Kişisel Verileri Koruma Kurumu
(“Kurum”) 12.02.2024 tarihinde 6698 Sayılı Kişisel Verilerin Korunması
Kanununun (“Kanun”) “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci
maddesinin 2’nci fıkrası (a) bendinde yer alan “Kanunlarda açıkça öngörülme”
kişisel veri işleme şartı hakkında bilgi notu yayınladı.
Bilgi notu ile Anayasanın “Özel Hayatın
Gizliliği ve Korunması” başlıklı 20. maddesine atıf yapılmış ve madde uyarınca
herkesin kendisi ile ilgili kişisel verilerin korunmasını isteme hakkına sahip
olduğu ve işbu hakka dair esas ve usul düzenlemelerinin sadece kanunla
düzenlenebileceği hükmünü yorumlamıştır.
Her ne kadar Anayasanın belirlediği
temel kriterler çerçevesinde kişisel verilerin korunması hakkı ancak kanun ile
sınırlanabiliyor olsa da dayanak kanun ile verilen bir yetki çerçevesinde
kanuni düzenlemeleri somutlaştıran hükümler kapsamında yönetmelik, tebliğ, usul
ve esaslar, talimat vb. ikincil düzenlemelerin de kanun olarak
değerlendirilebileceği belirtilmiştir.
Öte yandan bazı durumlarda idarenin
takdir yetkisinin de mevcut olduğu ifade edilmiştir. Özellikle idarenin
faaliyetlerini düzenleyen mevzuatta her türlü ayrıntının gösterilememesi, zaman
içinde idarenin karşılaştığı sorunların artışı ve kamu hizmetleri için
nitelikleri değişen idari işlemler göz önüne alındığında, idareye hareket
serbestisi verilmesi gerektiği vurgulanmıştır.
Kişisel veri işlenme şartı olarak
sayılan kanunda öngörülmüş olma şartı, işlenecek kişisel verilerin sadece
kanunda hükmedilmiş hususlarda işlenmesi gerektiği hususunu düzenlemektedir.
Kurum sadece lafzi yorum yapmanın Kanunun ruhuna aykırı olacağı ve lafzi yorum
yapılması halinde söz konusu işleme dayalı işleme şartının çok sınırlı hallerde
uygulanacağı gerekçesiyle veri işleme şartının daha geniş yorumlanmasının önünü
açan değerlendirmelerde bulunmuştur.
