Özel nitelikli kişisel veri nedir?

Özel nitelikli kişisel veri, kişisel veri kümesinin bir alt dalı olup özenle korunmuş ve işlenmesi hususi şartlara bağlanmıştır. Bu makalede sizlere hem özel verinin ne olduğunu hem hangi şartlarda işlenebileceğini hem de 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yer alan özel nitelikli kişisel verilere ilişkin hükümleri açıklayacağım.

Kişisel veri nedir?

Madem özel nitelikli kişisel veri, kişisel veri kümesinin bir alt dalı; o halde öncelikle kişisel verinin tanımını yapmak gerekir.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 3’üncü maddesine göre kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.

Yukarıdaki tanım incelendiğinde; kişisel veri kavramının 3 ana unsuru olduğu görülür. 6698 sayılı Kanun kapsamında kişisel veri kavramının sahip olduğu 3 temel unsur şunlardır:

• Gerçek kişiye ait olma
• Kişiyi belirli ya da belirlenebilir kılma
• Her tür bilgiyi içerme

Gerçek kişiye ait olma; tüzel kişilere ait olan verilerin, kişisel veri kapsamında olmamasını ifade eder.

Kişiyi belirli ya da belirlenebilir kılma; bir bilginin kişisel veri kabul edilebilmesi için, kişinin gerçek kimliğini doğrudan göstermesi ya da doğrudan göstermiyorsa bile, bir şekilde o kişiyle ilişkilendirilmesine sebep olmasını ifade eder.

Her türlü bilgiyi içerme ise; kişisel veri olarak kabul edilen bilgileri sınırlı sayıda olmamasıdır.

Özel nitelikli kişisel veri nedir?

Özel nitelikli kişisel veri ya da “Hassas” veri, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olmasına veya ayrımcılığa maruz kalmasına neden olabilecek nitelikteki verilerdir.

Kanun yukarıdaki gibi bir tanım yapmak yerine, özel nitelikli kişisel verileri tek tek saymayı tercih etmiştir. Bunun anlamı; özel nitelikli kişisel verilerin hangileri olduğunun kanun koyucu tarafından tahdiden belirlendiği ve artırılmasının ya da azaltılmasının mümkün olmadığıdır.

Böylece kanunda tek tek sayılan haller, yoruma yer bırakmaksızın özel nitelikli kişisel veri olacak kabul edilecektir.

Özel nitelikli kişisel veriler neler?

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6’ncı maddesinde sayılan özel nitelikli kişisel veriler şunlardır:

• Irk
• Etnik köken
• Siyasi düşünce
• Felsefi inanç
• Din
• Mezhep veya diğer inançlar
• Kılık ve kıyafet
• Dernek, vakıf ya da sendika üyeliği,
• Sağlık
• Cinsel hayat
• Ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler
• Biyometrik ve genetik veriler

Yukarıdaki özel nitelikli kişisel verilere kıyas yoluyla ya da başka şekilde bir yorum yaparak yenileri EKLENEMEZ.

Özel nitelikli kişisel verilerin işlenmesi

Kişisel verilerin işlenmesi her şeyden önce ilgili kişinin açık rızasına bağlıdır ve özel nitelikli kişisel veriler için de bu kural geçerlidir.

Fakat normal kişisel veriler aşağıdaki şartlar mevcut olursa, ilgili kişinin açık rızası alınmadan da işlenebilir:

• Kanunlarda açıkça öngörülmesi
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
• Veri sorumlusunun hukuki yükümlülüğünü yerine getire-bilmesi için zorunlu olması
• İlgili kişinin kendisi tarafından alenileştirilmiş olması
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

İşte yukarıdaki şartlar özel nitelikli kişisel veriler için de aynen geçerlidir ve özel nitelikli kişisel veriler de bu hallerin var olması durumunda, açık rıza alınmadan işlenebilir.

Yalnızca tek bir özel durum farklılık arz eder. Buna göre; sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Özel nitelikli veriler için alınması gereken önlemler

Yine Kanun’un 6’ncı maddesine göre, Kişisel Verileri Koruma Kurulu özel nitelikli kişisel verilerin muhafazası ve işlenmesi için önlemleri belirlemek yetkisine sahiptir.

