← Önceki Madde [4]
[6] Sonraki Madde →
RESMİ METİN

Kişisel verilerin işlenme şartları

MADDE 5- (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

AKADEMİK YORUM VE ANALİZ

1. Maddenin Sistematiği ve Genel Açıklama

Bu madde, genel nitelikli kişisel verilerin hukuka uygun olarak işlenebilmesi için gerekli olan yasal dayanakları (hukuka uygunluk sebeplerini) düzenleyen, kişisel veri koruma hukukunun en dinamik ve merkezi normudur. Yasa koyucu, veri işlemeyi kural olarak "ilgili kişinin rızasına" bağlamış (m. 5/1); ancak dijital ekonominin, kamu yönetiminin ve günlük hayatın akışının felç olmasını önlemek amacıyla 2. fıkrada sınırlı sayıda (numerus clausus) 7 adet alternatif yasal dayanak öngörmüştür.

Doktrinde ve uygulamada en sık yapılan vahim hata, açık rızanın diğer tüm şartlardan "üstün" veya "tek" şart olarak algılanmasıdır. Oysa 1. fıkra ile 2. fıkra hükümleri eşittir. Hatta emredici bir kural olarak: Eğer veri işleme faaliyeti Madde 5/2'deki 7 şarttan birine dayanıyorsa, veri sorumlusu kesinlikle ilgili kişiden "açık rıza" talep etmemelidir. Çünkü zaten yasal bir dayanak vardır ve bu durumda rıza istemek dürüstlük kuralına aykırıdır; ilgili kişide "rıza vermezsem işlenmez" veya "rızamı geri çekersem silinir" şeklinde yanlış bir algı (aldatıcı rıza) yaratır.

2. Maddedeki Kavramların Analizi

  • Kanunlarda Açıkça Öngörülme (m. 5/2-a): Veri işlemenin, Türk kanunlarında (örn: Vergi Usul Kanunu, İş Kanunu, Bankacılık Kanunu) açık bir kelime veya maddeyle emredilmesidir.
  • Fiili İmkânsızlık ve Hayatın Korunması (m. 5/2-b): Bilinci kapalı bir kaza geçiren kişinin kan grubunun veya kimliğinin hastanece işlenmesi gibi, kişinin rıza açıklayamayacak durumda olduğu ve beden bütünlüğünü korumayı amaçlayan acil durum istisnasıdır.
  • Sözleşmenin Kurulması ve İfası (m. 5/2-c): Bir sözleşmenin taraflarının verilerinin, o sözleşmenin ifa edilebilmesi için doğrudan zorunlu olmasıdır. Örneğin, kargo firmasının paketi teslim edebilmesi için alıcının adresini işlemesi veya bankanın kredi verebilmek için borçlunun gelir durumunu kaydetmesi bu kapsama girer.
  • Veri Sorumlusunun Hukuki Yükümlülüğü (m. 5/2-ç): İdari veya yasal bir görevin yerine getirilmesidir. Örneğin; işverenin çalışanın vergisini ödemek için Maliye'ye bildirim yapması veya mahkeme kararı uyarınca polise bilgi sunulması.
  • Alenileştirme İstisnası ve Sınırı (m. 3/1-d): İlgili kişinin verisini bizzat kendisinin kamuya açmış olmasıdır. Ancak en kritik doktrinel kural "Alenileşme Amacı ile Sınırlı Olma" kuralıdır. Örneğin; bir kişinin sahibinden satılık araç ilanına telefon numarasını koyması (alenileştirmesi), o numaranın kozmetik satışı veya siyasi propaganda için aranmasını hukuka uygun kılmaz. Numara sadece araç satışı amacıyla aranabilir.
  • Bir Hakkın Tesisi, Kullanılması veya Korunması (m. 5/2-e): Hukuki süreçlerin yürütülmesidir. Örneğin; bir şirketin alacağını tahsil etmek için borçlu aleyhine icra takibi başlatması veya mahkemede açılan bir davada delil olarak personelin imza sirküsünü dosyaya sunması.
  • Meşru Menfaat ve Denge Testi (m. 5/2-f): En esnek ve en çok tartışılan yasal dayanaktır. Veri sorumlusunun haklı bir ticari veya yönetsel menfaati (örn: işyerinde hırsızlığı önlemek için güvenlik kamerası koymak, verilerin silinmesini önlemek için yedekleme yapmak) bulunmalı; ancak bu menfaat ilgili kişinin temel hak ve özgürlüklerini ezmemelidir. Burada idarece "Denge Testi" (Balancing Test) yapılması zorunludur.

