ANALİZ&GELİŞMELER

Özel Ni̇teli̇kli̇ Ki̇şi̇sel Veri̇leri̇n İşlenmesi̇ne İlişkin Rehber

ANALİZ&GELİŞMELER

ana hizmet

16 Şubat 2024 tarihli 7499 sayılı Kanun vasıtasıyla 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) uzun süredir yapılması beklenen değişiklikler 12 Mart 2024 tarihli Resmi Gazete’de yayımlanmış, ve ilgili değişiklikler 1 Haziran 2024 itibarıyla yürürlüğe girmiştir. Yapılan değişiklikler ile Türk mevzuatının Avrupa Birliği mevzuatına yakınlaşarak, uygulamada karşılaşılan zorlukların giderilmesi amaçlanmıştır.

Kanunda yapılan değişikliklerle özel nitelikli verilerin tanımı aynı şekilde muhafaza edilirken, ilgili verilerin açık rıza alınmaksızın işlenebileceği hallerin genişletilmişti. Bu kapsamda Kişisel Verileri Koruma Kurum’u (“Kurum”) özel nitelikli kişisel verilerin Kanun’a uygun işlenmesi amacıyla Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber’i (“Rehber”) 26 Şubat 2025 tarihinde internet sitesinde yayınlamıştır.

 

ÖZEL NİTELİKLİ KİŞİSEL VERİLER TANIMI

Kanun’un 6. maddesi birinci fıkrası özel nitelikli kişisel verileri tanımlamaktadır. Bu tanımlama uyarınca kişilerin “ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” özel nitelikli veriler olarak sayılmaktadır. Diğer bir deyişle özel nitelikli kişisel veriler öğrenilmesi halinde genellikle ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikte haiz veriler olarak tanımlanmaktadırlar. Kanun’da yapılan değişiklikle özel nitelikli kişisel veri tanımında herhangi bir değişikliğe gidilmemiş, yalnızca bu tür verilerin işlenme şartları değiştirilmiştir.

 

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Kanun’un ilk halinde özel nitelikli kişisel verilerin, sınırlı istisnai haller haricinde ilgili kişinin açık rızası olmaksızın işlenmesinin yasak olduğu düzenlenmekteydi. Yapılan değişiklik ile özel nitelikli kişisel verilerin kural olarak işlenmesi yasak olduğu düzenlenerek özel nitelikli kişisel veri kategorileri arasındaki işleme şartlarına yönelik ayrım kaldırılmış[1] ve yeni işleme şartları getirilerek özel nitelikli kişisel verilerin işlenebileceği haller genişletilmiştir.

Kanun’un 6. maddesi, üçüncü fıkrası uyarınca, özel nitelikli kişisel verilerin aşağıda belirtilen hallerde işlenmesi mümkündür:

  • İlgili kişinin açık rızasının olması:

Kanun’a göre açık rızanın varlığı halinde özel nitelikli kişisel veriler işlenebilmektedir. Açık rızanın yalnızca Kanun’da belirtilen diğer hiçbir veri işleme şartının uygulanamaması durumunda kullanılması gerekmektedir.

Açık rızanın geçerli olması için (i) belirli bir konuya ilişkin olması,(ii) rızanın bilgilendirmeye dayanması ve (iii) özgür iradeyle açıklanması şartlarının sağlanması gerektiği unutulmamalıdır.

  • Kanunlarda açıkça öngörülmesi:

Kanunlarda açıkça öngörülme; kişisel verilerin işlenmesini mümkün kılan bir hükmün, herhangi bir kanunda açıkça yer almasıdır. Diğer bir deyişle, özel nitelikli kişisel verinin işlenmesiyle ilgili herhangi bir kanunda açık bir hüküm varsa veya ikincil mevzuata açıkça yönlendirme yapılmışsa, bu durumda özel nitelikli kişisel verilerin işlenmesi mümkün olabilecektir.

Örnek: 5490 sayılı Nüfus Hizmetleri Kanunu gereği, pasaport ya da sürücü belgesi tahsisi sırasında nüfus müdürlüklerince ilgili kişinin parmak izinin alınması.

  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması:

Özel nitelikli kişisel veriler, ilgili kişinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için işlenmesinin zorunlu olduğu hallerde, ilgili kişinin açık rızası olmaksızın işlenebilmektedir. Burada hayati bir menfaatin korunması söz konusu olmalıdır.

Örnek: Bilincini kaybeden bir kişinin daha önce geçirmiş olduğu hastalıkların ve/veya kan grubunun kişinin yakınları tarafından sağlık görevlisi olmayan ilk yardım ekipleriyle paylaşılması.

  • İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması:

Alenileştirme, ilgili kişinin kişisel verilerinin kendisi tarafından kamuoyuna açıklanmasıdır. Alenileştirme iradesi ise ilgili kişinin kişisel verilerini hangi amaçla alenileştirdiğini ve kamuoyu ile paylaştığını, kişinin maksadını ifade eder. Özel nitelikli kişisel verilerin bu hükme dayanarak işlenebilmesi için ilgili kişinin kişisel verilerini alenileştirmiş olması yeterli olmayacak, veri sorumlusunun bu verileri işlerken ilgili kişinin alenileştirme iradesi doğrultusunda hareket etmesi gerekecektir.

Örnek: Bir kişinin hastalık geçmişini, kan grubunu ve/veya alerjilerini sürdüğü taşıtın veya bisikletin görünebilir yerinde sergilemesi ve ilgili verilerin acil durumların varlığında işlenmesi.

  • Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması:

Özel nitelikli kişisel veriler hukuki taleplerin kurulması, uygulanması veya savunulması için veya mahkemelerin adli yetkilerini kullandığı durumlarda zorunlu olması halinde ilgili kişinin açık rızası olmaksızın işlenebilmektedir. Veri sorumlusu özel nitelikli kişisel verilerin işlenmesinin zorunlu olduğunu gerekçelendirmelidir. Dikkat edilmesi gereken husus, veri sorumlusunun ilgili kişinin temel hak ve özgürlüğüne en az müdahale edecek şekilde verileri işlemesidir. Zorunluluk hali hakkın tesisi, kullanılması ve korunması açısından herhangi bir alternatif yöntemin bulunmaması ve dolayısıyla işleme faaliyetinin söz konusu amaç dahilinde zorunlu olması anlamına gelmektedir.

Örnekler:
İşverenin iş sözleşmesinin sona ermesine rağmen eski işçisine ait sağlık verilerini muhtemel davalarda savunma hakkının kullanılabilmesi için muhafaza etmesi.
– Bir avukatın müvekkilinin hakkını başka bir biçimde tesis etmesinin mümkün olmadığı durumlarda hukuka uygun olarak elde edilmiş özel nitelikli kişisel verileri dava dosyası kapsamında mahkemeye sunması
Çalışanların maaş ödemelerinde eş ve çocuklarına ait engellilik veya sağlık bilgileri gibi özel nitelikli kişisel verilerin işlenmesinin zorunluluk arz ettiği durumlarda, işveren tarafından bu verilerin işlenmesi.

  • Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması:

Özel nitelikli kişisel verilerin ilgili hükme dayalı olarak işlenebilmesi kişi, amaç ve durum unsurları bakımından sınırlandırılmıştır. Kişiler bakımından, Rehber’de “yetkili kurum ve kuruluşları” ifadesinin, yalnızca kamu kurum ve kuruluşlarını değil, ayrıca sağlık hizmeti sunan gerçek kişiler ile özel hukuk tüzel kişilerini de kapsandığı belirtilmiştir.

Örnek: Zorunlu çocukluk çağı aşılarının aile hekimleri tarafından takip edilmesi, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması amacıyla sağlık verilerin işlenmesi.

  • İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması:

Veri sorumlularınca hukuki yükümlülüklerinin yerine getirilmesi amacıyla özel nitelikli kişisel veriler ancak zorunlu olmaları durumunda işlenebilecektir. Zorunluluk hali kanunlarda açıkça öngörülen bir yükümlülükten ya da bir yönetmelik, yönerge, tebliğ ve hatta sözleşmeden kaynaklanabilir.

Örnekler:
4857 sayılı İş Kanunu uyarınca işverenin engelli çalıştırma yükümlülüğünü yerine getirme amacıyla özel nitelikli kişisel verileri işlemesi.
6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanunu’nu uyarınca bir toplu iş sözleşmesi çerçevesinde işçilerin işin gerektireceği farklı sağlık muayenelerine tabi tutulmaları.
Karayolu Taşıma Yönetmeliği kapsamındaki araçları kullanacak şoförlerin ceza mahkumiyeti ve sağlık verilerinin işlenmesi.
Sosyal Güvenlik Kurumu Sigortalı İşe Giriş Bildirgesinde, “Sigortalı İş Kanunu’nun 30. maddesine göre çalıştırılıyorsa” seçimlik olarak “Eski hükümlü” veya “Engelli” seçeneklerinden birinin işaretlenmesi için özel nitelikli kişisel verilerin işlenmesi.
Sağlık Bakanlığı tarafından yayınlanan Diyaliz Merkezleri Hakkında Yönetmelik’in 35. maddesi gereğince diyaliz hastalarına sunulan sağlık kuruluşuna taşıma hizmetinin yerine getirilebilmesi için kişinin sağlık raporunda yer alan özel nitelikli kişisel verinin, taşıma hizmetini sunan veri sorumlusu tarafından işlenmesi.

  • Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması:

Örnekler:
Bir siyasi parti tarafından engelli bir üyenin oy kullanabilmesi için, söz konusu kişiye tekerlekli sandalye temin edilmesi amacıyla engellilik durumuna ilişkin sağlık verisi işlenmesi.
İş kazası geçiren bir kişinin bağlı olduğu sendikanın üyelerinin iş sağlığı ve güvenliğinin korunması kapsamında sürecin takibi için işçinin sağlık verilerini işlemesi.

 

VERİ SORUMLULARINCA YÜRÜTÜLMESİ ÖNERİLEN UYUM ÇALIŞMALARI

Veri sorumlularından Kanun’a uyum sağlamak adına yeni düzenlemelere ilişkin çalışmaları yürütmeleri beklenilmektedir. Kurum’un Rehberde ele almış olduğu, veri sorumlularının alabileceği tedbirler aşağıdaki gibidir:

  • Kişisel veri envanterinin güncellenmesi: 12.2017 tarih ve 30286 sayılı Resmî Gazete’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmelik ile Veri Sorumluları Siciline (“VERBİS”) kayıtla ve envanter hazırlamakla yükümlü olan veri sorumlularının ilgili envanter ve kayıtlarının, doğru ve güncel olması adına özel nitelikli kişisel veri işleme süreçlerini gözden geçirmeleri gerekmektedir. İlgili verilerin her biri için Kanun’un 6’ncı maddesindeki işleme şartları dikkate alınarak, işlenen kişisel veri için uygun hukuki sebep tespit edilmeli ve hukuki sebepte bir değişiklik olması halinde söz konusu değişiklik envantere işlenmelidir.
  • Aydınlatma ve açık rıza metinlerinin güncellenmesi: Değişiklik öncesinde yalnızca açık rızaya dayalı olarak işlenebilen kişisel verilerin, yeni düzenlemeler ile başka işleme şartına dayalı olarak gerçekleşmesi mümkün ise ilgili aydınlatma ve açık rıza metinleri güncellenmeli, değişiklikler ve doğacak olası sonuçlar ilgili kişilere bildirilmelidir.
  • Saklama ve imha politikasının güncellenmesi: Kişisel veri saklama ve imha politikası hazırlamakla yükümlü veri sorumlularının, Kanun değişikliklerine uyum sağlamak için politikalarını gözden geçirmesi gerekmektedir. Özel nitelikli kişisel verilerin işlenme şartı değiştiğinde, yeni işlenme şartına uygun olarak verilerin gerekenden daha uzun süre saklanmaması sağlanmalıdır.
  • Veri güvenliği tedbirlerinin alınması: Özel nitelikli kişisel veri işleyen veri sorumluları tarafından (i) ilgili verilerin güvenliği için ayrı politika belirlenmesi, (ii) ilgili verilerin işlenmesinde yer alan çalışanlara yönelik teknik, organizasyonel ve hukuki önlemler alınması, (iii) ilgili verilerin saklandığı elektronik veya fiziksel ortamlarda güvenlik ve teknik önlemlerinin arttırılması ve (iv) ilgili verilerin aktarılması ön görülüyorsa, aktarımın güvenliğinin gerekli teknik önlemler alınarak sağlanması beklenmektedir.

Yukarıdaki istisnai hallerden birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın belirlenen sınırlar içinde ve ölçülü olarak özel nitelikli kişisel veriler Kanun’a uygun bir şekilde veri sorumluları tarafından işlenebilecektir. Veri sorumluları özel nitelikli verileri işlerken Kanun’un 4. maddesinde belirtilen genel ilkelere riayet etmelidir.

[1] Yapılan değişiklikle, sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ile sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler arasındaki ayrım yeni değişikliklerle kaldırılarak, ilgili verilerin işlenmesi özel nitelikli verilerin işlenmesi şartlarına tabi tutulmuştur.

İletişim

Haber & Yayınlar

TÜM HABER & YAYINLARIMIZ