Nitekim Kurul da “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” konulu 31/01/2018 tarih ve 2018/10 sayılı kararı almıştır.

Özel nitelikli kişisel veri işleyen veri sorumlularının bu Kurul kararında belirlenen ve aşağıda özetlenen önlemleri alması zorunludur:

• Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi gerekir.
• Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik; kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi, gizlilik sözleşmelerinin yapılması, verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması, periyodik olarak yetki kontrollerinin gerçekleştirilmesi, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması gerekmektedir.
• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise buna ilişkin tedbirler alınmalıdır.
• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise, bu defa buna yönelik önlemlerin alınması gerekir.
• Özel nitelikli kişisel veriler aktarılacaksa, bu durumda yapılması gerekenler de belirlenmiştir.

Ana faaliyet konusu özel nitelikli veri işlemek olan veri sorumluları

Herhangi bir sorumlusu elbette birkaç adet özel nitelikli kişisel veri işleyebilir. Örneğin bir esnaf dahi yanında çalışan işçinin sağlık raporu bilgisine sahip olduğundan özel nitelikli kişisel veri işlemekte olabilir.

Fakat bazı veri sorumluları vardır ki; bunların ana faaliyet konusu özel nitelikli veri işlemektir. Ana faaliyet konusu özel nitelikli veri işlemek demek, veri sorumlusunun yapmış olduğu işin esas itibariyle özel nitelikli veri işlenmesini gerektirmesidir.

Ana faaliyet konusu özel nitelikli veri işlemek olan veri sorumlularına aşağıdakiler örnek olarak verilebilir:

• Doktorlar
• Eczaneler
• Diş hekimleri
• Diş poliklinikleri
• Hastaneler
• Tıbbi Görüntüleme Merkezleri,
• Diş Laboratuvarları,
• Tıbbi Laboratuvarlar,
• Diyetisyenler
• Diyaliz Merkezleri,   
• Tıp Merkezleri
• Rehabilitasyon Merkezleri, 
• Psikologlar
• Medikaller
• Medikal Satış Yapan İnternet Siteleri,
• Ambulans Firmaları
• Hasta Bakım Şirketleri

Özel nitelikli kişisel veri işleyenlerin VERBİS kaydı

VERBİS kaydının ne olduğunu ve nasıl yapılacağını şu yazımda açıklamıştım: https://mustafabaysal.com/verbis-kaydi-nasil-yapilir/

VERBİS kaydı yaptırmamanın ne kadar büyük idari para cezalarına sebep olabileceğini ise şu yazımda bulabilirsiniz: https://mustafabaysal.com/kvkk-idari-para-cezalari/

VERBİS kaydı yükümlülüğü normal şartlar altında yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ya da tüzel kişiler için zorunlu tutulmuştu.

Fakat ana faaliyet konusu özel nitelikli veri işlemek olan yukarıdaki gibi veri sorumluları, bilançosu ya da çalışan sayısı kaç olursa olsun en geç 31 Mart 2021 tarihine kadar VERBİS kaydını yapmak zorundadır.

Bu zorunluluğun nedeni, özel nitelikli kişisel verilerin diğer kişisel verilere göre daha çok korunmasına ihtiyaç duyulmasıdır.

Kişisel veri – Özel nitelikli kişisel veri farkı

Kişisel veriyi büyük bir küme olarak düşünürsek, özel nitelikli kişisel veri bunun bir alt kümesi olacaktır.

Kişisel verinin korunması, muhafazası ve aktarılması çok önemliyken; özel nitelikli kişisel verinin işlenmesi, muhafazası ve aktarılması daha da önemli kabul edilmiştir.

Kişisel veri, ilgili kişinin rızası dışında başkalarının eline geçerse kişinin maddi ve manevi zarar göreceği açıkken; özel nitelikli kişisel verinin ihlalinde zarar daha büyük olacaktır.

