Kişisel Verileri Koruma Kanun’un “Özel nitelikli kişisel verilerin işlenme şartları”nı düzenleyen 6’ncı maddesinin birinci fıkrasında kişilerin “ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” özel nitelikli kişisel veriler olarak tanımlanmıştır. Kanun’un ilk hali sağlık ve cinsel hayat ile ilgili verileri ayırmakta ve işlenilme şartlarını farklı şekilde düzenlemekteyken 12.03.2024’de yapılan değişiklik sonrasında bu ikili ayrım ortadan kaldırılmıştır. Bu çerçevede, Kurul’un özel nitelikli kişisel veriler ve işlenme şartlarına ilişkin bakış açısının gerek veri sorumluları gerek de ilgili kişilerin dikkatine sunulması amacıyla “Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber” (Rehber) hazırlanmıştır. Rehber üç bölümden oluşmaktadır.
1)Özel Nitelikli Kişisel Veriler:
Kanun’da 6. Maddede sıralanan veriler sınırlı sayıda olup kıyas yoluyla genişletilebilmeleri mümkün değildir. Kanun’un temel hareket noktası öğrenilmesi halinde kişi hakkında ayrımcılık yapılmasına veya mağduriyete sebebiyet verebilecek verilerin korunmasını sağlamaktır. Rehber, her bir özel nitelikli kişisel verinin tanımlamalarını yaparak, bu verilerin kaynaklarını, bunların işlenmesi durumunda ortaya çıkabilecek ayrımcılık ve mağduriyet örneklerini, ve ilgili yargı kararlarını detaylı şekilde ele almaktadır. Avrupa İnsan Hakları Mahkemesi (AİHM) ve Yargıtay kararlarına da atıfta bulunularak, bu tür verilerin işlenmesinin yaratabileceği potansiyel olumsuz etkiler ve hukuki sonuçlar da Rehber’de açıklanmaktadır.
2)Özel Nitelikli Kişisel Verilerin İşlenilme Şartları:
Kişisel verilerin işlenilmesi kural olarak yasak olup bu yasak kişilerin temel hak ve hürriyetleri ihlal etmeyecek şekilde sınırlandırılabilir. Kişisel verilerin işlenilmesine gereksinim duyulan haller yasal yükümlülüklerden kaynaklanıp bir zorunluluk olabileceği gibi; kimi zaman da şirketlerin ve kuruluşların müşterilerine daha iyi hizmetler ve ürünler sağlaması, bireylerin mahremiyetlerini korumak ve siber saldırıları önlemek için güvenliğin sağlanması ve teknolojinin getirdiği yeniliklere uyum sağlanılması gibi durumlarda da söz konusu olabilir. Kanun’un 6’ncı maddesinin ilk halinde sağlık ve cinsel hayata ilişkin kişisel verilerin, ilgili kişinin açık rızasının alınması durumunda veya kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ya da kuruluşlar tarafından; sağlık ve cinsel hayat dışındaki diğer özel nitelikli kişisel verilerin ise ilgili kişinin açık rızasının alınması halinde veya kanunlarda öngörülmesi halinde işlenebileceği düzenlenmişti. Bu ayrım daha sonra Avrupa Birliği müktesebatına uyum sağlanılması ve gelişen dünya koşullarına ayak uyudurulması amacıyla sağlık kaldırılmış ve tüm özel nitelikli kişisel veriler için geçerli olacak şekilde yeni işleme şartları öngörülerek sayıları artırılmıştır. Yapılan yeni düzenlemeye göre;
Özel nitelikli kişisel veriler;
a) İlgili kişinin açık rızasının olması,
b) Kanunlarda açıkça öngörülmesi,
c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
g) Siyasi, felsefî, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması,
halinde işlenmeleri mümkündür.
Yeni işleme şartları öngörülmesinin yanı sıra açık rıza ile diğer işleme şartları arasında hiyerarşik bir farkın mevcut olmadığı kabul edilmiş, özel nitelikli kişisel verilerin açık rıza olmaksızın işlenemeyeceği hükmü kaldırılmıştır. Rehber’de Maddelerde yer alan “zorunlu” ve “gerekli” ifadelerinin bilinçli bir şekilde tercih edilmiş olduğu ve verilerin hukuka uygun, ölçülü ve amacına uygun şekilde kullanılması gerektiğine vurgu yapılmış, işleme şartlarının sayılarının artırılmasının kişisel verilerin gelişigüzel işlenilebilmesi anlamına gelmediği aksine bu sayede işleme şartlarının daha anlaşılır ve net bir şekilde işlenilmesinin hem veri sorumluları açısından hem de ilgili kişiler açısından kolaylık oluşturacağı üzerinde de durulmuştur.
3)Veri Sorumlularınca Kanun’a Uyum İçin Yapılması Gerekenler:
A) Kişisel Veri İşleme Envanterinin Güncellenmesi,
30.12.2017 tarih ve 30286 sayılı Resmî Gazete’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmelik ile Veri Sorumluları Siciline (Sicil/VERBİS) kayıtla yükümlü olan veri sorumluları, kişisel veri işleme envanteri hazırlamakla da yükümlü tutulmuştur. Kanun’un 6. maddesindeki değişiklikler doğrultusunda, veri sorumluları özel nitelikli kişisel verilerin işlenmesi sürecinde işleme şartlarında değişiklikler yaşayabilir. Veri sorumluları, VERBİS kaydına ve kişisel veri işleme envanteri hazırlamaya devam etmekle yükümlüdür. Envanterde, tüm kişisel verilerin belirlenmesi ve bu verilerin niteliklerine göre ayrım yapılması gerekmektedir. Özellikle özel nitelikli kişisel verilerin tespit edilmesi ve her biri için Kanun’un 6. maddesindeki işleme şartlarına uygun hukuki sebebin belirlenmesi ve hukuki sebeplerde bir değişiklik olması durumunda, bu değişikliklerin envantere işlenmesi gerekmektedir.
B) Açık Rıza Süreçlerinin Düzenlenmesi,
Kanun’un 6. maddesindeki değişiklikle, özel nitelikli kişisel verilerin işlenmesinde artık yalnızca açık rıza değil, açık rıza dışındaki işleme şartları da geçerli olabilecek. Bu durum, daha önce yalnızca açık rıza ile işlenebilen verilerin, şimdi başka işleme şartlarına dayanarak işlenmesine olanak tanıyor.
Bu değişiklikle birlikte:
- Açık rıza ve diğer işleme şartları arasında hiyerarşi yoktur, ancak başka geçerli bir işleme şartı varken yalnızca açık rızaya başvurmak hukuka ve dürüstlük ilkesine aykırı olabilir.
- Açık rıza geri alınabilir ve geri alındığında, yalnızca ileriye dönük etkiler doğurur. Yani, geri alma beyanı veri sorumlusuna ulaştığı andan itibaren açık rıza ile işlenen faaliyetler durdurulmalıdır.
- Veri sorumluları, açık rıza dışındaki işleme şartlarına dayanarak işlemeye devam etmelidir.
- Eğer açık rıza artık geçerli değilse, eski açık rıza metinleri güncellenmeli ve değişiklikler ilgili kişilere bildirilmelidir.
C) Aydınlatma Metinlerinde Değişiklik Yapılması:
Veri sorumluları, kişisel verilerin elde edilmesi sırasında aydınlatma yükümlülüğünü yerine getirmek zorundadır. Bu yükümlülük, kişisel verilerin kimler tarafından, hangi amaçla işlendiği, verilerin kimlere aktarılacağı ve işleme şartları hakkında ilgili kişilere doğru ve güncel bilgi vermeyi gerektirir. Aydınlatma metinlerinin yanıltıcı, eksik ya da yanlış bilgiler içermemesi önemlidir. Ayrıca, verilerin işlenmesindeki değişiklikler; yazılı sözlü veya elektronik ortamda veri sorumlusu veya onun yetkilendirdiği kişi tarafından güncellenmiş aydınlatma metinleriyle ilgili kişilere bildirilmelidir. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir ve metinlerin güncellendiği hakkında ilgili kişilerin bilgilendirilmesi gerekmektedir.
D) Saklama ve İmha Politikasının Güncellenmesi:
Veri sorumlularının kişisel veri işleme envanterine uygun olarak işisel veri saklama ve imha politikası hazırlamakla yükümlü oldukları 28.10.2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Yönetmeliği’nde ifade edilmiştir. Kişisel veri saklama ve imha politikası, kişisel verilerin ne amaçla saklandığı ve imha edildiği, hangi hukuki ve teknik gerekliliklere dayanıldığı, güvenlik önlemleri ve imha süreçlerine ilişkin bilgileri içermelidir. Politika, verilerin güvenli bir şekilde saklanması ve hukuka aykırı işlenmesinin önlenmesi için alınan önlemler, saklama ve imha süreçlerinde görevli kişilerin unvanları ve görev tanımlarını, saklama ve imha sürelerini ve periyodik imha sürelerine de kapsamlıdır. Kişisel veri işleme şartlarının genişletilmesi ve Kanun değişikliğine uyum sağlanabilmesi çerçevesinde skalama ve imha politikaları gözden geçirilmelidir, bu gözden geçirme sonucunda saklama süresinde değişiklik yapılacaksa bu değişiklik sınırlı ve ölçülü bir şekilde yapılmalıdır.
E) Veri Güvenliği Tedbirlerinin Alınması:
Kişisel verileri işleyen veri sorumluları kişisel verilerin hukuka aykırı olarak işlenilmesini ve erişilmesini önlemek amacıyla her türlü teknik ve idari tedbiri almak ile yükümlüdürler. Veri sorumlusu tarafından işlenilen kişisel verilerin korunmasına ilişkin ortaya çıkabilcek risklerin neler olduğu ve ortaya çıkabilecek zararlar işlenilen verilerin özellikleri de dikkate alınarak belirlenmelidir. İşlenilen verilerin özel nitelikli kişisel veriler olmaları halinde alınması gereken yeterli önlemler Kişisel Verileri Koruma Kurulu tarafından listelenmiştir.
