşru menfaat için zorunlu olması ve veri sorumlusunun gözetilen menfaatinin ilgili kişinin temel hak ve özgürlüklerine zarar vermemesi gerekir. Ayrıca maddenin ikinci fıkrasında yer alan “şartlardan en az birinin” ibaresi, “şartlardan birinin” şeklinde değiştirilmiştir. Madde yapılan değişiklikler doğrultusunda kabul edilmiştir.