Fotoğraf özel nitelikli kişisel veri mi?

Özel nitelikli kişisel veri kavramını yorum yoluyla genişletmenin sakıncasına güzel bir örnek, kişinin fotoğrafıdır.

Evet kişinin vesikalık fotoğrafı ya da başka bir fotoğrafı, onun kolayca tanınmasını sağlayabilir; fakat kişiyi kesin olarak belirli kılan T.C. kimlik numarası dahi “kimlik” kategorisinden bir veri iken, fotoğraf özel nitelikli veri olarak kabul edilemez.

Zaten Kanun’da özel nitelikli kişisel veriler tek tek sayılmıştır ve bunların arasında vesikalık fotoğraf ya da herhangi bir fotoğraf bulunmamaktadır.

Bir adım ileri giderek, biyometrik fotoğrafın dahi özel nitelikli kişisel veri olmadığını söyleyebiliriz ki; bunun nedeni şu makalede açıklanmıştır: https://tr.linkedin.com/

Özel nitelikli kişisel verinin işlenmesinde ölçülülük ilkesi

Sonda söyleyeceğimi başta ifade etmek isterim: Bir veri sorumlusu özel nitelikli veri işlemek durumundaysa, bunu iki kere düşünmelidir. Öncelikle alternatif bir kişisel veri işleminin olup olmadığı araştırılmalı ve gerçekten de özel nitelikli kişisel veri işlenmesinin gerekli olduğu net bir şekilde ortaya koyulmalıdır.

Bu durum bir Kurul kararında şöyle ifade edilmiştir:

“… Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde yer alan ilkelerden, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi çerçevesinde işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasının gerektiği; ölçülülük ilkesinin ise, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması, diğer bir ifadeyle veri işlemenin amacı gerçekleştirecek ölçüde olması gerektiğine işaret ettiği; bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel verilerin toplanmaması ve/veya işlenmemesi gerektiği, veri sorumlusunun amacı çerçevesinde, ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınması gerektiği…”(https://kvkk.gov.tr/Icerik/6872/2020-915)

Örneğin çalışanların mesai takibi için parmak izi okutmak yerine kart okutmak tercih edilmelidir. Ulusal güvenlik ya da yüksek derecede gizlilik gerektiren bir iş olmaması halinde, örneğin belediyede çalışanların işe giriş çıkışlarını parmak izi okutarak takip etmek kesinlikle ölçülülük ilkesine aykırı olacaktır.

Bir KVKK uyum süreci yürütülürken de veri sorumlusunun işlemekte olduğu tüm özel nitelikli kişisel veriler tek tek tespit edilmeli ve bunların işlenme amaçlarının gerekliliği özellikle irdelenmelidir.

SONUÇ

Özel nitelikli kişisel veri; kişisel verinin daha çok korunan bir alt kümesidir. Veri sorumlusunca işlenen özel nitelikli kişisel veriler, KVKK uyum sürecinde hazırlanan envanter başta olmak üzere tüm dokümanlarda özel olarak yer almalı ve incelenmelidir.

Unutulmamalıdır ki; asıl olan, mümkün olduğunca özel nitelikli veri işlemekten kaçınmaktır. Veri sorumlusunun işlediği her bir özel nitelikli kişisel veri için şu basit ama etkili soru sorulmalıdır: Bu özel nitelikli veriyi işlemek yerine, alternatifi normal bir kişisel veri işleyebilir miyim ya da bu özel nitelikli kişisel veriyi hiç işlemesem ne olur?

Kişisel Verilerin Korunması Kanunu’nun ruhunu kavramış bir veri sorumlusu, işlemek zorunda olduğu her özel nitelikli veriye “ateşten gömlek” gözüyle bakmalı ve bu gömleği değiştirmenin yollarını aramalıdır.

Buna rağmen özel nitelikli kişisel veri işlemek zorunda kalan veri sorumlusu ise yukarıda özetine yer verdiğim Kurul kararı başta olmak üzere, özel nitelikli kişisel verilerle ilgili belirlenen tüm kurallara dikkate riayet etmelidir.