Makale
Hassas nitelikli kişisel veriler, ihlali halinde bireylerin ayrımcılığa uğramasına ve ciddi mağduriyetler yaşamasına neden olabilecek, KVKK kapsamında sınırlı sayıda sayılmış ve özel koruma rejimine tabi tutulmuş veri türleridir. Bu verilerin işlenmesi, kural olarak yasak olup ancak kanundaki sıkı şartların varlığı halinde mümkündür.
Hassas Nitelikli Kişisel Veriler ve Hukuka Uygun İşleme Şartları
Modern hukuk sistemlerinde bireylerin temel hak ve özgürlüklerinin güvence altına alınması, kişisel verilerin korunması ile doğrudan ilişkilidir. Özellikle hassas nitelikli kişisel veriler, doğaları gereği diğer verilerden ayrılır ve çok daha sıkı bir hukuki koruma rejimini zorunlu kılar. Bireylerin ırkı, etnik kökeni, siyasi düşüncesi veya sağlık durumu gibi bilgileri barındıran bu verilerin hukuka aykırı şekilde işlenmesi, kişilerin toplum içerisinde ayrımcılığa uğrama riski ile karşı karşıya kalmasına ve telafisi güç mağduriyetler yaşamasına yol açar. Kanun koyucu, bu yüksek riski bertaraf etmek amacıyla 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında, hassas nitelikli verilerin işlenmesini kural olarak yasaklamış ve bu yasağın istisnalarını çok net kurallara bağlamıştır. Bir veri sorumlusunun bu tür verileri işleyebilmesi için yalnızca hukuki dayanak bulması yeterli olmayıp, aynı zamanda Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemleri alması da yasal bir zorunluluktur.
Hassas Nitelikli Kişisel Verilerin Kapsamı
6698 sayılı Kanun’un 6. maddesinde hassas nitelikli kişisel veriler tahdidi olarak sayılmıştır. Bu sınırlı sayım ilkesi gereği, kanunda açıkça belirtilmeyen hiçbir veri yorum yoluyla bu kapsama dâhil edilemez. Bireylerin temel haklarını koruma amacı güden bu yasal düzenleme, hangi verilerin özel bir hassasiyetle korunması gerektiğini açıkça ortaya koyar. İlgili kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri bu kategoriye dâhildir. Belirtilen bu veriler, kişinin yalnızca kendisini ilgilendiren en mahrem bilgileri olmakla kalmaz; aynı zamanda kişinin iş hayatından sosyal yaşamına kadar geniş bir yelpazede haksız muamele görme potansiyelini barındırır. Bu nedenle, kanun koyucu bu verileri genel nitelikli verilerden ayırmış ve işlenmelerini istisnai hallere bağlamıştır.
Hassas Verilerin İşlenmesinde Temel Kural ve Açık Rıza
Mevzuatımız uyarınca hassas nitelikli kişisel verilerin işlenmesinde kesin işlem yasağı kuralı geçerlidir. Bu kuralın en temel istisnası ise ilgili kişinin açık rızasının bulunmasıdır. Ancak bu açık rızanın hukuken geçerli olabilmesi için belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve tamamen özgür iradeyle verilmiş olması şarttır. Veri sorumlusu, açık rıza almadan önce ilgili kişiyi işleme amacı, aktarım yapılacak kişiler ve hukuki sebepler gibi konularda aydınlatmakla yükümlüdür. Özellikle taraflar arasında güç dengesizliğinin bulunduğu işçi-işveren ilişkisi gibi durumlarda, rızanın herhangi bir baskı veya tehdit altında kalmadan verildiğinin ispatı veri sorumlusunun üzerindedir. Aksi takdirde, torba rıza olarak adlandırılan ve muğlak ifadeler içeren genel onaylar veya hizmetin sunulmasının açık rıza şartına bağlandığı haller, hukuka aykırı kabul edilerek veri işleme faaliyetini geçersiz kılar.
Sağlık ve Cinsel Hayat Dışındaki Verilerin İşlenmesi
Sağlık ve cinsel hayat dışındaki hassas nitelikli verilerin işlenmesi, açık rıza bulunmadığı hallerde ancak kanunlarda açıkça öngörülmesi koşuluyla hukuka uygun kabul edilir. Hukukun genel ilkelerinden olan istisnalar dar yorumlanır kuralı gereğince, kanun hükmünün yoruma mahal bırakmayacak netlikte olması aranır. Bu istisnaya örnek olarak; Polis Vazife ve Salahiyet Kanunu uyarınca şüphelilerin parmak izlerinin alınması, Adli Sicil Kanunu gereği ceza mahkûmiyeti bilgilerinin işlenmesi veya İş Kanunu kapsamında işverenin çalışanlar için özlük dosyası oluşturma yükümlülüğü gösterilebilir. Kamu otoritelerine veya veri sorumlularına tanınan bu yetkiler, mutlak surette meşru ve güncel bir menfaati koruma amacı taşımalı ve demokratik hukuk devletinin gerekleriyle uyumlu şekilde, sınırları belirli olarak kullanılmalıdır.
Sağlık ve Cinsel Hayata İlişkin Verilerin İşlenmesi
Sağlık ve cinsel hayata ilişkin veriler, doğaları gereği en yüksek seviyede mahremiyet içerdiğinden diğer hassas verilerden dahi ayrı bir koruma rejimine tabi tutulmuştur. Bu verilerin açık rıza olmaksızın işlenebilmesi için kanunlarda öngörülmüş olma şartı aranmaz; bunun yerine kanunda özel olarak sayılmış amaçların ve yetkili kişilerin varlığı gereklidir. İlgili yasaya göre bu veriler yalnızca; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla işlenebilir. Üstelik bu işleme faaliyetini gerçekleştirecek kişilerin mutlak surette sır saklama yükümlülüğü altında bulunan hekimler, hemşireler veya avukatlar gibi meslek mensupları ya da kanunen yetkili kurum ve kuruluşlar olması zorunludur.
Kurul Tarafından Belirlenen Yeterli Önlemlerin Alınması
Hassas nitelikli kişisel verilerin korunmasında salt açık rızanın veya kanuni istisnaların varlığı yeterli görülmemiş, veri sorumlularına ilave güvenlik tedbirleri alma zorunluluğu getirilmiştir. Kişisel Verileri Koruma Kurulu'nun yayımladığı bağlayıcı kararlar uyarınca, veri sorumlularının bu özel nitelikli veriler için bağımsız ve sistematik bir veri güvenliği politikası oluşturması yasal bir zorunluluktur. İlgili düzenlemeler kapsamında alınması gereken başlıca teknik ve idari tedbirler şunlardır:
- Hassas verilere erişim yetkisi olan çalışanlara düzenli periyotlarla veri güvenliği eğitimleri verilmesi ve yetki kontrollerinin sağlanması.
- Elektronik ortamda tutulan verilerin standartlara uygun kriptografik yöntemler ile şifrelenmesi ve anahtarların farklı ortamlarda güvenle saklanması.
- Veriler üzerinde gerçekleştirilen tüm hareketlerin şifreli olarak loglama mekanizması ile kayıt altına alınması.
- Fiziksel ortamda saklanan evrakların hırsızlık, su baskını, yangın gibi afetlere karşı özel güvenlikli alanlarda muhafaza edilmesi.
- Veri aktarımlarında KEP adresi, kurumsal şifreli e-posta veya VPN gibi güvenli ağ bağlantılarının kullanılması.
7499 Sayılı Kanun Kapsamında Yeni Düzenlemeler
Kanun koyucu, uygulamada karşılaşılan zorlukları ve Avrupa Birliği standartlarına uyum gereksinimlerini göz önünde bulundurarak, 7499 sayılı Kanun ile hassas nitelikli verilerin işlenme şartlarında çok önemli değişikliklere imza atmıştır. 1 Haziran 2024 tarihinde yürürlüğe girecek olan bu güncellemeyle, öncelikle sağlık ve cinsel hayata ilişkin veriler ile diğer hassas veriler arasındaki ikili ayrım tamamen ortadan kaldırılarak yeknesak bir işleme rejimi oluşturulmuştur. Yeni dönemde, istihdam, iş sağlığı ve güvenliği ile sosyal güvenlik alanlarındaki hukuki yükümlülüklerin yerine getirilmesi amacıyla bu verilerin işlenmesi hukuka uygun kabul edilecektir. Ayrıca, fiili imkânsızlık nedeniyle rızasını açıklayamayan kişilerin hayatını veya vücut bütünlüğünü korumak ya da ilgili kişinin bizzat alenileştirdiği verileri alenileştirme iradesine uygun olarak işlemek gibi yeni istisnai durumlar da mevzuata dâhil edilmiştir. Bu sayede hem veri sorumlularının operasyonel süreçleri netleştirilmiş hem de veri sahiplerinin hakları çağdaş hukuk normları çerçevesinde yeniden güvence altına alınmıştır.