Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) özel nitelikli kişisel verilerin işlenmesine ilişkin 01.06.2024 tarihinde yürürlüğe giren 6. maddesine yapılan değişiklikle, özel nitelikli veri işleme şartları genişletilmiştir. Bu kapsamda, Kişisel Verileri Koruma Kurumu tarafından Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber (“Rehber”), yeni yapılan bir değişikliğe ilişkin değil, 01.06.2024 tarihinden bu yana yürürlükte olan (özel nitelikli verilere ilişkin) değişiklikler konusunda yol gösterici olması adına yayınlanmıştır.

Rehber’in; (i) 1. bölümünde özel nitelikli kişisel verilere ilişkin bilgilere, (ii) 2. bölümünde özel nitelikli kişisel verilerin işlenme şartlarına, (iii) 3. bölümünde Kanun değişikliği akabinde veri sorumlularınca yeni duruma uyum sağlanabilmesi adına yapılması gerekenler ile diğer önerilere yer verilmektedir.

  • Özel nitelikli kişisel verilere ilişkin bilgiler:

a. Kişilerin ırk ve etnik kökenine ilişkin veriler: Bu kapsamda siyahi ırk, sarı ırk, Slav, Kızılderili, Roman ve Çeçen gibi ırk ve etnik kökene ilişkin kişisel veriler özel nitelikli kişisel veriler olarak değerlendirilebilecektir.

    Üzerinde durulması gereken önemli kavram ise “uyruk” kavramıdır. Uyruk; bir devlete vatandaşlık bağı ile bağlı olma durumu olarak tanımlanmaktadır. Bununla birlikte uyruk bilgisi, Kanun’un 6. maddesindeki özel nitelikli kişisel veriler arasında yer almamaktadır. Kanun’da özel nitelikli kişisel verilerin sınırlı sayma yoluyla belirlenmesi ve kıyas yoluyla genişletilememeleri sebebiyle kimlik kartında uyruk bilgisine yer verilmesi nedeniyle bir veri sorumlusu tarafından “yabancı uyruklu”, “T.C. vatandaşı değil”, “diğer” gibi verilerin işlenmesi durumunda özel nitelikli kişisel veri işlenmiş olmayacaktır. Bu nedenle, eski tip pasaport, sürücü belgesi, nüfus cüzdanı veya öğrenci kimliği, işyeri kimliği gibi belgelerde yer alan “ülke kodu”, “uyruğu” “tabiiyeti” gibi alanlarda işlenmiş olan kişisel veriler özel nitelikli kişisel veri olarak nitelendirilemeyecektir.

    b. Kişilerin siyasi düşüncesine ilişkin veriler: Rehber’den örnek vermek gerekirse;

    “Bir kişinin siyasi parti üyeliği ya da apolitik olduğuna dair bilgiler, siyasi düşünce verisi niteliğindedir. Bununla birlikte bir kişinin sosyo-politik davranış ve tutumları da siyasi düşüncesini yansıtan hususlar olduğundan siyasi düşünce verisi kapsamındadır.”

    “Milletvekili seçimlerinde kamuoyu araştırması yapan anket şirketlerinin hazırladığı ankette; “Hangi partiyi destekliyorsunuz?” -X Partisi -Y Partisi -Hiçbiri sorusuna verilen cevap, siyasi düşünceye ilişkin özel nitelikli kişisel verinin işlenmesi olarak değerlendirilebilmektedir.”

    c. Kişilerin felsefi inancı, dini, mezhebi veya diğer inançlarına ilişkin veriler: Rehber’den örnek vermek gerekirse;

    “İşveren ile eski çalışanı arasında görülmekte olan davada, işveren tarafından işçinin ibadet ettiği görüntülerin dava dosyasında sunulması halinde, işveren tarafından özel nitelikli kişisel veri işleme faaliyetinde bulunulduğu söylenebilecektir.”

    d. Kişilerin kılık ve kıyafetine ilişkin veriler: Rehber’den örnek vermek gerekirse;

