Özel Nitelikli Kişisel Verilerin İşlenmesi

Mevzuatımızda da kişisel verilerin işlenmesi şartlarında genel ve özel nitelikli kişisel veri ayrımına gidilmiş; özel nitelikli kişisel verilerin işlenmesini daha sıkı koşullara tâbi tutulmuştur. Bu yazımızda da özel nitelikli kişisel verilerin niteliğini ve işlenme şartlarını ele alacağız.

Özel nitelikli kişisel verilerin niteliği ve hukuka aykırı bir şekilde işlenmesi halinde kişinin maruz kalacağı sonuçların daha ağır olması sebebiyle gerek 95/46 Sayılı Kişisel Verilerin İşlenmesi Direktifi gerek 108 Sayılı Avrupa Konseyi Sözleşmesi’nde ayrıca düzenlenmesi gerektiği hususu yer bulmuş olup; GDPR’da da özel nitelikli kişisel verinin işlenmesi kural olarak yasaklanmış, sayılı istisnalar getirilmiştir.

  • Özel Nitelikli Kişisel Veriler Nelerdir ?

6698 sy Kişisel Verilerin Korunması Hakkındaki Kanun’un 6. Maddesi uyarınca; Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veriler olarak tanımlanmaktadır.

Özel nitelikli kişisel veriler başkaları tarafından öğrenilmesi halinde kişilerin ayrımcılığa maruz kalmasına ve mağdur olmasına sebep olacak nitelikte kişisel veriler olup; kanunda sınırlı olarak sayılmıştır.

Özel nitelikli kişisel verilerin işlenmesi de ancak temel ilkelere ve kişisel veri şartlarına uygun bir şekilde yasada öngörülen haller dışında ilgili kişinin açık rızası ile veri işleme faaliyetine ilişkin Kurul tarafından belirlenen yeterli önlemlerin alınması halinde mümkündür.

Kişisel verilerin işlenmesi, kanunun 4. Maddesi kapsamındaki;

  • Hukuka ve dürüstlük kurallarına uygun olma,
  • Doğru ve gerektiğinde güncel olma,
  • Belirli, açık ve meşru amaçlar için işlenme,
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

İlkelerine uygun olarak gerçekleştirilmesi gerekmektedir. Genel ilkelere dair yazımızı okuyabilirsiniz.

Özel nitelikli bir verinin işlenmesi diğer şartlarını karşılıyor olsa bile genel ilkelere aykırı bir şekilde işlenmişse hukuka aykırı bir veri işlenmesi gündeme gelecektir.

  • Özel Nitelikli Kişisel Verilerin İşlenmesi Şartları Nelerdir?

Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Ancak kanunun m.6-3. fıkrası uyarınca;

  • Sağlık ve cinsel hayat dışındaki kişisel veriler kanunlarda öngörülen hallerde,
  • Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından,

İlgili kişinin açık rızası aranmaksızın işlenmesi mümkündür.

Önemle belirtmek gerekir ki özel nitelikli verilerinin işleme faaliyetinin gerçekleşmesi için Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

  • Açık rıza nedir?

İlgili kişinin, kişisel verilerinin işlenmesi hususunda bilgilendirilmesi karşılığında özgür iradesi ile vermiş olduğu onayı ifade etmektedir. Açık rıza özel nitelikli kişisel verilerinin işlenmesinin bir şartı ve işlem yasağının hukuka uygunluk nedenidir.

Açık rızanın ne olduğu ile ilgili olarak detaylı açıklamalarımızı XXX yazımızdan okuyabilirsiniz.

Kişisel verilerin işlenmesi kural olarak ilgili kişinin açık rızasına bağlıdır. Ancak yasanın 6. maddesinin 3. fıkrasında yer alan açık rızanın aranmadığı hallerde ilgili kişiden açık rızanın alınmasına gerek bulunmamaktadır.

  • Açık rıza olmaksızın hangi hallerde özel nitelikli kişisel verilerin işlenmesi mümkündür?

Özel nitelikli kişisel verilerin işlenmesi her ne kadar açık rızaya bağlanmış olsa da 6698 sy Kanun m.6-3. Fıkra uyarınca sınırlı sayılan hallerde açık rıza aranmaksızın özel nitelikli kişisel verilerin işlenmesi mümkündür.

Kanunun ilgili maddesinde açık rıza aranmaksızın işlenebilecek özel nitelikli kişisel veriler arasında sağlık ve cinsel hayata ilişkin kişisel veriler ile bunlar dışında kalan diğer özel nitelikli kişisel veri ayrıma gidilmiş; veri işleme faaliyetine ilişkin koşullar da ayrıca düzenlemiştir.

Sağlık ve Cinsel Hayat Dışında Kalan Diğer Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inanı, dini, mezhebi veya diğer inançları, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veriler olup; bu verilerin işlenmesinin kanunlarda öngörülmesi halinde ilgili kişinin açık rızası aranmaksızın işlenmesi mümkündür.

Yazarlar tarafından genel nitelikli veriler için “Kanunlarda AÇIKÇA öngörülmüş olması” gerektiği düzenlendiği halde özel nitelikli veriler için “AÇIKÇA” ifadesinin kullanılmaması eleştirilmektedir.

Bu düzenlemedeki “Kanun” ifadesinden sadece Büyük Millet Meclisi tarafından çıkartılmış yasaların değil hukukumuza göre “Kanun” gücüne sahip diğer mevzuatın da (Uluslararası anlaşmalar, Cumhurbaşkanlığı Kararnameleri vb) anlaşılması gerektiği ileri sürülmektedir.

Kanun ile getirilen düzenlemelere örnek vermek gerekir ise; 2559 sy Polis Vazife ve Salahiyat Kanunu’nun Ek 6.maddesini,  5271 sy Ceza Muhakemeleri Kanunu’nun 81. Maddesini, 2920 sy Türk Sivil Havacılık Kanunu’nun 40.maddesini ve 4857 sy İş Kanunu’nun 75.maddesini gösterebiliriz.

Bununla birlikte 6698 sy yasa ile genel nitelikli verilerin açık rıza olmaksızın işlenebilmesi için düzenlenen, sözleşmenin ifası, veri sorumlusunun meşru menfaati vb gibi istisnaların sağlık ve cinsel hayat dışında kalan özel nitelikli kişisel verilerin işlenmesi için de istisna olup olmayacağı tartışılmaktadır.

Yasanın genel nitelikli veriler ile özel nitelikli veriler arasında ayrım yaptığı dikkate alındığında, uygulanması zor bile olsa özel nitelikli veriler için genel nitelikli verilerin istisnalarını kullanmanın doğru olmayacağını düşünebiliriz.

saglik-verisi-isleme-sartlari

Sağlık Ve Cinsel Hayata İlişkin Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler kural olarak ilgili kişinin açık rızasının varlığı halinde işlenebilmektedir. Ancak;

  • Kamu sağlığının korunması,
  • Koruyucu hekimlik,
  • Tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
  • Sağlık hizmetlerinin ile finansmanının planlanması ve yönetimi amacıyla,

Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgili kişinin açık rızası aranmaksızın sağlık ve cinsel hayata ilişkin kişisel verinin işlenmesi mümkündür.

  • Açık Rıza Olmaksızın İşleme Şartları

  • Kamu sağlığının korunması

6698 sy Kanun kapsamında, kamu sağlığının korunması amacıyla sağlık ve cinsel hayata ilişkin kişisel verilerin ilgili kişinin açık rızası aranmaksızın işlenmesi mümkündür.

Kamu sağlığı, halkın sağlıklı bir toplum biçiminde yaşamasını sağlamaya dönük önlemleri de içeren sağlık hizmetini ifade etmektedir. Kamu sağlığı kapsamında eğitim politikaları geliştirilerek, araştırmalar yapılarak sağlık sorunlarının oluşmasının ve yeniden ortaya çıkmasının önlenmesi amaçlanmaktadır. Örnek vermek gerekirse kamu sağlığının korunması, buna ilişkin uygulamaların getirilmesi Sağlık Bakanlığı tarafından gerçekleştirilmektedir. Bu doğrultuda Sağlık Bakanlığı’na bağlı olmak kaydıyla sır saklama yükümlülüğü bulunan bir aile hekiminin aşı yapılması zorunluluğu bulunan ancak aşı olmayan hastanın bilgilerini kayıt altına alması kamu sağlığının korunması amacıyla hukuka uygun bir veri işleme faaliyetidir.

  • Koruyucu Hekimlik

Koruyucu hekimlik; okul aşılamaları, kronik hastaların takibi ve ilaçların düzenlenmesi, periyodik muayeneler aile planlanması, okullarda gerçekleştirilen sağlık taramaları, çevre sağlığı numune takipleri gibi hizmetleri kapsamaktadır.

Sağlık kurum ve kuruluşları tarafından gerçekleştirilen hizmetlerin kayıt altına alınması, koruyucu hekimliğin amacı ve sürdürülebilirliği gereği kaçınılmazdır. Bu sebeple gerçekleştirilen faaliyetlerde ilgili kişinin açık rızası aranmaksızın sağlık ve cinsel hayata ilişkin özel nitelikli kişisel verilerin işlenmesi mümkündür.

  • Tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi

Sağlık hizmetlerinin doğru bir şekilde yürütülmesi ve bireylerin sağlığının sağlanması için hastalığa ilişkin teşhisin ve uygulanan tedavinin işlenmesi bir zorunluluktur. Bu sebeple tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi amacıyla sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ilgili kişinin açık rızası aranmaksızın işlenebilmektedir. Örnek vermek gerekirse doktorun hastasına uyguladığı tedavileri kayıt altına alması hukuka uygun bir veri işleme faaliyetidir.

  • Sağlık hizmetlerinin ile finansmanının planlanması ve yönetimi amacı

Sağlık hizmetlerinin gereğine uygun bir şekilde yerine getirilmesi için finansmanın rutin bir şekilde planlanması ve sağlanması gerekmektedir. Bu doğrultuda sağlık hizmetini sürdürebilir kılmak için sağlık ve cinsel hayata ilişkin özel nitelikli kişisel verilerin; finansmanın planlanması amacıyla bağlı kalarak ilgili kişilerin açık rızası aranmaksızın işlenmesi mümkündür.

  • İşleme Şartları Olsa Bile Veri İşleyebilecek Sınırlı Kişiler

Kanun sağlık ve cinsel hayata ilişkin verilerin açık rıza aranmaksızın işlenmesinde sıkı bir düzenleme getirmiş; işlenmesi için gerekli şartlar oluşmuş olsa bile işleme faaliyetinin ancak sır saklama yükümlülüğü altında bulunan kişiler ya da kuruluşlar tarafından gerçekleştirilmesi halinde hukuka uygun bir veri işleme faaliyeti söz konusu olacaktır.

Burada sır saklama yükümlülüğü altında bulunan kişilerden kimin kastedildiği ise yasada açıkça belirtilmemiştir. Mevzuatımıza göre çeşitli meslek gruplarının sır saklama yükümlülükleri bulunmaktadır. Bunların başında hekimler ve sağlık görevlileri gelmekte, avukatların ve bankacıların dahi görevleri alanlarına giren konularda sır saklama yükümlülükleri bulunmaktadır.

Ancak işlenen verinin sağlık ve cinsel hayata ilişkin olması da dikkate alındığında, sır saklama yükümlülüğü dahi olsa bir avukatın görevi ile ilgili olmaksızın bu veriyi işlemesi bizce kanun ile örtüşmemektedir. Bu sebeple bu maddenin uygulamasında hekim ve diğer sağlık görevlilerini dikkate almak daha doğru olacaktır.

  • Kurul Tarafından Belirlenen Yeterli Önlemler

Özel nitelikli verilerinin işleme faaliyetinin hukuka uygun bir şekilde gerçekleşmesi için veri sorumlusunca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. Kurul’un 31.01.2018 tarihli 2018/10 sayılı özel nitelikli kişisel verilerin işlenmesinde alınması gereken önlemlere ilişkin ilke niteliğinde bir karar almış oluş bu karar 07.03.2018 tarihinde Resmî Gazetede yayımlanmıştır. Bu karar uyarınca:

  • Özel nitelikli veri işleme faaliyeti gerçekleştiren kurum ve kuruluşlar; özel nitelikli verilerin işlenmesine dair ayrı bir politika ve prosedür belirlemelidir
  • Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara 6698 sy Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmelidir.
  • Özel nitelikli kişisel veriler elektronik ortamda işleniyor ise kriptografik yöntemler kullanılarak muhafaza edilmesi gerekmektedir.
  • Özel nitelikli kişisel verilerin işlenme faaliyeti fiziksel ortamda gerçekleşiyor ise, veri sorumlusunca ortamın niteliğine göre gerekli önlemlerin alınması gerekmektedir
  • Özel nitelikli kişisel verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmalı; taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulmalı; farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmelidir.Verilerin kağıt ortamı yoluyla aktarımı söz konusu ise evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekmektedir.
  • Özel nitelikli kişisel verilerin hukuka aykırı bir şekilde işlenmesinin önlenmesi amacıyla alınan önlemler doğrultusunda veri sorumluların yukarıda yer verdiğimiz ilke kararında yer alan yükümlülükleri yerine getirmesi ve Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler alması gerekmektedir. Aksi halde Kanunun m.18/1-b bendi uyarınca idari para cezalarının uygulanması kaçınılmaz olacaktır.

Yorum Bırak

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir