Özel Nitelikli Verilerin İşlenmesine İlişkin Rehber Yayımlandı! (07.03.2025)
Bilindiği üzere, geçtiğimiz yılın Mart ayında mevzuatın Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ile uyum çalışmaları kapsamında Kişisel Verilerin Korunması Kanunu’nda (Kanun) özel nitelikli kişisel verilerin işlenmesi ve kişisel verilerin yurt dışına aktarılmasını düzenleyen hükümler başta olmak üzere önemli değişiklikler gerçekleştirilmişti.
(Kanun değişikliği ile getirilen yeni düzenlemelere ilişkin daha önce hazırladığımız infografik bilgi notumuza buradan erişebilirsiniz)
Kişisel Verileri Koruma Kurumu’nun (Kurum), bu değişiklikler sonrasında ortaya çıkabilecek soru işaretlerini giderebilmek adına her iki konuda da rehber yayımlayacağı biliniyordu. Nitekim 2 Ocak’ta Kişisel Verilerin Yurt Dışına Aktarılması Rehberi yayımlandı.
(Kişisel Verilerin Yurt Dışına Aktarılması Rehberinde dikkatimizi çeken hususları burada yayımlamıştık.)
Kurum bu defa değişikliklere ilişkin olarak beklenen ikinci rehberi olan Özel Nitelikli Verilerin İşlenmesine İlişkin Rehberi (Rehber) yayımladı. Bizler de ilk defa Rehberde ortaya konulan ve önemli gördüğümüz konuları sizler için aşağıda derledik.
A. Özel Nitelikli Kişisel Veri Kategorilerine Dair Belirlemeler
Kanun, özel nitelikli kişisel veri kategorilerini sınırlı şekilde listeliyor ancak bu verilerin hangi anlama geldiklerini ve nasıl ele alınmaları gerektiğini açıklamıyordu. Uygulamacılar, bu verilerin kapsamını değerlendirirken Kurum kararları ve diğer rehberlerden yararlanıyor olsa da kesin bir yanıta ulaşamıyordu. Bu durum, uygulamada pek çok belirsizliğe yol açıyordu.
Rehber ile bu belirsizlikler bir seviyeye kadar gideriliyor. Nitekim bu amaçla her bir özel nitelikli kişisel veri kategorisinin anlam ve kapsamı, Türk Dil Kurumu (TDK), Yargıtay, Danıştay, ulusal ve uluslararası mevzuat ile çeşitli kurumlar tarafından yapılan tanımlara atıflar yapılarak açıklanıyor.
Rehberin özel nitelikli veri kategorilerine ilişkin ek açıklamaları özetle şu şekilde:
- Irk ve Etnik Kökene İlişkin Verilere Dair Açıklamalar: Uygulamada, uyruk bilgisinin de bu kapsamda olup olmadığı konusunda tartışmalar vardı. Rehber ile birlikte bu tartışmalara kesin bir şekilde son verilmiş oldu.
Nitekim Kurum, “uyruk” kavramının Kanun maddesinde açıkça yer almaması nedeniyle -sınırlı sayı ilkesi gereğince- bu bilginin özel nitelikli kişisel veri olarak sayılamayacağını belirtiyor.
Bu durumda, veri sorumlusunun kişiyle ilgili “yabancı uyruklu”, “T.C. vatandaşı değil”, “diğer” gibi işlediği verilerin özel nitelikli kişisel veri olmadığını netleştiriyor. Bu kapsamda eski tip pasaport, sürücü belgesi, nüfus cüzdanı veya öğrenci kimliği, işyeri kimliği gibi çeşitli belgelerde yer alan ülke kodu ve tabiiyet gibi bilgilerin de özel nitelikli veri sayılmadığı açıkça ifade ediliyor.
- Siyasi Düşünceye İlişkin Verilere Dair Açıklamalar: İlgili kavram bu zamana kadar ne Kanunda ne GDPR’da açıklanmıştı. Rehber bu hususta da yönlendirmeler içeriyor.
Bir kişinin siyasi parti üyeliği, siyasi görüşü ya da apolitik olduğuna dair bilgiler ile kişinin sosyo-politik davranış ve tutumları siyasi düşünce verisi olarak sayılıyor. Dolayısıyla, seçimler hakkında kamuoyu araştırması nedeniyle yapılan anketlerde kişinin hangi partiyi desteklediği bilgisi de Rehberde özel nitelikli kişisel veri kabul ediliyor.