3. Sistematik İlişkiler

Madde 5; AB Genel Veri Koruma Tüzüğü'nün (GDPR) 6. maddesiyle (Lawfulness of processing) tamamen paralel kurgulanmıştır. Kanun içinde m. 3 (açık rıza tanımı), m. 4 (ilkeler), m. 6 (özel nitelikli veriler) ve m. 10 (aydınlatma yükümlülüğü) ile doğrudan sistematik bir bütündür.

4. Uygulama: Yargıtay / Bölge Adliye Mahkemesi (BAM) İçtihadı

  • Açık Rızanın "Aldatıcı/Yanıltıcı" Olarak Kullanılmasının Yasaklanması: KVKK Kurulu'nun yerleşik kararlarında; bir bankanın, müşterisinden kredi kartı sözleşmesi kapsamında zaten yasal olarak alması gereken kimlik bilgileri için ayrıca "açık rıza" istemesini, rızanın geri çekilmesi durumunda dahi bankanın yasal yükümlülük gereği veriyi silmeyeceği gerçeği karşısında "tüketiciyi aldatıcı" bulmuş ve bu rıza toplama pratiklerini hukuka aykırı ilan etmiştir.
  • İşyerindeki Güvenlik Kameraları ve Meşru Menfaat Sınırı: BAM kararlarında, işyerinin ortak alanlarına (koridorlar, giriş-çıkışlar) güvenlik amacıyla konulan kameraların "meşru menfaat" (m. 5/2-f) kapsamında hukuka uygun olduğu kabul edilirken; personelin sürekli gözetlendiği çalışma masalarının üstüne, tuvalet veya soyunma odalarına kamera konulması, temel mahremiyet haklarını ihlal ettiği gerekçesiyle ölçüsüz ve hukuka aykırı bulunarak tazminata konu edilmektedir.

5. Pratik Örnek Olaylar

Örnek 1 (Sözleşme İfası): Müşteri M, internetten bir televizyon satın almıştır. Satıcı firma S, televizyonu M'nin evine gönderebilmek için M'nin adres ve telefon bilgilerini kargo firmasına aktarmıştır. S firmasının bu aktarım için M'den "açık rıza" almasına gerek yoktur; çünkü bu işlem Madde 5/2-c uyarınca sözleşmenin ifası için doğrudan zorunludur.

Örnek 2 (Alenileştirmenin Kötüye Kullanımı): Avukat A, baro levhasındaki resmi web sitesinde müvekkillerinin ulaşabilmesi için cep telefonunu yayımlamıştır (alenileştirmiştir). Bir sigorta acentesi, bu numarayı baro sitesinden çekerek A'ya reklam SMS'leri yollamıştır. Acente, "numara zaten alenileştirilmişti" diye kendini savunamaz. Çünkü alenileşme amacı müvekkillerin avukata ulaşmasıdır; reklam yapılması değildir. Acente KVKK ihlalinden mahkum edilir.

6. Pratik Uygulama Notları

  • Rıza ve Aydınlatmayı Ayırın: Uyum süreçlerinde, aydınlatma metni ile açık rıza metni kesinlikle tek bir metin halinde (iç içe geçmiş olarak) sunulmamalıdır. Aydınlatma tek taraflı bir bildirimdir ve imza gerektirmez; açık rıza ise rızanın kurucu unsurları gereği ayrı bir "aktif onay" (işaret kutusu/checkbox) ile alınmalıdır.

7. Eleştirel Değerlendirme

  • "Meşru Menfaat" Denge Testinin Belirsizliği: Madde 5/2-f'de yer alan meşru menfaat kavramı, idareye ve hakimlere aşırı geniş bir takdir yetkisi vermektedir. Şirketlerin hangi ticari hedeflerinin (örn: müşteri davranış analizi, büyük veri işleme) meşru menfaat sayılacağı, hangilerinin bireyin haklarını çiğnediği konusu gri bir alandır. Hukuk güvenliğinin tam tesisi için, Kişisel Verileri Koruma Kurulu'nun sektörel bazda (örn: finans, e-ticaret, insan kaynakları) "Meşru Menfaat Kılavuzları" yayımlaması ve somut denge testi şablonlarını sektöre sunması regülasyon kalitesini artıracaktır.

Metodolojik Not

Bu akademik yorum ve analiz, kişisel veri işlemenin yasal uygunluk nedenlerini, rıza dışı 7 yasal dayanağın numerus clausus tahlilini, alenileştirme sınırlarını ve meşru menfaat denge testinin usuli aşamalarını 6698 sayılı Kanun'un 5. maddesi dairesinde Av. Fethi Güzel'in doktrinel derinliğiyle analiz etmektedir.

← Önceki Madde [4]
[6] Sonraki Madde →

Metodolojik Not

Bu çalışma, Av. Fethi Güzel tarafından akademik dürüstlük ilkeleri çerçevesinde hazırlanmıştır. İçerik, güncel kanun değişiklikleri ve yüksek yargı kararları ışığında revize edilmektedir.