Anasayfa/ Makale/ Hassas Nitelikli Kişisel Veriler ve Hukuka Uygun İşleme Şartları

Hassas Nitelikli Kişisel Veriler ve Hukuka Uygun İşleme Şartları

Hassas nitelikli kişisel veriler, ihlali halinde bireylerin ayrımcılığa uğramasına ve ciddi mağduriyetler yaşamasına neden olabilecek, KVKK kapsamında sınırlı sayıda sayılmış ve özel koruma rejimine tabi tutulmuş veri türleridir. Bu verilerin işlenmesi, kural olarak yasak olup ancak kanundaki sıkı şartların varlığı halinde mümkündür.
search
7 dk okuma Yayınlanma: Güncelleme:
AÇIK RIZA HASTA HAKLARI KVKK TEHDİT

Modern hukuk sistemlerinde bireylerin temel hak ve özgürlüklerinin güvence altına alınması, kişisel verilerin korunması ile doğrudan ilişkilidir. Özellikle hassas nitelikli kişisel veriler, doğaları gereği diğer verilerden ayrılır ve çok daha sıkı bir hukuki koruma rejimini zorunlu kılar. Bireylerin ırkı, etnik kökeni, siyasi düşüncesi veya sağlık durumu gibi bilgileri barındıran bu verilerin hukuka aykırı şekilde işlenmesi, kişilerin toplum içerisinde ayrımcılığa uğrama riski ile karşı karşıya kalmasına ve telafisi güç mağduriyetler yaşamasına yol açar. Kanun koyucu, bu yüksek riski bertaraf etmek amacıyla 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında, hassas nitelikli verilerin işlenmesini kural olarak yasaklamış ve bu yasağın istisnalarını çok net kurallara bağlamıştır. Bir veri sorumlusunun bu tür verileri işleyebilmesi için yalnızca hukuki dayanak bulması yeterli olmayıp, aynı zamanda Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemleri alması da yasal bir zorunluluktur.

Hassas Nitelikli Kişisel Verilerin Kapsamı

6698 sayılı Kanun’un 6. maddesinde hassas nitelikli kişisel veriler tahdidi olarak sayılmıştır. Bu sınırlı sayım ilkesi gereği, kanunda açıkça belirtilmeyen hiçbir veri yorum yoluyla bu kapsama dâhil edilemez. Bireylerin temel haklarını koruma amacı güden bu yasal düzenleme, hangi verilerin özel bir hassasiyetle korunması gerektiğini açıkça ortaya koyar. İlgili kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri bu kategoriye dâhildir. Belirtilen bu veriler, kişinin yalnızca kendisini ilgilendiren en mahrem bilgileri olmakla kalmaz; aynı zamanda kişinin iş hayatından sosyal yaşamına kadar geniş bir yelpazede haksız muamele görme potansiyelini barındırır. Bu nedenle, kanun koyucu bu verileri genel nitelikli verilerden ayırmış ve işlenmelerini istisnai hallere bağlamıştır.

Hassas Verilerin İşlenmesinde Temel Kural ve Açık Rıza

Mevzuatımız uyarınca hassas nitelikli kişisel verilerin işlenmesinde kesin işlem yasağı kuralı geçerlidir. Bu kuralın en temel istisnası ise ilgili kişinin açık rızasının bulunmasıdır. Ancak bu açık rızanın hukuken geçerli olabilmesi için belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve tamamen özgür iradeyle verilmiş olması şarttır. Veri sorumlusu, açık rıza almadan önce ilgili kişiyi işleme amacı, aktarım yapılacak kişiler ve hukuki sebepler gibi konularda aydınlatmakla yükümlüdür. Özellikle taraflar arasında güç dengesizliğinin bulunduğu işçi-işveren ilişkisi gibi durumlarda, rızanın herhangi bir baskı veya tehdit altında kalmadan verildiğinin ispatı veri sorumlusunun üzerindedir. Aksi takdirde, torba rıza olarak adlandırılan ve muğlak ifadeler içeren genel onaylar veya hizmetin sunulmasının açık rıza şartına bağlandığı haller, hukuka aykırı kabul edilerek veri işleme faaliyetini geçersiz kılar.

