6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilişkili mevzuatla düzenlenenler sadece yaptırımlardan ibaret değil. Elbette ki kişisel verilerin hukuka uygun olmak koşuluyla temini kimi durumlarda gerekli ve mümkün.
Kişisel Verilerin İşlenmesi Genel ilkeler:
a) Hukuka ve dürüstlük kurallarına uygun olma
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Kişisel Verilerin İşlenme Şartları:
(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(2) Açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu haller:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Özel Nitelikli Kişisel Verilerin İşlenme Şartları:
Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Açık Rıza Kavramı:
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. Kişisel verinin işlenmesinde gerçek bir rızanın oluştuğu bu üç (3) unsurun varlığı halinde kabul edilir. Aksi halde rıza ortadan kalkar. Açık rıza için aktif bir eyleme ihtiyaç vardır.
- Mal ve hizmetin sunulması kişisel verilerin kullanılmasına şartlanamaz. Bu durum hür iradeyi sakatlar. - Ana faaliyetten bağımsız durumlarda açık rıza gerekir. Aksi, ihlal teşkil eder.
- Pratikte en büyük sorun kullanıcı sözleşmeleri arasına sıkıştırılan kişisel veri kullanıma dair rıza maddeleridir. Böylece sözleşmenin imzalanması/onaylanmasıyla, kişisel verilere ilişkin rızanın alındığı varsayılsa da açık rızanın varlığı tartışmalıdır. Bu durum kanunun açık rıza tanımında öngördüğü hür irade ölçütüyle ciddi anlamda çatışmaktadır.
- Kanunun açık rızayı ayrıca tanımlamış olması ve kurumun yayınladığı rehberlerden anlaşılacağı üzere zımni kabul rızanın var olduğu anlamına gelmez.
- İtirazınız yoksa gibi bir tabir, açık rıza sayılamayacaktır.
- Açık rıza her zaman geri alınabilir.