1. Açık Rıza

Açık rıza, kişisel veri işleme şartlarından birisidir.
Veri sorumlusu tarafından veri işleme faaliyetinin
gerçekleştirilmesinde öncelikle diğer veri işleme şartlarından
birine dayanılıp dayanılamayacağı değerlendirilmeli,
bunlardan hiçbirisi yoksa ilgili kişinin açık rızasının alınması
yoluna gidilmelidir.

2. Kanunlarda Açıkça Öngörülmesi

Veri işleme şartlarından birisi de kanunlarda
açıkça öngörülmesidir. Kanunlarda kişisel verilerin
işlenebileceğine ilişkin bir hüküm, veri işleme şartını
oluşturacaktır. Kişisel veri işlenmesiyle ilgili herhangi bir
kanunda açık bir hüküm varsa veya açık bir hüküm ile
ikincil mevzuata yönlendirme yapılmışsa bu durumda
kişisel verilerin işlenmesi mümkündür.
Örneğin, 4857 sayılı İş Kanununun 75. maddesi
gereği işveren, çalıştırdığı her işçi için bir özlük dosyası
düzenlemesi ve bu işçinin kimlik bilgilerinin yer alması
gerektiği hükmü yer almaktadır. Bu kapsamda işveren,
çalıştırdığı işçinin kimlik verilerini “kanunlarda açıkça
öngörülmesi” işleme şartına dayanarak işleyebilecektir

3. Fiili İmkânsızlık

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak
durumda bulunan veya rızasına hukuki geçerlilik
tanınmayan kişinin, kendisinin ya da başkasının hayatı
veya beden bütünlüğünün korunması için zorunlu
olması halinde ilgili kişinin kişisel verileri işlenebilecektir.
Kanuna göre fiili imkânsızlık halinde, kişisel verilerin
işlenebilmesi için ilgili kişinin veya üçüncü bir kişinin
hayatı veya beden bütünlüğünün korunması bakımından
zorunluluk bulunmalıdır. Örneğin, hürriyeti kısıtlanan bir
kişinin kurtarılması amacıyla kendisinin veya şüphelinin
taşımakta olduğu telefon, bilgisayar, kredi kartı, banka
kartı veya diğer teknik bir araç üzerinden yerinin
belirlenmesi için bu verilerin işlenmesi gibi.

4. Sözleşmenin Kurulması ve İfası İçin Gerekli Olması

Bir sözleşmenin kurulması veya ifasıyla doğrudan
doğruya ilgili olması kaydıyla, sözleşmenin taraflarına
ait kişisel verilerin işlenmesinin zorunlu olması
durumunda ilgili kişilerin bu amaçla sınırlı olmak üzere
kişisel verilerinin işlenmesi mümkündür. Örneğin,
bir sözleşme gereği paranın ödenmesi için alacaklı
tarafın hesap numarasının alınması veya bir bankayla
kredi sözleşmesi yapılması sırasında bankanın, o
kişiye ait maaş bordrosunu, tapu kayıtlarını, icra borcu
olmadığına dair belgeyi edinmesi gibi. Ayrıca, sözleşme
gereği satıcının, malı teslim borcunu yerine getirmesi
için alıcının adresini kaydetmesi ya da işverenin maaş
ödemesini gerçekleştirmek amacıyla çalışanların
banka bilgilerini elinde bulundurması, bu kapsamda
değerlendirilebilecektir.

5. Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirebilmesi İçin Zorunlu Olması

Veri sorumlusunun hukuki yükümlülüğünü yerine
getirebilmesi için veri işlenmesinin zorunlu olduğu
hallerde ilgili kişinin kişisel verileri işlenebilecektir.
Bir şirketin çalışanına maaş ödeyebilmesi için, banka
hesap numarası, evli olup olmadığı, bakmakla yükümlü
olduğu kişiler, eşinin çalışıp çalışmadığı, sosyal sigorta
numarası gibi verilerin elde edilmesi ve işlenmesi bu
duruma örnek verilebilir. İşverenin vergi denetimi
sırasında çalışanlarına veya müşterilerine ait bilgileri
ilgili kamu görevlilerinin incelemesine sunması da bu
kapsamda değerlendirilebilir.

6. Kişisel Verilerin İlgili Kişi Tarafından Alenileştirilmiş Olması

İlgili kişinin kendisi tarafından alenileştirilen, bir başka
ifadeyle herhangi bir şekilde kamuoyuna açıklanmış
olan kişisel verileri işlenebilecektir. Bu duruma örnek
olarak ise bir kişinin belirli hallerde kendisiyle iletişime
geçilmesi amacıyla iletişim bilgilerini kamuya açık
şekilde ilan etmesi verilebilir. Kurumsal internet
sitelerinde, çalışanların işyeri telefon numaraları
ve kurumsal elektronik posta adreslerinin üçüncü
kişilerin erişimine açık şekilde paylaşılması halinde de
alenileştirmeden söz edilebilir.
Ancak, kişisel verinin aleni kabul edilebilmesi
için ait olduğu kişinin aleni olmasını istemesi gerekir.
Başka bir ifade ile, alenileştirmenin gerçekleştirilebilmesi
için alenileştirme iradesinin varlığı gerekir. Yoksa bir kişinin
kişisel verisinin herkesin görebileceği bir yerde olması aleni
olmasını sağlamaz. Ayrıca, alenileştirme durumunda kişisel
verinin amacı dışında da kullanılmaması gerekmektedir.
Örneğin, ikinci el araç satışı yapılan internet sitelerinde
aracını satmak isteyen ilgili kişinin iletişim bilgilerinin
pazarlama amaçlarıyla kullanılması mümkün değildir.

7. Kişisel Verilerin İşlenmesinin Bir Hakkın Tesisi, Kullanılması veya Korunması İçin
Zorunlu Olması

Bir hakkın tesisi, kullanılması veya korunması için
zorunlu olması halinde ilgili kişinin kişisel verilerinin
işlenmesi mümkündür. Örneğin, bir şirketin kendi
çalışanı tarafından açılan bir davada ispat için bazı
verileri kullanması ya da kısıtlı bir kişinin haklarının
korunması amacıyla vasisinin veya kayyumun, kısıtlının
mali bilgilerini tutması gibi. Ayrıca, sözleşme sona
erdikten sonra, olası yasal takiplere karşı zamanaşımı
süresinin sonuna kadar fatura, sözleşme, kefaletname
gibi belgelerin bu amaçlar için saklanması bu
kapsamda değerlendirilecektir

8. Veri İşlemenin İlgili Kişinin Temel Hak ve Özgürlüklerine Zarar Vermemek Kaydıyla
Veri Sorumlusunun Meşru Menfaatleri İçin Zorunlu Olması

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek
kaydı ile veri sorumlusunun meşru menfaatleri için
veri işlenmesinin zorunlu olması durumunda, kişisel
verilerinin işlenmesi mümkündür.
Bazı durumlarda veri sorumlusunun meşru menfaati
bakımından veri işleme söz konusu olabilmektedir.
Örneğin bir şirket sahibinin, çalışanlarının temel hak ve
özgürlüklerine zarar vermemek kaydıyla, onların terfileri,
maaş zamları yahut sosyal haklarının düzenlenmesinde
ya da işletmenin yeniden yapılandırılması sürecinde
görev ve rol dağılımında esas alınmak üzere çalışanların
kişisel verilerinin işlenmesi şirket sahibinin meşru
menfaati kapsamına alınmıştır.

Bu şarta dayalı olarak veri işlenebilmesi için, veri
sorumlusunun meşru menfaatinin bulunması ve ilgili
kişinin temel hak ve özgürlüklerine zarar verilmemesi
gerekmektedir.
Veri sorumlusunun meşru menfaati, gerçekleştirilecek
olan işleme sonucunda elde edeceği çıkara ve
faydaya yöneliktir. Veri sorumlusunun elde edeceği
fayda; meşru, ilgili kişinin temel hak ve özgürlüğü
ile yarışabilecek düzeyde etkin, belirli ve halihazırda
mevcut olan bir menfaatine ilişkin olmalıdır. Veri
sorumlusunun gerçekleştirdiği güncel aktivitelerle
ilişkili ve ona yakın gelecekte fayda sağlayacak bir
işlem olması gerekmektedir.
Bir şirketin satılması, devralınması veya ortaklık yapısının
değişmesi gibi bir durum söz konusu olduğunda,
şirketi satın alacak kişinin, şirketin güncel durumuna
hakim olabilmek amacıyla içinde kişisel verilerin de
bulunduğu bir takım bilgileri ölçülü ve gerekli güvenlik
önlemlerini alarak incelemesi halleri de meşru menfaat
kapsamına alınabilecektir. Ancak burada dikkat
edilmesi gereken husus, veri sorumlusunun meşru
menfaatinin Kanunun amacı ve ruhuna uygun olarak
yorumlanmasıdır.

Veri sorumlusunun meşru menfaatinin olmasının yanı
sıra, ilgili kişinin temel hak ve özgürlüklerine zarar
verilmemesi gerekir. Dolayısıyla, veri sorumlusunun
meşru menfaati olup olmadığı belirlendikten sonra,
kişisel verisi işlenecek olan ilgili kişinin temel hak ve
özgürlüklerinin neler olduğunun tespiti gereklidir.
Ardından yapılması gereken denge testine göre, veri
sorumlusunun meşru menfaati çok güçlü ve etkin
olmadığı takdirde, ilgili kişinin hak ve menfaatleri,
veri sorumlusunun meşru ancak daha az öneme
sahip menfaatinden daha üstün gelebilecektir. Bu
doğrultuda, ele alınacak olan meşru menfaat ciddi,
önemli ve hali hazırda mevcut olmalıdır.
Bu şarta dayanılarak veri işlenebilmesi için yarışan
menfaatler arasında yapılacak olan değerlendirme
sonucunda kişisel verilerin bu hüküm kapsamında
işlenip işlenemeyeceğine karar verilmesi
gerekmektedir. Dolayısıyla ilgili hüküm, veri işlenmesine
ilişkin sınırsız bir yetki olarak değerlendirilemez.
Aksine, madde kapsamında belirtilen veri
sorumlusunun menfaati ile ilgili kişinin temel hak ve
özgürlükleri arasında makul bir denge sağlanmasını
gerektirmektedir.

Bu hükmün uygulanabilmesi iki aşamalı bir değerlendirme
gerektirmektedir. Yapılacak olan ilk değerlendirmede veri
sorumlusunun meşru menfaatinin varlığı tespit edilmeli,
ikinci olarak da, bu menfaatin ilgili kişinin temel hak
ve özgürlüklerine zarar vermediği belirlenmelidir. Bu
değerlendirme yapılırken veri sorumlusunun meşru
menfaati ile kişisel verileri işleme amacı birbirine
karıştırılmamalıdır. Bu iki terim birbiriyle ilişkili olsa
dahi farklı anlama gelmektedir. Kişisel verileri işleme
amacı, özel olarak verinin işlenme sebebiyle ilgilidir.
Ancak veri sorumlusunun meşru menfaati daha geniş
yorumlanmalıdır. Veri sorumlusunun meşru menfaati,
gerçekleştirilecek olan işleme sonucunda elde edeceği
faydaya yöneliktir. Veri sorumlusunun elde edeceği
fayda; meşru, ilgili kişinin temel hak ve özgürlüğü ile
yarışabilecek düzeyde etkin, belirli ve halihazırda mevcut
olan bir menfaatine ilişkin olmalıdır.
Bu kapsamda, öncelikle değerlendirilmesi gereken
hususlar arasında; veri sorumlusunun meşru menfaati,
ilgili kişinin temel hak ve özgürlükleri üzerinde kişisel
verinin işlenmesinin yaratacağı etki ile duruma ve olayın
mahiyetine göre farklılık gösterecek olan dengeler
(üstün gelen menfaatin ve hakkın değerlendirilmesi)
bulunmaktadır.

Ayrıca belirtmek gerekir ki; meşru menfaat şartı, maddede
yer alan diğer haller uygulanamadığı takdirde veri
işlenmesi bakımından başvurulacak son çare olmadığı
gibi her şeyi kapsamına dâhil edebilecek ve tüm kişisel
verilerin işlenmesine ilişkin faaliyetleri kanuna uygun hale
getirecek bir düzenleme de değildir.