ÖZEL (HASSAS) NİTELİKLİ KİŞİSEL VERİLER

Kişisel veri, ‘‘kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi’’ olarak tanımlanmaktadır. Özel nitelikli kişisel veriler ise, ‘‘öğrenilmesi halinde ilgili kişi hakkında ayrımcılığa veya mağduriyete neden olabilecek nitelikteki verilerdir’’. Özel nitelikli kişisel verilerin bu özelliği sebebiyle, diğer kişisel verilere göre daha sıkı korunması gerekmektedir. Hangi verilerin özel nitelikli kişisel veri sayılacağı ve bu verilerin ne şekilde korunacağı 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (‘‘KVKK’’) düzenlenmiştir.

Buna göre, KVKK’nın 6. maddesinde ‘‘kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri’’ özel nitelikli kişisel veri olarak sayılmıştır. Özel nitelikli kişisel veriler kanunda sayılan verilerle sınırlı tutulmuş olup, bunlar dışında özel nitelikli kişisel veri yaratılması mümkün değildir.

Bu yazımda, ilgili kişi açısından hassas sayılan ve daha yüksek korunması ihtiyacı bulunduğu ifade edilen özel nitelikli kişisel verilerin korunması ve işlenmesi şartlarına değineceğim.

Özel Nitelikli Kişisel Verilerin İşlenmesi:

‘‘Kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, korunması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem’’ veri işleme olarak kabul edilebilir. Bununla birlikte, verilerin belirtilen şekilde toplandıktan sonra silinmesi, yok edilmesi, anonim hale getirilmesi gibi işlemlere kadar yapılan her türlü eylem de KVKK kapsamında veri işleme sayılabilir.

Kanun, özel nitelikli kişisel verilerin işlenmesi bakımından birtakım şartlar öngörmektedir. Buna göre özel nitelikli kişisel veriler, ilgilinin rızası ile ya da Kanun’da sayılan sınırlı hallerde işlenebilir.

• İlgilinin Rızası:

Özel nitelikli kişisel verilerin işlenebilmesi için kural olarak, ilgili kişinin açık rızası aranmaktadır. Açık rıza, ‘‘belirli bir konuya ilişkin bilgilendirmeye dayalı ve özgür irade ile açıklanan rızadır’’. Bu bağlamda, kişinin rızası belirli bir konuya ilişkin olmalıdır, yani rızanın konusunun ne olduğunun açıkça belirtilmesi, farklı amaçlar için kullanılacak rıza söz konusuysa her bir durum için ayrı ayrı rıza alınması ve rızanın birbiriyle uyumlu olması gerekmektedir. Bununla birlikte, veri işleme öncesinde mutlaka açık ve anlaşılır şekilde bilgilendirme yapılmalıdır.

Bu bilgilendirme verinin ne amaçla, kim tarafından işleneceğine, kime ve hangi amaçla aktarılacağına, hangi yöntemle toplanacağına ilişkin olmalıdır. Ayrıca rızanın, farkında olarak ve kişinin özgür iradesiyle verilmesi gerekir. Kişi baskı, tehdit, hile gibi yollarla rıza vermeye zorlanmamalıdır. Bu şekilde sayılan şartları sağlayan açık rızanın varlığı halinde özel nitelikli kişisel verilerin işlenmesi mümkündür. Örneğin, klinik araştırmalar kapsamında gönüllü olan kişilerin sayılan şartlara uyularak açık rızasının alınması halinde, özel nitelikli kişisel verilerinin işlenebilmesi mümkündür.

• Kanunda Öngörülen Haller:

İlgilinin rızası dışında özel nitelikli kişisel verilerin işlenmesi bakımından Kanun’da ikili bir ayrım yapılmıştır. Yani, sağlık ve cinsel hayata ilişkin verilerin işlenmesi ile bunlar dışındaki özel nitelikli verilerin işlenmesi farklı şartlara bağlanmıştır.

Buna göre, sağlık ve cinsel hayata ilişkin veriler ancak Kanun’da sayılan haller ile sınırlı olarak ilgilinin rızası olmaksızın işlenebilir. Bu haller; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri, finansmanın planlanması ve yönetim amacıdır. Ayrıca bu hallerde veri işlemenin sır saklama yükümlülüğü altında bulunan kişi veya yetkili kurum tarafından yapılması gerekir. Bu duruma, doktorun hastası hakkında işlediği sağlık verileri örnek verilebilir.

Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler ise, Kanun’da öngörülen hallerde ilgilinin açık rızası aranmaksızın işlenebilir. Bu haller, örneğin çalışana ait sendikalılık bilgisinin mevzuat gereği özlük dosyasında bulunması gibi iş hukukundan kaynaklanabilir.

Kanun’da ayrıca özel nitelikli kişisel verilerin işlenmesinde Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemlerin alınması şart koşulmuştur. Bu doğrultuda Kişisel Verileri Koruma Kurulu tarafından ‘‘Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler’’ başlıklı karar yayımlanmıştır.

Bununla birlikte, KVKK’nın 4. maddesinde kişisel verilerin işlenmesine ilişkin birtakım ilkeler belirlenmiştir. Maddede sayılan ilkelerin daha hassas koruma gerektiren özel nitelikli kişisel verilerin işlenmesi bakımından da dikkate alınması gerekmektedir. Buna göre;

‘‘Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

a) Hukuka ve dürüstlük kurallarına uygun olma.

b) Doğru ve gerektiğinde güncel olma.

c) Belirli, açık ve meşru amaçlar için işlenme.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.’’

Özel nitelikli kişisel verilerin kişinin ayrımcılığa uğramaması, önyargılı işlemlere maruz kalmaması, kamu hizmetlerinden adil şekilde yararlanmasının önüne geçilmemesi gibi sebeplerden ötürü daha sıkı kurallara tabi olarak korunması gerektiği açıktır. Bu doğrultuda Kanun’da sayılan veri işleme şartlarına ve belirlenen temel ilkelere uyulması son derece önem arz etmektedir.