    “Danıştay 12. Dairesinin “Kamu Kurum ve Kuruluşlarında Çalışan Personelin Kılık ve Kıyafetine Dair Yönetmelik’in 5’inci maddesinin birinci fıkrasının (b) bendinde yer alan “Her gün sakal tıraşı olunur ve sakal bırakılmaz.” hükmünün iptaline ilişkin 20.04.2022 tarihli ve E. 2021/7000, K. 2022/2247 sayılı kararı incelendiğinde davacının “kot pantolon giydiği ve sakal tıraşı olmadığı” gerekçesiyle hakkında verilen disiplin cezası üzerine yukarıda belirtilen Yönetmelik’in ilgili hükmünün iptali istemine yönelik Kararında; “… İnsan hakları, bireylerin doğuştan sahip oldukları haklar oldukları için bireylerin dış görünüşleri, fiziksel özellikleri, hayat tarzı ve benzeri özellikleri nedeniyle ihlal edilmemelidir. Doğuştan, yaratılıştan gelen ya da sonradan edinilen, insanları ayırt edici bu özelliklerden dolayı diğer kişilerden daha aşağı oldukları yönünde bir algıya neden olabilecek yaptırımlar öngören her türlü hukuki uygulama, eşitsizliği ve ayrımcılığı meşrulaştıracağı” şeklinde bir değerlendirmede bulunmuş, ayrıca; … bireylerin kendilerini sakallarının uzun veya kısa olmasıyla ifade edebilecekleri …” ifadelerine yer verilmiştir.”

    e. Kişilerin dernek, vakıf ya da sendika üyeliğine ilişkin veriler: Vakıf, dernek ve sendikalara gerçek kişiler tarafından üye olunması halinde, üyelik bilgisine ilişkin veri sorumlularınca gerçekleştirilen işleme faaliyetinde Kanun’un 6. maddesi uygulama alanı bulacaktır.

    Bir işveren tarafından çalışanın sendikaya üye olduğu yönündeki bilgisinin işlenmesi halinde Kanun’un 6’ncı maddesi kapsamında özel nitelikli kişisel veri işleme faaliyetinde bulunulmuş olacaktır.”

    f. Kişilerin sağlık ve cinsel hayatına ilişkin veriler: Kanun’un uygulanması anlamında sağlık verisinin, yalnızca kişinin sağlıklı olma halini tespit eden ya da bu hale işaret eden verileri içermediği, aynı zamanda kişinin hasta olma ihtimaline işaret eden ya da hasta olma durumunu tespit eden verileri de bünyesinde barındırdığını ve temel itibarıyla kişinin gerek fiziksel gerek zihinsel gerek sosyal anlamdaki  durumunun, tıp biliminin sınırları çerçevesinde tespit edilmesine imkân sağlayan tetkik sonucu, ön teşhis, teşhis ve tedavi bilgilerini kapsadığını söylemek mümkündür. Örneğin;

    “Kişinin randevu aldığı ya da acil durumlarda başvurduğu hastane, klinik ya da birim bilgisi (05.09.2024 tarihinde saat 10.00’da A***** A***** adına oluşturulmuş psikiyatri polikliniği randevusu gibi), hekim tarafından konulan ön teşhis ve bu teşhis doğrultusunda talep edilen tetkikler ile bu tetkiklerin sonuçları, tetkikler neticesinde konulan teşhisler (kişinin sağlıklı olduğu ya da epilepsi hastası olduğu bilgisi gibi), teşhisler neticesinde uygulanacak tedavi bilgileri (reçete edilen ilaçlar ya da uygulanacak fizik tedavi işlemleri) gibi veriler sağlık verileri kapsamında değerlendirilecektir.”

    Bu hususta belirtmek gerekir ki; eski tip pasaport, sürücü belgesi, nüfus cüzdanı, işyeri kimliği gibi belgelerde yer alan kan grubu bilgisi bir sağlık verisi olması sebebiyle özel nitelikli kişisel veri niteliğini haiz olduğundan bahse konu kişisel verinin işlenmesi faaliyetinde de özel nitelikli kişisel verilerin işlenme şartlarında yer alan işleme şartlarına riayet edilmesi gerekmektedir.

    g. Kişilerin ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri: Mahkûmiyet, bir kişinin suç işlediğinin kesinleşmesi durumunda verilen ceza hükmüdür ve Ceza Muhakemesi Kanunu’nda düzenlenmiştir. Güvenlik tedbirleri ise mahkûmiyetin yerine veya ek olarak uygulanabilen, suçlunun tehlikelilik durumuna göre belirlenen yaptırımlardır. Kesinleşmiş mahkûmiyet hükümleri özel nitelikli kişisel veri olarak değerlendirilmektedir. Örneğin;

