Özel Nitelikli Kişisel Verilerin KVKK Kapsamında İşlenmesi

  1. Genel Olarak
    Kişisel verilerin işlenmesi kanunda; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi,
    sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak ifade edilmiştir. Kişisel verilerin işlenmesi günlük hayatta karşımıza bir hizmetin sunumu, bir görevin yerine getirilmesi vb. etkileşimler ile çıkabilmektedir. 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda kişisel verilerin işlenmesine dair kurallar ve prosedürler belirlenmiştir. 7 Nisan 2016 tarihinde yayımlanarak yürürlüğe giren bu kanun, 95/46/EC Sayılı Kişisel Verilerin Korunmasına İlişkin Avrupa Birliği Direktifi, daha sonra yayımlanarak yürülüğe giren ve direktifin yerini alan AB Parlamentosu ve Konseyi’nin 27 Nisan 2016 tarihli ve 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü ile 28 Ocak 1981 tarihinde Strazburg’da imzalanan 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi” ile uyumlu bir yasal düzenlemedir.
  2. Kişisel Verilerin İşlenmesi Bağlamında Uyulması Gereken İlkeler
    Kişisel verilerin işlenmesi bağlamında uyulması gereken birtakım ilkeler mevcuttur. Veri işleme prosedürü, veri sorumluları veya yetkilendirdikleri kişiler tarafından bu ilkeler göz önünde bulundurularak yürütülebilecektir. Kanunda da gösterildiği gibi :
    • Kişisel veriler hukuka ve dürüstlük kurallarına uygun olarak işlenmelidir.
    • İşlenen veriler doğru ve gerektiğinde güncel olmalıdır.
    • Kişisel verilerin işlenmesi işlemi belirli, açık ve meşru amaçlar için gerçekleştirilmelidir.
    • Verilerin işlenmesi, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü tutulmalıdır.
    • Kişisel veriler ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar
    muhafaza edilmelidir.

3. Kişisel Verilerin İşlenme Şartları
Kişisel verilerin işlenmesine ilişkin şartlar Kişisel Verilerin Korunması Kanunu’nun 5.maddesinde düzenlenmiştir:
Kişisel verilerin işlenme şartları
MADDE 5- (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın
kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin
taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun
meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kural, kişisel verilerin ilgili kişiler tarafından verilecek açık rıza sonucunda işlenmesidir. Ancak Kanunun 5.maddesinde kişisel verisi işlenecek kişinin açık rızasına başvurulmadan veri işleme yapılabilecek haller gösterilmiştir. Bu haller yani kişisel verilerin rıza olmaksızın işlenmesi bakımından hukuka uygunluk halleri, kanunda sayma yoluyla gösterilmiştir ve kıyas yoluyla genişletilemeyecektir. Veri sorumluları tarafından kişisel verilerin işlenmesi şartlarına uygun hareket edilmesi gerekir. Aksi durum yalnızca Kişisel Verilerin Korunması Kanunu’na aykırılık teşkil etmeyecek, aynı zamanda Anayasanın 20.maddesi ve Avrupa İnsan Hakları Sözleşmesinin 8. maddesinde düzenlenen “Özel Hayatın Gizliliği” ilkesini ihlal anlamına gelecektir.

4)Özel Nitelikli Kişisel Verilerin İşlenmesi ve Prosedürü
Özel nitelikli kişisel veriler, üçüncü kişiler tarafından öğrenilmesi durumunda ilgili kişiler hakkında ayrımcılık yapılmasına veya mağdur olmasına sebebiyet verebilecek veriler olarak tanımlanmıştır.
Belirtilen bu olası tehlikeleri önlemek adına özel nitelikli kişisel verilere, diğer kişisel verilere göre daha sıkı şekilde koruma ve denetim sağlanmalıdır. 6698 sayılı Kişisel Verilerin Korunması Kanunu, özel nitelikli kişisel verileri hassas veriler olarak nitelendirmiş ve 6.maddede buna ilişkin özel düzenlemeye yer verilmiştir:

Özel nitelikli kişisel verilerin işlenme şartları
MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer
inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza
mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel
veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen
hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler
ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin
yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama
yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası
aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin
alınması şarttır.

İlgili maddede özel nitelikli kişisel verilerin işlenebilmesi için açık rıza verilmesi şart koşulmuştur. Kanunda açık rıza kavramı; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak ifade edilmiştir. Özel nitelikli kişisel verilerin açık rıza olmaksızın işlenebilmesi ancak 6.maddenin 3.fıkrasındaki niteliklere haiz olması halinde mümkündür. Buna göre kanun, özel nitelikli kişisel veriler bakımından sağlık ve cinsel hayata ilişkin veriler ve bunun dışındaki özel nitelikli veriler olmak üzere ikili bir ayrıma gitmiştir.
Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunda öngörülen hallerde açık rızaya ihtiyaç duyulmaksızın işlenebilecektir. Burada kanunda öngörülen hallerden kasıt, 5. maddede düzenlenen açık rıza gerektirmeyen hallerdir. Söz konusu özel veriler; ilgili kişiye ait etnik köken, siyasi düşünce, kılık kıyafet, adli sicil gibi konulara ilişkin toplanan bilgilerden oluşabilecektir.

Sağlık ve cinsel hayata dair özel kişisel verilerin işlenmesi ise kural olarak açık rıza şartına bağlıdır. Kişisel sağlık verisi, kimliği belirli veya belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmeti ile ilgili bilgiler olarak tanımlanmaktadır. Kişilerin geçirdiği hastalıklar, kullandığı ilaçlar, tıbbi raporlar, tahlil sonuçları gibi bilgiler kişisel sağlık verisi kabul edilmektedir ve bu verilerin işlenebilmesi için ilgili kişinin açık rızasının alınması gerekmektedir. Ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla veri işlenmesi açık rıza alınmadan yapılabilecektir. Burada dikkat edilmesi gereken nokta bu veri işleme prosedürünün ancak sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından yürütülebileceği hususudur. Belirtilen bu kişiler dışındaki kişiler tarafından yapılacak veri işleme işlemleri kanuna aykırılık teşkil edecektir.

5)Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Önlemler
Veri sorumluları işledikleri özel nitelikteki kişisel verilere ilişkin gerekli tedbirleri almakla yükümlüdür. Kanunda kişisel verilerin muhafazasını sağlamak amacıyla veri sorumluları tarafından uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınmak zorunda olduğu belirtilmiştir. “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma
Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı’nda da veri sorumlularına düşen yükümlülüklere ilişkin bilgi verilmiştir. Buna göre veri sorumluları tarafından :
• Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmeli
• Veri işleme sürecinde çalışanlara yönelik eğitim verilmesi, gizlilik sözleşmesi yapılması, verilere erişim yetkisine sahip kullanıcıların yetki kapsamlarının ve sürelerinin net tanımlanması, düzenli olarak yetki kontrollerinin gerçekleştirilmesi vb. tedbir uygulamalarına başvurulmalı
• Özel nitelikli kişisel verilerin işlendiği, saklandığı ve erişildiği ortamın fiziki ya da elektronik ortam olmasına göre değişiklik gösteren çeşitli güvenlik tedbirleri alınmalıdır.

Av.Erdem ARDA AKAY Av. Yalçın TORUN

UYARI
Web sitemizde yayımlanan yukarıdaki yazılı metnin, eser sahipliği hakları Av.Yalçın TORUN’a ve Av.Erdem Arda AKAY’a aittir. Bu yazılı metin hak sahipliğinin tespiti amacıyla zaman içerikli elektronik imza ile muhafaza edilmektedir. Sitemizdeki yazılı metinler avukat meslektaşlarımız tarafından dilekçelerinde serbestçe kullanılabilir, fakat metinlerin tamamının, bir kısmının veya özetinin atıf yapılmaksızın başka web sitelerinde yayınlanmasına iznimiz yoktur

Leave a Reply

E-posta hesabınız yayımlanmayacak.