İletişim
Özel nitelikli kişisel veriler ve KVKK uyumluluk rehberi
Hassas kişisel verilerin korunması için KVKK uyum sürecine dair bilgiler

ÖZEL VERİLERİNİZE ÖZEL REHBER!

Özel nitelikli kişisel veriler, KVKK kapsamında daha sıkı koruma altına alınan hassas verilerdir. İşlenme şartları, saklama gereklilikleri ve hukuki yükümlülükleri detaylıca öğrenmek için özel rehberimizi inceleyin.

Bu İçerik, 26 Şubat 2025 tarihinde Kişisel Verileri Koruma Kurumu tarafından yayımlanan “Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber” hakkında bilgilendirme içermektedir.

Kişisel Verileri Koruma Kurumu tarafından yayımlanan rehber, hassas ve karmaşık bir konu olan özel nitelikli verilerin işlenmesine yönelik uygulamaya ışık tutacak bilgiler ve örnekleri güncel gelişmeler ışığında açıklamaktadır.

Toplam 78 sayfadan oluşan rehber özel nitelikli verileri tanımlamayı kolaylaştıran örneklerle başlayarak, işlemeye yönelik uyarılar paylaşmaktadır. Son kısımda ise son güncellemelerle yapılması gereken, envanter güncelleme, aydınlatma metni revizeleri, saklama ve imha süreçlerinin uygulanması gibi önerileri paylaşmaktadır.

Özel Nitelikli Kişisel Verilerin İşlenmesi: Uygulamalar ve Kurallar

Kişisel verilerin korunması, günümüz dijital çağında her zamankinden daha önemli hale gelmiştir. Özellikle özel nitelikli kişisel verilerin işlenmesi, hem bireylerin mahremiyetini korumak hem de yasal yükümlülüklere uymak açısından kritik bir konudur. Bu yazıda, Kişisel Verileri Koruma Kurumu’nun (KVKK) yayımladığı “Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber”e atıfta bulunarak, çarpıcı örnekler, dikkat çekici uygulamalar ve uyulması gereken kuralları ele alacağız.

Özel Nitelikli Kişisel Veriler Nelerdir?

Özel nitelikli kişisel veriler, bireylerin ırkı, etnik kökeni, siyasi düşüncesi, dini inancı, sağlık bilgileri gibi hassas bilgileri içerir. Bu verilerin işlenmesi, diğer kişisel verilere göre daha sıkı kurallara tabidir ve özel önlemler gerektirir.

                       

Şekil 1       ESKİ HALİ
ESKİ HALİ
1 EYLÜL 2024 SONRASINDAKİ HALİ

Kanun’un özel nitelikli verileri tanımlayan 6’ncı maddesinin ilk halinde sağlık ve cinsel hayata ilişkin kişisel verilerin, ilgili kişinin açık rızasının alınması durumunda veya kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ya da kuruluşlar tarafından, sağlık ve cinsel hayat dışındaki diğer özel nitelikli kişisel verilerin ise ilgili kişinin açık rızasının alınması halinde veya kanunlarda öngörülmesi halin de işlenebileceği düzenlenmişti.

Uygulamada yaşanan sorunlar dikkate alınarak kişisel verilerin korunması alanında Avrupa Birliği (AB) mevzuatına (GDPR) uyum sağlanması, kamu kurum ve kuruluşları ile özel sektör temsilcilerinin talepleri, gelişen teknolojinin getirdiği yeniliklere ve uluslararası platformlarda benimse nen yeni yaklaşımlara adaptasyonun sağlanması amaçlarıyla 12.03.2024 tarihli Resmî Gazete’deki kararla anılan maddede değişiklik yapılmış olup bu değişiklik 01.06.2024 tarihinde yürürlüğe girmiştir. Bu çerçevede özel nitelikli kişisel veri kategorileri arasındaki ayrım kaldırılmış olup yeni işleme şartları ihdas edilmiştir.

Çarpıcı Örnekler ve Uygulamalar

  1. Sağlık Verileri: Hastaneler ve sağlık kuruluşları, hastaların sağlık bilgilerini işlerken yüksek güvenlik önlemleri almak zorundadır. Örneğin, bir hastanenin elektronik sağlık kayıt sistemi, yalnızca yetkili sağlık personeli tarafından erişilebilir olmalıdır.
  2. Biyometrik Veriler: Parmak izi, retina taraması gibi biyometrik veriler, güvenlik sistemlerinde yaygın olarak kullanılmaktadır. Bu verilerin gerekmedikçe işlenmemesi sırasında, işlendiği takdirde ise veri ihlallerini önlemek için güçlü şifreleme yöntemleri de dahil pek çok tedbir alınması gerekmektedir.
  3. Çarpıcı Örnekler:
    1. İşveren ile eski çalışanı arasındaki davada, işveren tarafından işçinin ibadet ettiği görüntülerin dava dosyasında sunulmasının, işveren tarafından özel nitelikli kişisel veri işleme faaliyetinde bulunmasına örnek teşkil ettiği,
    2. Bir gerçek kişi tarafından acil durumlarda kullanılmak üzere, “kan grubu” bilgisinin sürücüsü olduğu motorlu taşıtın ya da bisikletinin herkes tarafından görülebilir bir bölümüne yazdırılması halinde, bu kişisel veri ancak ilgili kişinin alenileştirme iradesi ve amacı doğrultusunda acil durumların varlığı halinde işlenebilecektir. İlgili kişinin alenileştirme iradesi ve amacına aykırı olarak verisinin işlenmesi hukuka uygun kabul edilmeyeceği gibi çarpıcı örnekler paylaşılmaktadır.

