Kişisel Verileri Koruma Kurumunun Kanunlarda Öngörülme Kişisel Veri İşleme Şartına İlişkin Bilgi Notu
Bu makalede Hande Çağla Yılmaz ortak yazar olarak yer almıştır.
Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından, Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 5/2-a maddesinde düzenlenen “kanunlarda açıkça öngörülme” kişisel veri işleme şartına ilişkin olarak “Kanunlarda Öngörülme Kişisel Veri İşleme Şartına İlişkin Bilgi Notu” 12/02/2024 tarihinde Kurum’un resmi internet sitesinde yayımlanmıştır.
İlk bölümde; kanun veya ikincil düzenlemelerde kişisel veri işlenmesine ilişkin bir hüküm bulunması halinde KVKK 5/2-a maddesine dayanılacağı ifade edilmiştir. Bu kapsamda; 4857 sayılı İş Kanunu’nun 75. maddesi uyarınca işveren tarafından özlük dosyası düzenlenmesi (işçinin kimlik verilerinin işlenmesi) örnek olarak verilmiştir. Kurum, KVKK 5/2-a maddesinde yer alan “açıkça” ifadesine yönelik olarak ise lafzi yorum yapılmaması gerektiğini, aksi durumun işleme şartının çok sınırlı bir şekilde uygulama alanı bulacağını belirtmiştir. Bu kapsamda; 4857 sayılı İş Kanunu’nun 8. maddesi uyarınca işveren tarafından işçiye ücret ödenmesi (işçinin banka hesap numarası, medeni hal bilgisi, bakmakla yükümlü olunan kişiler, eşinin çalışıp çalışmadığı bilgisi, sosyal sigorta numarası vb. verilerinin işlenmesi) örnek olarak verilmiştir.
İkinci bölümde; KVKK’nın 5/2-ç maddesinde düzenlenen “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” ile 5/2-a maddesinde düzenlenen “kanunlarda açıkça öngörülmesi” kişisel veri işleme şartlarının AB Genel Veri Koruma Tüzüğünde (“GDPR”) ayrı olarak düzenlenmediği; GDPR 6/1-c maddesinde düzenlendiği ifade edilmiştir. Veri işleme faaliyetinin veri sorumlusunun hukuki yükümlülüğü olup olmadığının değerlendirilmesine ilişkin olarak Kurum, İrlanda Veri Koruma Otoritesi tarafından hazırlanan Rehber[1] çalışmasından örnek ile; şeffaflık ve hesap verilebilirlik ilkeleri doğrultusunda, veri sorumlusunun söz konusu yükümlülüğe uymak için işlemenin “gerekli” olup olmadığını değerlendirilmesi gerektiğini belirtmiştir. Ayrıca, GDPR 6/1-c kapsamındaki kişisel veri işleme şartının kanun veya ikincil düzenlemeye dayanabileceği ifadesi vurgulanmıştır.
Bilgi notu metnine buradan ulaşabilirsiniz.
[1] Kişisel Verilerin İşlenmesinin Hukuki Mesneti Rehber Notu