Sağlık ve Cinsel Hayat Dışındaki Verilerin İşlenmesi

Sağlık ve cinsel hayat dışındaki hassas nitelikli verilerin işlenmesi, açık rıza bulunmadığı hallerde ancak kanunlarda açıkça öngörülmesi koşuluyla hukuka uygun kabul edilir. Hukukun genel ilkelerinden olan istisnalar dar yorumlanır kuralı gereğince, kanun hükmünün yoruma mahal bırakmayacak netlikte olması aranır. Bu istisnaya örnek olarak; Polis Vazife ve Salahiyet Kanunu uyarınca şüphelilerin parmak izlerinin alınması, Adli Sicil Kanunu gereği ceza mahkûmiyeti bilgilerinin işlenmesi veya İş Kanunu kapsamında işverenin çalışanlar için özlük dosyası oluşturma yükümlülüğü gösterilebilir. Kamu otoritelerine veya veri sorumlularına tanınan bu yetkiler, mutlak surette meşru ve güncel bir menfaati koruma amacı taşımalı ve demokratik hukuk devletinin gerekleriyle uyumlu şekilde, sınırları belirli olarak kullanılmalıdır.

Sağlık ve Cinsel Hayata İlişkin Verilerin İşlenmesi

Sağlık ve cinsel hayata ilişkin veriler, doğaları gereği en yüksek seviyede mahremiyet içerdiğinden diğer hassas verilerden dahi ayrı bir koruma rejimine tabi tutulmuştur. Bu verilerin açık rıza olmaksızın işlenebilmesi için kanunlarda öngörülmüş olma şartı aranmaz; bunun yerine kanunda özel olarak sayılmış amaçların ve yetkili kişilerin varlığı gereklidir. İlgili yasaya göre bu veriler yalnızca; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla işlenebilir. Üstelik bu işleme faaliyetini gerçekleştirecek kişilerin mutlak surette sır saklama yükümlülüğü altında bulunan hekimler, hemşireler veya avukatlar gibi meslek mensupları ya da kanunen yetkili kurum ve kuruluşlar olması zorunludur.

Kurul Tarafından Belirlenen Yeterli Önlemlerin Alınması

Hassas nitelikli kişisel verilerin korunmasında salt açık rızanın veya kanuni istisnaların varlığı yeterli görülmemiş, veri sorumlularına ilave güvenlik tedbirleri alma zorunluluğu getirilmiştir. Kişisel Verileri Koruma Kurulu'nun yayımladığı bağlayıcı kararlar uyarınca, veri sorumlularının bu özel nitelikli veriler için bağımsız ve sistematik bir veri güvenliği politikası oluşturması yasal bir zorunluluktur. İlgili düzenlemeler kapsamında alınması gereken başlıca teknik ve idari tedbirler şunlardır:

  • Hassas verilere erişim yetkisi olan çalışanlara düzenli periyotlarla veri güvenliği eğitimleri verilmesi ve yetki kontrollerinin sağlanması.
  • Elektronik ortamda tutulan verilerin standartlara uygun kriptografik yöntemler ile şifrelenmesi ve anahtarların farklı ortamlarda güvenle saklanması.
  • Veriler üzerinde gerçekleştirilen tüm hareketlerin şifreli olarak loglama mekanizması ile kayıt altına alınması.
  • Fiziksel ortamda saklanan evrakların hırsızlık, su baskını, yangın gibi afetlere karşı özel güvenlikli alanlarda muhafaza edilmesi.
  • Veri aktarımlarında KEP adresi, kurumsal şifreli e-posta veya VPN gibi güvenli ağ bağlantılarının kullanılması.

7499 Sayılı Kanun Kapsamında Yeni Düzenlemeler

Kanun koyucu, uygulamada karşılaşılan zorlukları ve Avrupa Birliği standartlarına uyum gereksinimlerini göz önünde bulundurarak, 7499 sayılı Kanun ile hassas nitelikli verilerin işlenme şartlarında çok önemli değişikliklere imza atmıştır. 1 Haziran 2024 tarihinde yürürlüğe girecek olan bu güncellemeyle, öncelikle sağlık ve cinsel hayata ilişkin veriler ile diğer hassas veriler arasındaki ikili ayrım tamamen ortadan kaldırılarak yeknesak bir işleme rejimi oluşturulmuştur. Yeni dönemde, istihdam, iş sağlığı ve güvenliği ile sosyal güvenlik alanlarındaki hukuki yükümlülüklerin yerine getirilmesi amacıyla bu verilerin işlenmesi hukuka uygun kabul edilecektir. Ayrıca, fiili imkânsızlık nedeniyle rızasını açıklayamayan kişilerin hayatını veya vücut bütünlüğünü korumak ya da ilgili kişinin bizzat alenileştirdiği verileri alenileştirme iradesine uygun olarak işlemek gibi yeni istisnai durumlar da mevzuata dâhil edilmiştir. Bu sayede hem veri sorumlularının operasyonel süreçleri netleştirilmiş hem de veri sahiplerinin hakları çağdaş hukuk normları çerçevesinde yeniden güvence altına alınmıştır.