Rehber ayrıca GDPR’a atıf yaparak seçim faaliyetleri sırasında demokratik sistemin işleyebilmesi için kişilerin siyasi görüşlerini işlemenin gerekmesi halinde, siyasi partilerin kamu yararı nedeniyle uygun güvenceleri alarak özel nitelikli kişisel verilerin işleyebileceğini belirtiyor.
- Felsefi İnanç, Din, Mezhep veya Diğer İnanç Verilerine Dair Açıklamalar: “Herhangi bir inanca sahip olmama” da bu kategori altında yer alıyor. Öte yandan Rehber, inancın belirli bir inandırıcılık, ciddiyet, bağlılık ve önem düzeyine ulaşması gerektiğini belirtiyor.
- Kılık ve Kıyafete İlişkin Verilere Dair Açıklamalar: Bu verilerin özel nitelikli kabul edilmesindeki amaç, kişinin ayrımcılığa ve menfaat ihlaline uğramasının engellenmesi olarak belirtiliyor ve bu amacın somut olay özelinde yorumlanması gerektiği vurgulanıyor.
Bu konuda, “kot pantolon giymesi” ve “sakal bırakması” nedenleriyle hakkında disiplin cezası verilen bir memurun ilgili düzenlemenin iptali talebine dair Danıştay kararına atıf yapılıyor.
Rehberde sadece Danıştay’ın konuyla ilgili (i) kişinin doğuştan sahip olduğu veya sonradan edindiği ayırt edici özelliklerine dayanarak, diğer kişilerden daha aşağı görecek yaptırımlar öngören hukuki uygulamaların eşitsizliği ve ayrımcılığı meşrulaştıracağına ve (ii) bireylerin kendilerini sakallarının uzunluğu ya da kısalığı gibi fiziksel görünümleriyle ifade etme özgürlüklerine dikkat çeken açıklamalarına vurgu yapıldığı görünüyor.
Kararın detayında Danıştay, ilgili yönetmelik maddesinde -erkek personel için- “...Her gün sakal tıraşı olunur ve sakal bırakılmaz..." şeklindeki ibarenin eşitlik ilkesini zedeleyebilecek veya ayrımcılığa neden olabilecek nitelikte olduğunu ve demokratik toplum düzeni gereklerine uygun bir tedbir olmadığını değerlendiriyor.
Yorumumuz: Bu veri kategorisi kişisel verilerin korunması alanındaki uluslararası düzenlemelerde de yer almadığı için uygulamada nasıl anlaşılacağı tamamen belirsizdi. Rehber, Kanunda özel nitelikli kişisel veri olarak korumaya alınan bu veriler ile kişilerin kılık kıyafeti nedeniyle ayrımcılığa uğramasının engellenmesinin amaçlandığını açık bir şekilde ortaya koyuyor. Ancak, bu veriler bakımından somut olay özelinde değerlendirme yapılması gerekeceğini de söylediği için pratikte hala tartışmalar olabilir.
- Sağlık ve Cinsel Hayata İlişkin Verilere Dair Açıklamalar: Rehber Kanundaki “kişisel sağlık verisi” tanımından hareketle sağlık verisinin yalnızca sağlıklı olma halini değil, ayrıca kişinin hasta olma ihtimalini gösteren ya da tespit eden verileri içerdiğini belirtiyor.
Bu kapsamda fiziksel, zihinsel ve sosyal durumun tespitine yol açan tetkik sonucu, ön teşhis, teşhis ve tedavi bilgileri özel nitelikli kişisel veri sayılıyor. Ayrıca Rehber, kişilerin eski tip pasaport, sürücü belgesi, nüfus cüzdanı, işyeri kimliği gibi belgelerinde yer alan “kan grubu bilgisinin” işlenmesini özel nitelikli kişisel verinin işlenmesi olarak kabul ediyor.
- Ceza Mahkumiyeti ve Güvenlik Tedbirlerine İlişkin Verilere Dair Açıklamalar: Rehber, adli sicil kaydının içeriğini oluşturan kesinleşmiş mahkûmiyet hükümleri ile Türk Ceza Kanunu’nun 53.maddesi ve devamında düzenlenen güvenlik tedbirlerinin özel nitelikli kişisel veri olarak değerlendirilebileceğini belirtiyor.
Bu kapsamda -Rehberdeki örnekte bahsedildiği üzere- adli sicil kaydında yer alan hapis cezasına ilişkin mahkûmiyet kararı, koşullu salıverilme kararı, adli para cezasına ilişkin mahkûmiyet hükmü ve sürücü belgesinin geri alınması gibi kararların işlenmesi halinde özel nitelikli kişisel veri işlemiş sayılıyor.
Yorumumuz: Rehberde verilen örnek doğrultusunda adli sicil kaydının temiz olması -yani kişi hakkında verilmiş herhangi bir mahkûmiyet hükmü veya güvenlik tedbiri bulunmaması- durumunda adli sicil kaydı ile ilgili nasıl bir değerlendirme yapılacağı açıkça belirtilmiyor.
Fakat, Kurum yetkililerinin kamuoyu ile yaptığı toplantılardaki açıklamalarından, adli sicil kayıtlarının temiz olması halinde adli sicil kaydının özel nitelikli kişisel veri olarak yorumlanmadığı sonucu çıkmaktaydı. Uygulamacılar her ne kadar Rehber ile bu konuda bir açıklık sağlanmasını umuyorsa da ne yazık ki beklenen açıklıkta bir açıklama gelmemiştir.
- Biyometrik Verilere Dair Açıklamalar: Rehber, biyometrik verileri “kişilerin unutmasının mümkün olmadığı, genelde ömür boyu değişmeyen ve herhangi bir müdahaleye gerek olmaksızın zahmetsiz bir şekilde sahip olunan veriler” olarak tanımlıyor. Fizyolojik ve davranışsal nitelikli biyometrik verileri örneklendiriyor.
Ayrıca Rehberde, biyometrik fotoğraflar da dahil olmak üzere fotoğrafların doğrudan biyometrik veri olarak sayılamayacağı belirtiliyor. Bu veriler, yalnızca bir kişinin benzersiz bir şekilde tanımlanmasına veya doğrulanmasına izin veren belirli bir teknik yöntemle işlendiği takdirde özel nitelikli kişisel veri kabul ediliyor.
Yorumumuz: Rehber, önce fotoğrafın “spesifik bir teknikle işlenmesi halinde” biyometrik veri sayılacağını belirtirken daha sonrasında bir verinin biyometrik veri olarak kabul edilebilmesi için “kişiyi tanıyabilme ya da doğrulayabilme özelliğine sahip olması” kriterinin arandığını belirtiyor.
Dolayısıyla, bu iki kriterin birlikte mi yoksa ayrı ayrı mı aranacağı konusunda bir belirsizlik oluştuğu gibi iki açıklama arasında bir çelişki olduğu da görünüyor.
Bununla birlikte, hem Rehber hem de Kurulun önceki kararları göze alındığında Kurumun, iki kriteri birlikte değerlendireceği ve biyometrik fotoğrafların özellikle kişiyi doğrulamaya yönelik işlenmediği takdirde özel nitelikli kişisel veri saymayacağı şeklinde yorum yapılabileceği kanaatindeyiz.
- Genetik Verilere Dair Açıklamalar: Rehber, GDPR’a atıf yaparak “genetik veri” kavramını “kişiden alınan örneğin biyolojik analizinden kaynaklanan, kişilerin kalıtsal ya da sonradan kazanılmış genetik özellikleriyle ilgili kişisel verisi” olarak ifade ediyor.
Rehberde dikkat çekilen husus ise genetik bir numunenin tek başına özel nitelikli kişisel veri olmadığı. Rehber, bu numunenin çeşitli işlemlere tabi tutulması sonucu bu numuneden elde edilecek bilgileri genetik veri olarak değerlendiriyor. Bu noktada, örneğin on yıl önce elde edilen bir numunenin, günümüz teknolojisi ile analizi sonucunda numune sahibi kişinin çocuklarının belirli hastalıkları taşıyabileceğine dair tespitin, genetik veri olarak kabul edileceği belirtiliyor.
Ek olarak, uygun saklama koşullarının sağlanması şartıyla DNA/RNA örneklerinden istenildiği zaman bireyin tüm genetik verilerine erişilebileceği vurgulanıyor.
Bir laboratuvara araştırma veya tanı amaçlı gönderilen her türlü doku ya da materyalden bilgi edinilebilmesi mümkün olacağından, Rehber, biyolojik örnek toplayan tüm veri sorumlularının -örneklerin elde edildiği andan itibaren- söz konusu örneklerin güvenliğini sağlamak konusunda gerekli teknik ve idari tedbirleri alması gerektiğinin altını çiziyor.
Yorumumuz: Uygulamada kan örneğinden kolaylıkla genetik veri elde edilebilmesi nedeniyle kan örneğinin tek başına genetik veri sayılıp sayılamayacağı konusunda belirsizlik bulunuyordu. Kurul kararları ve GDPR uygulamasından yaptığımız çıkarımlarla, kan örneğinin tek başına “kişisel veri” olmayacağı görüşündeydik.
Rehber açıkça “kişiden elde edilen numuneden yapılan analiz neticesindeki bilgileri” özel nitelikli kişisel veri kabul ediyor. Bununla birlikte, Rehberin bu tür numuneler için öngördüğü “gerekli teknik ve idari tedbirler” ile özel nitelikli kişisel veriler için öngörülen spesifik tedbirlere mi atıf yaptığı belirli değildir.
Kurulun bu kapsamda, koruma tedbirleri almayan -ve söz konusu numunenin üçüncü kişilerin eline geçmesine sebep olan- veri sorumlusuna özel nitelikli verilerin yeterli ölçüde korunmadığı gerekçesiyle yaptırım uygulayıp uygulamayacağı da tartışmalı olacaktır. Çünkü, bu numuneler elde etme ve analiz yapılmadan saklanma aşamasında özel nitelikli kişisel veri olarak kabul edilmemelidir.
Fakat, nitelikleri gereği bu örneklerden genetik veri elde etme imkânı bulunduğundan, bu doku örneklerinin korunması için ihtiyatlı davranılması ve yüksek seviyede önlemler alınmasının uygun olacağı her halükârda söylenebilir.
B. Özel Nitelikli Kişisel Verilerin İşlenme Şartlarına Getirilen Açıklamalar
Kanunda özel nitelikli kişisel verilerin işleme şartları sınırlı olarak düzenleniyor. Kurumun daha önceki kararlarında veya rehberlerinde belirttiklerine ek olarak, bazı işleme şartları bakımından Rehber ile daha fazla netlik kazandırıldığını ve uygulamanın detaylandırıldığını görüyoruz. Bunlar özetle şu şekilde:
- Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Zorunlu Olması İşleme Şartına Dair Ek Açıklamalar: Rehber her bir veri işleme faaliyetinde zorunluluğun tespit edilmesi ve ayrıca hakkın tesisi, kullanılması ve korunmasının sınırlarının belirlenmesi gerektiğini belirtiyor.
Ek olarak Rehber, “üçüncü tarafların” haklarının tesisi, kullanılması veya korunması için de özel nitelikli kişisel veri işleme faaliyeti gerçekleştirilebileceğini ifade ediyor. Bu hususa ilişkin verilen örnekte, çalışanların maaş ödemelerinde eş ve çocuklarına ait engellilik veya sağlık bilgileri gibi verilerin işlenmesi zorunlu olduğunda, işverenin bu işleme şartına dayanabileceği belirtiliyor.
- Sır Saklama Yükümlülüğü Altında Bulunan Kişiler veya Yetkili Kurum ve Kuruluşlarca, Kamu Sağlığının Korunması, Koruyucu Hekimlik, Tıbbi Teşhis, Tedavi ve Bakım Hizmetlerinin Yürütülmesi ile Sağlık Hizmetlerinin Planlanması, Yönetimi ve Finansmanı Amacıyla Gerekli Olması İşleme Şartına Dair Ek Açıklamalar: Esasen, Rehber, bu işleme şartının kapsamını netleştiriyor.
Bu kapsamda, “yetkili kurum ve kuruluşları” ifadesinin yalnızca kamu kurum ve kuruluşlarını değil, ayrıca sağlık hizmeti sunan gerçek kişiler ile özel hukuk tüzel kişilerini de kapsadığı belirtiliyor.
GDPR’a atıf yapılarak, kamu sağlığı ifadesinin, “sağlıkla ilgili tüm unsurlar, hastalık ve sakatlık dahil olmak üzere, sağlık bakımı ihtiyaçları, sağlık hizmetlerine tahsis edilen kaynaklar, sağlık hizmetlerinin sağlanması ve evrensel erişimi ile sağlık harcamaları ve finansmanı üzerinde etkisi olan belirleyiciler” şeklinde yorumlanması gerektiği belirtiliyor.
Örnek olarak, devlet politikası gereği zorunlu olan çocukluk çağı aşılarının aile hekimleri tarafından takip edilmesi bu işleme şartı kapsamında değerlendiriliyor.
- İstihdam, İş Sağlığı ve Güvenliği, Sosyal Güvenlik, Sosyal Hizmetler ve Sosyal Yardım Alanlarındaki Hukuki Yükümlülüklerin Yerine Getirilmesi İçin Zorunlu İşleme Şartına Dair Ek Açıklamalar: Rehber, bu işleme şartının kapsamını netleştiriyor.
Rehber “zorunluluğun” mutlaka kanundan kaynaklanması gerekmediğini; açıkça öngörülen bir yükümlülükten ya da bir yönetmelik, yönerge, tebliğ veya sözleşmeden kaynaklanabileceğini belirtiyor.
İş sağlığı ve güvenliği, sosyal hizmetler ve sosyal yardım konularına ilişkin hukuki yükümlülükleri bulunan kurum ve kuruluşların -ihtiyaçlarının tespiti, yardımların koordine edilmesi gibi- hukuki yükümlülüklerini başka türlü yerine getirebilmeleri mümkün değilse, özel nitelikli kişisel verilerin işlenmesini hukuka uygun sayıyor.
Rehber bir işçinin, toplu iş sözleşmesi çerçevesinde işin gerektirdiği farklı bir sağlık muayenesine tabi tutulmasını hukuka uygun kabul ediyor. Ayrıca, Rehber istihdam, iş sağlığı ve güvenliği gibi kavramların tanımlarına da yer veriyor.
Aynı zamanda Rehber ile 6098 sayılı Türk Borçlar Kanunu’nda yer alan “İşveren, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir. Özel kanun hükümleri saklıdır.” hükmüne de tüm iş ilişkilerine uygulanabilir olması nedeniyle dikkat çekiliyor.
Yorumumuz: Rehber, Türk Borçlar Kanunu’nda atıf verilen hükmü, işverenler açısından hukuki yükümlülük olarak kabul ediyor. Böylece işverenlerin, artık işin kendisi için -iş sözleşmesinin ifası için- gerekli olduğunu öne sürerek (örneğin, işe girişte alınan sağlık raporu ya da hastalık zamanında alınan hastalık raporunda yer alan sağlık verileri gibi) özel nitelikli kişisel verileri işleyebileceği söylenebilir.
C. Veri Sorumluları Tarafından Kanun’a Uyum İçin Yapılması Gerekenler
Kanun veri sorumluları için Kurul tarafından belirlenen yeterli önlemlerin alınması şartını öngörmüş ve bu tedbirler Kurul kararında detaylandırılmıştı. Rehber, Kurulun kararında belirttiği bu tedbirleri tekrar ediyor ve veri sorumlularının aşağıda belirtilen adımları ivedilikle atması gerektiğini vurguluyor.
- Kişisel veri işleme envanterini özel nitelikli kişisel verilerin işleme şartlarına yönelik olarak güncellenmeli ve VERBİS süreçlerine uyuma önem gösterilmelidir.
- Kanun değişikliğiyle eklenen işleme şartları nedeniyle açık rıza süreçleri yeniden düzenlenmeli ve aydınlatma metinleri güncellenmelidir.
Yorumumuz: Özellikle eskiden açık rızaya dayanılan çalışan sağlık verilerinin işlenmesi süreci artık istihdam hukuki sebebine dayanarak yapılabileceği için aydınlatma ve rıza metinlerinin buna göre yeniden düzenlenmesi gerekecektir.
- Saklama ve imha politikası güncel mevzuata göre güncellenmelidir.
- Mevzuat, rehberler ve Kurul kararlarında belirtilen veri güvenliği tedbirleri alınmalıdır.
The content and materials published on this website are provided for informational purposes only and should not be used as a legal opinion in any way. This website and the information contained are not intended to establish an attorney-client relationship.