Uyulması Gereken Kurallar

  1. Açık Rıza: Özel nitelikli kişisel verilerin işlenmesi için ilgili kişinin açık rızasının alınması gerekmektedir. Bu rıza, belirli bir amaç için ve bilgilendirilmiş bir şekilde verilmelidir.
  2. Yasal Dayanak: Kanunlarda açıkça öngörülmesi durumunda, özel nitelikli kişisel veriler rıza olmaksızın işlenebilir. Ancak bu durumlarda bile, veri güvenliği önlemleri titizlikle uygulanmalıdır.
  3. Veri Minimizasyonu: İşlenen veriler, belirli ve meşru amaçlar için gerekli olanlarla sınırlı olmalıdır. Gereksiz veri toplama ve işleme, hem yasal hem de etik açıdan sorunlara yol açabilir.

Özel nitelikli kişisel verilerin işlenmesi, dikkat ve özen gerektiren bir süreçtir. KVKK’nın yayımladığı rehber, bu süreçte uyulması gereken kuralları ve alınması gereken önlemleri açıkça ortaya koymaktadır. Bu kurallara uyarak, hem bireylerin mahremiyetini koruyabilir hem de yasal yükümlülüklerinizi yerine getirebilirsiniz.

Çarpıcı Örnekler ve Uygulamalar

  1. Sağlık Verileri: Hastaneler ve sağlık kuruluşları, hastaların sağlık bilgilerini işlerken yüksek güvenlik önlemleri almak zorundadır. Örneğin, bir hastanenin elektronik sağlık kayıt sistemi, yalnızca yetkili sağlık personeli tarafından erişilebilir olmalıdır.
  2. Biyometrik Veriler: Parmak izi, retina taraması gibi biyometrik veriler, güvenlik sistemlerinde yaygın olarak kullanılmaktadır. Bu verilerin gerekmedikçe işlenmemesi sırasında, işlendiği takdirde ise veri ihlallerini önlemek için güçlü şifreleme yöntemleri de dahil pek çok tedbir alınması gerekmektedir.
  3. Çarpıcı Örnekler
    • İşveren ile eski çalışanı arasındaki davada, işveren tarafından işçinin ibadet ettiği görüntülerin dava dosyasında sunulmasının, işveren tarafından özel nitelikli kişisel veri işleme faaliyetinde bulunmasına örnek teşkil ettiği,
    • Bir gerçek kişi tarafından acil durumlarda kullanılmak üzere, “kan grubu” bilgisinin sürücüsü olduğu motorlu taşıtın ya da bisikletinin herkes tarafından görülebilir bir bölümüne yazdırılması halinde, bu kişisel veri ancak ilgili kişinin alenileştirme iradesi ve amacı doğrultusunda acil durumların varlığı halinde işlenebilecektir. İlgili kişinin alenileştirme iradesi ve amacına aykırı olarak verisinin işlenmesi hukuka uygun kabul edilmeyeceği gibi çarpıcı örnekler paylaşılmaktadır.

Uyulması Gereken Kurallar

  1. Açık Rıza: Özel nitelikli kişisel verilerin işlenmesi için ilgili kişinin açık rızasının alınması gerekmektedir. Bu rıza, belirli bir amaç için ve bilgilendirilmiş bir şekilde verilmelidir.
  2. Yasal Dayanak: Kanunlarda açıkça öngörülmesi durumunda, özel nitelikli kişisel veriler rıza olmaksızın işlenebilir. Ancak bu durumlarda bile, veri güvenliği önlemleri titizlikle uygulanmalıdır.
  3. Veri Minimizasyonu: İşlenen veriler, belirli ve meşru amaçlar için gerekli olanlarla sınırlı olmalıdır. Gereksiz veri toplama ve işleme, hem yasal hem de etik açıdan sorunlara yol açabilir.

Özel nitelikli kişisel verilerin işlenmesi, dikkat ve özen gerektiren bir süreçtir. KVKK’nın yayımladığı rehber, bu süreçte uyulması gereken kuralları ve alınması gereken önlemleri açıkça ortaya koymaktadır. Bu kurallara uyarak, hem bireylerin mahremiyetini koruyabilir hem de yasal yükümlülüklerinizi yerine getirebilirsiniz.

Bu yazıyı paylaş