İşverenim rıza metnini imzalamazsan işe almam diyor, bu yasal mı? expand_more
KVKK kapsamında hassas nitelikli kişisel verilerin işlenebilmesi için kural olarak açık rızanızın tamamen özgür iradenizle verilmiş olması şarttır. İşçi ve işveren arasındaki gibi güç dengesizliğinin bulunduğu durumlarda, rızanın herhangi bir baskı veya tehdit altında kalmadan verildiğinin ispatı veri sorumlusu olan işverene aittir. Bir işe alım sürecinin veya hizmetin sunulmasının genel ifadeler içeren bir "torba rıza" şartına bağlanması hukuka aykırıdır ve alınan onay geçersiz sayılır. Dolayısıyla işvereninizin bu yöndeki bir dayatması yasal düzenlemelere açıkça aykırılık teşkil etmektedir.
Hastalığım veya cinsel hayatımla ilgili bilgileri kimler görebilir? expand_more
Sağlık ve cinsel hayata ilişkin verileriniz, doğaları gereği en yüksek seviyede mahremiyet barındırdığından mevzuatımızda diğer hassas verilerden dahi ayrı ve daha katı bir koruma rejimine tabidir. Bu verilerin sizin açık rızanız bulunmaksızın işlenebilmesi; yalnızca kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis ve tedavi hizmetlerinin yürütülmesi gibi çok özel amaçlarla mümkündür. Üstelik söz konusu işleme faaliyetlerini sadece sır saklama yükümlülüğü altında bulunan hekimler, hemşireler, avukatlar gibi meslek mensupları ya da kanunen yetkili kurumlar gerçekleştirebilir. Bu dar istisnalar dışında söz konusu verilerinizin herhangi bir kişi veya kurum tarafından erişilmesi hukuka aykırıdır.
Kişisel verilerimi toplayan yerler bunları çalınmaya karşı nasıl koruyor? expand_more
Kişisel Verileri Koruma Kurulu'nun kararları uyarınca, veri sorumlularının hassas verileriniz için bağımsız ve sistematik bir veri güvenliği politikası oluşturmaları yasal bir zorunluluktur. Elektronik ortamda tutulan verilerinizin standartlara uygun kriptografik yöntemlerle şifrelenmesi ve veriler üzerindeki tüm işlemlerin loglama mekanizması ile kayıt altına alınması gerekmektedir. Aynı zamanda, fiziksel ortamdaki evrakların afet ve hırsızlık risklerine karşı özel güvenlikli alanlarda muhafaza edilmesi, ağ bağlantılarının ise KEP veya VPN gibi güvenli yollarla sağlanması şarttır. Veri işleyen kurumlar sadece rıza almakla kalamaz, bu idari ve teknik koruma tedbirlerini eksiksiz olarak yerine getirmekle mükelleftir.
Sosyal medyamda anlattığım sağlık durumumu herkes kullanabilir mi? expand_more
1 Haziran 2024 tarihinde yürürlüğe giren 7499 sayılı Kanun değişikliği ile bu husus özel bir istisnaya bağlanmış ve veri sahiplerinin hakları çağdaş hukuk normları çerçevesinde güvence altına alınmıştır. Yeni düzenlemeye göre, sağlık durumunuza ilişkin bir veriyi eğer siz bizzat alenileştirdiyseniz, söz konusu veriler yalnızca sizin alenileştirme iradenize uygun bir şekilde işlenebilir. Yani, kamuya açık bir alanda paylaştığınız mahrem bir bilgi, sırf internette yer alıyor gerekçesiyle şirketler tarafından keyfi veya farklı ticari amaçlarla kullanılamaz. Hukuken veri sorumlularının işlemi, sizin söz konusu bilgiyi paylaşma gayenizle katı bir biçimde sınırlandırılmıştır.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir