Ajanda

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN REHBER YAYIMLANDI

27.02.2025

 

Anımsanacağı üzere, özel nitelikli kişisel verilerin işlenme şartlarının oldukça sınırlı sayıda tutulması ile sağlık ve cinsel hayata ilişkin veriler ile diğer özel nitelikli kişisel verilerin işlenmesine ilişkin dayanak oluşturan veri işleme şartları arasındaki farklar bakımından uygulamada önemli sorunlara yol açan 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun1 (“Kanun”) “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6’ncı madde hükümleri, Kanun’un hazırlık sürecinde esas alınan fakat Kanun’un yürürlüğe girmesini takiben iki yıl sonra yürürlükten kaldırılan 95/46/EC sayılı Direktif’in2 yerini alan, her geçen gün gelişen teknoloji ve dijitalleşme ile ticari hayatın dinamikliğinin doğurduğu ihtiyaçları nazara alırken ilgili kişilere verileri üzerinde daha fazla kontrol hakkı tanıyan 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü3 (“GVKT”) ile uyum sağlanması amacıyla 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun4 ile değiştirilmiş ve anılan değişiklikler (“Değişiklik”) 1 Haziran 2024 tarihinde yürürlüğe girmişti.

Değişiklik ile özel nitelikli kişisel veri kategorileri arasındaki ayrım kaldırılmış olup yeni işleme şartları tesis edilmişti. Bu çerçevede, Kişisel Verileri Koruma Kurumu (“Kurum”), veri sorumlularının özel nitelikli kişisel veri işleme faaliyetlerini Kanun’a uygun şekilde yerine getirmeleri amacıyla yol gösterici olması adına Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber’i5 (“Rehber”) 26 Şubat 2025 tarihinde yayımlamıştır. Rehber’in birinci bölümünde özel nitelikli kişisel veri kategorilerine ilişkin bilgilere, ikinci bölümünde özel nitelikli kişisel verilerin işlenme şartlarına ve üçüncü bölümünde ise, Değişiklik akabinde veri sorumlularınca Kanun’a uyum sağlanabilmesi adına yapılması gerekenler ile diğer önerilere yer verilmiş olup söz konusu bölümler doğrultusunda Rehber’de öne çıkan hususlar aşağıda paylaşılmaktadır:

A. Özel Nitelikli Kişisel Veri Kategorileri Bakımından:

  • Kanun’un 6’ncı maddesinde düzenlenen özel nitelikli kişisel veri kategorilerinin (i) ırk, (ii) etnik köken, (iii) siyasi düşünce, (iv) felsefi inanç, din, mezhep veya diğer inançlar, (v) kılık ve kıyafet, (vi) dernek, vakıf ya da sendika üyeliği, (vii) sağlık, (viii) cinsel hayat, (ix) ceza mahkumiyeti ve güvenlik tedbirleri ile ilgili veriler ile (x) biyometrik ve (xi) genetik veriler ile sınırlı olduğu ve kıyas yoluyla genişletilmesinin mümkün olmadığı vurgulanmıştır.
  • Irk ve etnik köken özel nitelikli veri kategorisi bakımından siyahi ırk, sarı ırk, Slav, Roman ve benzeri ırk ve etnik köken verilerinin özel nitelikli kişisel veri kapsamında değerlendirilebileceği ve Türk Dil Kurumu tarafından “bir devlete vatandaşlık bağı ile bağlı olma durumu” olarak tanımlanan “uyruk” bilgisinin ise Kanun’un 6. maddesinde sayılmaması dolayısıyla özel nitelikli kişisel veri kapsamında değerlendirilmeyeceği belirtilmiştir.
  • Siyasi düşünce özel nitelikli veri kategorisi bakımından Kanun ve GVKT kapsamında “siyasi düşünce” kavramına özel bir tanım getirilmediği ancak bir siyasi partiye destek verilmesi veya reddedilmesi gibi faaliyetlerin bu kapsamda değerlendirilebileceği açıklanmıştır.
  • Felsefi inanç, din, mezhep veya diğer inançlar özel nitelikli veri kategorisi bakımından kişilerin inançlarına yönelik tercihlerini belirli ya da belirlenebilir kılacak kişisel verilerin özel nitelikli kişisel veri kategorisine dahil olduğu ve ilgili verilerin yalnızca belirli bir din veya inanca mensubiyetini değil herhangi bir dine veya inanca sahip olmama durumunu da kapsadığı belirtilmiştir.
  • Kılık ve kıyafet özel nitelikli veri kategorisi bakımından uluslararası düzenlemelerde “kılık” ve “kıyafet”e dair özel bir düzenleme bulunmadığı ancak, söz kavramların genellikle birbirleriyle örtüşecek şekilde kullanıldığından özel nitelikli kişisel verilerin işlenmesine yönelik düzenlemelerin amacının bireylerin ayrımcılığa uğramalarını ve menfaat ihlallerine maruz kalmalarını engellemek olduğu vurgulanarak somut olay özelinde değerlendirme yapılması gerektiği ifade edilmiştir.
  • Dernek, vakıf ve sendika üyeliğine dair özel nitelikli veri kategorileri bakımından ilgili üye bilgileri ile gerçekleştirilecek veri işleme faaliyetlerinin Kanun’un 6’ncı maddesi çerçevesinde özel nitelikli kişisel veri işleme faaliyeti olarak kabul edileceğine yer verilmiş ve bir işverenin, çalışanın sendikaya üyeliğiyle ilgili verileri işlemesi durumunda özel nitelikli kişisel veri işleme faaliyetinin gerçekleşeceği örneklendirilmiştir.
  • Sağlık ve cinsel hayata dair özel nitelikli veri kategorileri bakımından sağlık verisinin kişinin sağlıklı olma haline ilişkin verilerin yanı sıra kişinin hastalığına ilişkin verileri de içerdiği ve dolayısıyla kişinin fiziksel, zihinsel ve sosyal durumunu tespit etmeye yönelik tıbbi bilgilerin, ön teşhis, teşhis ve tedavi bilgilerinin de sağlık verisi kapsamında değerlendirileceği belirtilmiştir. Eski tip pasaport, sürücü belgesi, nüfus cüzdanı, işyeri kimliği ve benzeri belgelerde yer alan kan grubu bilgisinin de sağlık verisi olarak özel nitelikli kişisel veri niteliği taşıyarak Kanun'un 6’ncı maddesinde yer alan işleme şartlarına uygun olarak işlenmesi gerektiği vurgulanmıştır. Cinsel hayat verisinin kişinin cinsel aktiviteleri ile ilişkilerini ifade edilerek cinsel aktivitelere dair elde edilen bilgilerin özel nitelikli kişisel veri olarak kabul edildiğine değinilmiştir.
  • Ceza mahkumiyeti ve güvenlik tedbirlerine dair özel nitelikli veri kategorisi bakımından adli sicil kaydında yer alan hapis cezası, koşullu salıverilme kararı, adli para cezası veya sürücü belgesinin geri alınması ve benzeri verilerin işleme faaliyetine konu olduğu hallerin özel nitelikli kişisel veri işleme faaliyeti olarak kabul edileceği belirtilmiştir.
  • Biyometrik veriye dair özel nitelikli veri kategorisi bakımından kişinin parmak izi, retinası, avuç içi izi, yüzü, el şekli ve irisi ve benzeri veriler fizyolojik nitelikli biyometrik veriler olarak sınıflandırılırken yürüyüş biçimi, klavyeye basış şekli ve araba sürüş tarzı gibi veriler davranışsal nitelikli biyometrik veriler olarak sınıflandırılacağı ifade edilmiştir. Fotoğrafların işlenmesinin tek başına biyometrik veri işlenmesi olarak nitelendirilemeyeceği ancak fotoğrafların kişiyi benzersiz bir şekilde tanımlamaya veya kimliğini doğrulamaya olanak sağlayan belirli teknik yöntemle işlenmesi halinde söz konusu verilerin biyometrik veri olarak değerlendirileceği belirtilmiştir.
  • Genetik veriye dair özel nitelikli veri kategorisi bakımından genetik bir numunenin tek başına özel nitelikli kişisel veri niteliğini haiz olmadığı ancak, söz konusu numuneden çeşitli işlemler sonucunda elde edilecek bilgilerin genetik veri olarak değerlendirilebileceği ifade edilmiştir.

B. Özel Nitelikli Kişisel Verilerin İşlenme Şartları Bakımından:

  • Değişiklik ile birlikte (i) özel nitelikli kişisel veri kategorileri arasındaki işleme şartlarına yönelik ayrımın kaldırıldığı, (ii) yeni işleme şartlarının eklendiği, (iii) özel nitelikli kişisel verilerin işlenmesinin kural olarak yasak olduğu hükmünün muhafaza edildiği, (iv) açık rıza ile diğer işleme şartları arasında hiyerarşik bir farkın mevcut olmadığına ilişkin anlayışın kabul edildiği ve (v) özel nitelikli kişisel verilerin açık rıza olmaksızın işlenemeyeceği yönündeki hükmün kaldırıldığı belirtilmiştir.
  • Kişisel verilerin işlenmesinde her hal ve şartta Kanun’un 4’üncü maddesinde sayılan genel ilkelere uyulmasının hukuki bir gereklilik olduğu vurgulanmış ve maddede yer alan bentlerde “zorunlu” ve “gerekli” ifadelerinin bilinçli olarak tercih edildiği belirtilmiştir.
  • Bu kapsamda gereklilik ifadesi, (i) veri işleme faaliyetinin objektif kanıtlara dayalı şekilde kişisel verilerin kullanımının gerekçelendirilmesi yolu ile her somut olay özelinde değerlendirilmesi ve (ii) “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” genel ilkesi ile bağlantılı olarak işlenen veri ile ileri sürülen meşru amaç arasında bir bağlantı bulunması olarak açıklanmıştır. Zorunluluk ifadesi ise, öznel bir değerlendirmeye dayanmayıp özel nitelikli kişisel veri işleme faaliyetini mecbur bırakan kamusal ve toplumsal şartların arandığı kısacası kaçınılmaz olarak nitelendirilebilecek bir durum olarak ifade edilmiştir.
  • Rehber’de işleme şartları bakımından dikkat çekilen hususlar aşağıda özetlenmiştir:
  • İlgili kişinin açık rızasının olması: (i) Açık rıza ve diğer hukuki işleme sebepleri arasında hiyerarşik bir fark bulunmadığı, (ii) açık rıza dışında bir işleme şartı varsa kişisel veri işleme şartı olarak diğer şartla açık rızanın birlikte kullanılmaması gerektiği ve (iii) açık rızanın tüm unsurları sağlansa dahi Kanun’un 4’üncü maddesindeki genel ilkelere uygun olmayan şekilde alınan açık rızaların veri işlemeyi hukuka aykırı hale getirebileceği belirtilmiştir.
  • Kanunlarda açıkça öngörülmesi: (i) Kanun’un 6’ncı maddesinde yapılan değişiklikle “kanunlarda öngörülme” veri işleme şartına, Kanun’un 5’inci maddesiyle uyumlu olması adına “açıkça” ibaresinin eklenmiş olduğu ve (ii) özel nitelikli kişisel verilerin işlenmesiyle ilgili herhangi bir kanunda açık bir hüküm varsa veya ikincil mevzuata açıkça yönlendirme yapılmışsa özel nitelikli kişisel verilerin işlenmesinin mümkün olabileceği ifade edilmiştir.
  • Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması: Söz konusu işleme şartının ancak ilgili kişinin fiili imkansızlık nedeniyle veya hukuki olarak rızasına geçerlilik tanınmayan durumlarda geçerli olduğu, diğer bir ifadeyle, açık rızanın ilgili kişiden alınamıyor olması veya hukuken geçerli bir açık rızanın bulunmaması gerektiği belirtilmiştir.
  • İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması: Değişiklik ile yeni bir hukuka uygunluk nedeni olarak öngörülen ilgili bende dayanarak özel nitelikli kişisel verilerin işlenebilmesi için ilgili kişinin kişisel verilerinin alenileştirmiş olmasının yeterli olmayacağı, söz konusu verilerin yalnızca ilgili kişinin alenileştirme iradesi doğrultusunda işlenebileceği belirtilmiştir.
  • Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması: İlgili bent kapsamında hangi hakkın tesisi, kullanılması veya korunması amacıyla özel nitelikli kişisel verilerin işlenmesinin zorunlu olduğunun gerekçelendirilebilmesinin önemli olduğu belirtilmiştir. Ayrıca, işverenin çalışanların maaş ödemelerinde eş ve çocuklarına ait engellilik veya sağlık bilgileri ve benzeri özel nitelikli kişisel verilerini işlemesinin zorunluluk arz ettiği durumlar örnek verilerek üçüncü tarafların da haklarının tesisi, kullanılması veya korunması için aynı veri işleme şartına dayanılarak veri işleme faaliyeti gerçekleştirilebileceği belirtilmiştir.
  • Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması: Özel nitelikli kişisel verilerin ilgili hükme dayalı olarak işlenebilmesi için kişi, amaç ve durum unsurları bakımından bir sınırlama getirilerek söz konusu verilerin sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca işlenebilmesinden bahsedebilmek için ilgili işleme faaliyetinin kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla gerçekleştirmesi gerektiği ifade edilmiştir. Bu kapsamda ayrıca sağlık hukuku mevzuatına atıfta bulunularak, bütün sağlık meslekleri mensupları ve sağlık meslekleri mensubu olmasa bile sağlık hizmetinin verilmesine sorumlu olarak iştirak eden kimseler ile sağlık kurum ve kuruluşlarının, ilgili veri işleme şartı çerçevesindeki sır saklama yükümlülüğüne tabi kişi ve kuruluşlar olduğu açıklığa kavuşturulmuştur.
  • İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması: Özel nitelikli kişisel veriler bakımından yeni bir işleme şartı ihdas edilmiş olup maddede yer verilen alanlarda veri sorumlularınca hukuki yükümlülüklerinin yerine getirilmesi amacıyla özel nitelikli kişisel verilerin ancak zorunlu olmaları durumunda işlenebileceği ve ilgili bendin varlığının işverenlerin çalışanlar ile ilgili sınırsız şekilde veri işlemeleri sonucunu doğurmayacağına dikkat edilmesi gerektiği belirtilmiştir. İlaveten, ilgili veri işleme şartında anılan “istihdam” kavramı bir süreç olarak tanımlanarak söz konusu sürecin iş başvurusu ile başlamakta olup çalışmanın sonlanmasına dek devam ettiği belirtilmektedir.
  • Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması: Kanun’un 6’ncı maddesinde yapılan değişiklik sonrası veri sorumluları açısından yaşanan ve yaşanabilecek zorlukların Kanun’un belirlediği sınırlar çerçevesinde giderilmeye çalışıldığı; siyasi, felsefi, dini veya sendikal faaliyetler yürütmek üzere kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların özel nitelikli kişisel verilerin ancak (i) tabi oldukları mevzuata ve amaçlarına uygun olarak, (ii) faaliyet alanlarıyla sınırlı olarak ve (iii) üçüncü kişilere açıklanmamak suretiyle işlenebileceğinin düzenleme altına alındığı ifade edilmiştir.

C. Değişiklik Akabinde Veri Sorumlularınca Kanun’a Uyum Sağlanabilmesi Adına Yapılması Gerekenler Bakımından:

  • Kişisel veri işleme envanterinin güncellenmesi: Veri sorumlularının özel nitelikli kişisel veri işleme süreçlerindeki işleme şartlarının Kanun’un 6’ncı maddesinde yapılan değişiklikler doğrultusunda değişmesi durumunda, kişisel veri işleme envanterinin ve bu doğrultuda oluşturulan Veri Sorumluları Sicili kayıtlarının güncellenmesi gerektiği belirtilmiştir.
  • Açık rıza alınması süreçlerinin düzenlenmesi: Kanun’un 6’ncı maddesinde yapılan değişiklik öncesinde ilgili kişilerin açık rızasına dayanılarak işlenen özel nitelikli kişisel verilerin, yapılan değişiklikle birlikte Kanun’un 6’ncı maddesinde belirtilen diğer kişisel veri işleme şartlarına dayanılarak işlenmesini gerektirecek bir husus bulunması halinde, açık rıza veri işleme şartına başvurulmasının hukuka ve dürüstlük ilkesine aykırılık teşkil edebileceği de vurgulanarak özel nitelikli kişisel verilerin işlenmesinde artık ilgili kişinin açık rızasına dayanılmayacaksa mevcut açık rıza metinlerinin güncellenmesi ve getirilen değişiklikler ile sonuçları hakkında ilgili kişilere bilgi verilmesi gerektiği ifade edilmiştir.
  • Aydınlatma metinlerinde değişiklik yapılması: Değişiklik sonrası özel nitelikli kişisel verilerin işleme şartlarında bir farklılık olması halinde, söz konusu farklılığın aydınlatma metinlerine yansıtılarak güncellenen aydınlatma metinlerinin ilgili kişilere bildirilmesi gerektiği belirtilmiştir.
  • Saklama ve imha politikasının güncellenmesi: Kanun değişikliğine uyum sağlanabilmesi adına özel nitelikli kişisel verilerin işleme şartının değişmesi durumunda yeni veri işleme şartı kapsamında gerekenden daha farklı süre ile özel nitelikli kişisel verilerin tutulmamasının sağlanması adına saklama ve imha politikalarının gözden geçirilmesi gerektiği vurgulanmıştır.
  • Veri Güvenliği Tedbirlerinin Alınması: Özel nitelikli kişisel verilerin işlenmesi esnasında, “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulu’nun 31.01.2018 tarihli ve 2018/10 sayılı kararında belirtilen önlemlerin uygulanmaya devam edilmesi gerektiği vurgulanmıştır.

Rehber’e buradan ulaşabilirsiniz.

 

NAZALI VERGI & HUKUK

info@nazali.com

Yukarıda yer verilen açıklamalarımız, hukuki görüş ve tavsiye niteliğinde olmayıp, konuya ilişkin genel bilgiler içermektedir; bu sebeple belirtilen konularda bir aksiyon almadan önce, bir uzmana danışmanızı tavsiye ederiz. NAZALI’ya işbu dokümanın içeriğinden kaynaklanan veya içeriğine ilişkin olarak ortaya çıkan sonuçlardan dolayı herhangi bir sorumluluk iddiasında bulunulamaz.

 

1 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu.

2 European Parliament and Council Directive 95/46/EC of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (OJ L 281, 23.11.1995, p. 31).  

3 General Data Protection Regulation (GDPR), “Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016," Official Journal of the European Union.

4 16 Şubat 2024 tarihinde TBMM’ye sunulan Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Teklifi ve gerekçesi. 

5 26 Şubat 2025 tarihinde Kişisel Verileri Koruma Kurumu tarafından yayımlanan Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber.