2.2- KANUN KAPSAMINDA KİŞİSEL VERİ İŞLEME VE PAYLAŞIM AMAÇLARI
2.2.1- KANUN KAPSAMINDA KİŞİSEL VERİ İŞLEME AMAÇLARI
Kanun uyarınca kişisel veriler, kural olarak veri sahibinin açık rızası bulunmaksızın işlenememektedir. Bununla
birlikte Kanunun, 5 ve 6. maddeleri kapsamında kişisel veriler ve özel nitelikli kişisel veriler bakımından açık
rıza bulunmaksızın veri işlenebilecek birtakım durumları belirlemiştir.
5. madde uyarınca kişisel veriler,
Veri işlemenin kanunlarda açıkça öngörülmesi,
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik
tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için ilgili
verilerin işlenmesinin zorunlu olması,
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına
ait kişisel verilerin işlenmesinin gerekli olması,
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması,
Kişisel verilerin ilgili kişinin kendisi tarafından alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri
için veri işlenmesinin zorunlu olması,
hallerinde veri sahibinin önceden alınmış açık rızası bulunmasa dahi (gerekli aydınlatmanın yapılmış olması
koşuluyla) işlenebilecektir.
Öte yandan, Kanun, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer
inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve
güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri “özel nitelikli” veya “hassas” kişisel veri
olarak tanımlamış ve bunların işlenmesi için daha ağır şartlar öngörmüştür. Buna göre, özel nitelikli kişisel
veriler, veri sahibinden açık rıza alınmış bulunan haller dışında ancak aşağıdaki koşullarda işlenebilecektir:
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve
kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile
biyometrik ve genetik verileri, kanunlarda öngörülen hâllerde işlenebilecektir.
Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbı
teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve
yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar
tarafından işlenebilecektir.
2.2.2- KİŞİSEL VERİLERİN PAYLAŞIMINA İLİŞKİN AMAÇLAR
Veri işlemeye uygun şekilde, kişisel verilerin üçüncü bir tarafla paylaşılması (aktarım) da ilgili veri sahibinden
bu doğrultuda açık rıza alınmış olmasına tabi kılınmıştır. Ancak Kanun’un 8. maddesine göre veri işlemeye izin
verilen şartlarda veri aktarımı da gerçekleştirilebilmekte olup bu doğrultuda yukarıda Bölüm 2.2.1’de
belirtilen şartların varlığı halinde veri sahibinin rızası bulunmasa dahi kişisel veri veya özel nitelikli kişisel veri
aktarımı yapılabilecektir.
Kanun, kişisel verilerin üçüncü taraflara aktarımı ile ilgili olarak yurtdışına aktarımı özel koşullara bağlamıştır.
Buna göre, kişisel veriler;
Veri sahibinin açık rızasının bulunması halinde, veya
Veri sahibinin açık rızası bulunmadığı ancak yukarıda belirtilen diğer şartlardan bir veya birkaçının
karşılandığı hallerde;
a. Verilerin aktarıldığı ülkede yeterli koruma bulunması ve