    “Adli sicil kaydında yer alan hapis cezasına ilişkin mahkûmiyet kararı, koşullu salıverilme kararı, adli para cezasına ilişkin mahkûmiyet hükmü, sürücü belgesinin geri alınması gibi kararların veri sorumlusu tarafından işlenmesi durumunda özel nitelikli kişisel veri işleme faaliyetinden söz edilebilecektir.”

    h. Kişilerin biyometrik verileri: Kişisel verilerin biyometrik veri niteliğini haiz olabilmesi için kişinin fizyolojik, fiziksel veya davranışsal özellikleri gibi ayırt edici özellikleri spesifik teknik bir işleme sonucunda ortaya çıkarılmalı ve ortaya çıkarılan özellikler kişinin kimliğini tanımlamaya yarayan ya da kişinin kimliğini doğrulayan kişisel veriler olması gerekmektedir. Kişinin parmak izi, retinası, avuç içi izi, yüzü, el şekli, irisi gibi biyometrik verileri fizyolojik nitelikli biyometrik verileri oluşturmakta iken; kişinin yürüyüş biçimi, klavyeye basış biçimi, araba sürüş biçimi gibi biyometrik verileri ise davranışsal nitelikli biyometrik verileri oluşturmaktadır. Örneğin;

    “Kurumların yüksek güvenlik gerektiren odalarına giriş ve çıkışlarda parmak izi doğrulama sisteminin kullanılması suretiyle elde edilen parmak izi verisinin işlenmesi özel nitelikli kişisel veri işleme faaliyeti olarak değerlendirilmektedir.”

    i. Kişilerin genetik verileri: Bir gerçek kişinin fizyoloji veya sağlığı ile ilgili eşsiz bilgiler sağlayan ve özellikle söz konusu gerçek kişiden alınan bir biyolojik numunenin analizinden kaynaklanan ve söz konusu kişinin kalıtım yoluyla alınan veya kazanılan özelliklerine ilişkin kişisel verilerdir.  Örneğin;

      “On yıl önce alınmış olan bir genetik numunenin, günümüz teknolojisi ile çalışılarak söz konusu numune sahibinin doğacak çocuklarının belli hastalıklara sahip olabileceğinin tespit edilmesinde, analiz sonucu ile tespit edilen bilgilerin genetik veri niteliğini haiz olduğu söylenebilecektir.”

      • Özel nitelikli kişisel verilerin işlenme şartları: Bu bölümde genişletilen özel nitelikli veri işleme şartları hakkında bilgi verilmiştir.

      a. İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması: Yapılan düzenleme gereğince maddede yer verilen alanlarda veri sorumlularınca hukuki yükümlülüklerinin yerine getirilmesi amacıyla özel nitelikli kişisel veriler, ancak zorunlu olmaları durumunda işlenebilecektir. Belirtmek gerekir ki bu zorunluluğun şekli olarak kanundan kaynaklanması gibi bir durum söz konusu değildir. İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik veya sosyal hizmetler ile sosyal yardım alanındaki hukuki yükümlülüklerin yerine getirilmesi için özel nitelikli kişisel veri işlenmesinin zorunlu olması halinde işleme faaliyetinin dayanağını oluşturan hukuki yükümlülük kavramı kanunlarda açıkça öngörülen bir yükümlülükten ya da bir yönetmelik, yönerge, tebliğ ve hatta sözleşmeden kaynaklanabilecektir. Örneğin;

        “4857 sayılı İş Kanunu’nun 75’inci maddesi çerçevesinde işverenin çalışana ait özlük dosyası düzenleme yükümlülüğü gereğince özel nitelikli kişisel verilerin işlenmesinin, Kanun’un 6’ncı maddesinin üçüncü fıkrasının (f) bendi kapsamında değerlendirilebilmesi mümkündür.”

        • İstihdam: Hizmete kabul etme; kullanma, çalıştırma şeklinde tanımlanmaktadır. Kavram tanımı itibariyle bir süreci ifade etmektedir. Bu süreç iş başvurusu ile başlamakta olup çalışmanın sonlanmasına dek devam etmektedir. Örneğin;

        “6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanunu’nun (6356 sayılı Kanun) “Tanımlar” başlıklı 2’nci maddesinin birinci fıkrasının (h) bendinde toplu iş sözleşmesi, “İş sözleşmesinin yapılması, içeriği ve sona ermesine ilişkin hususları düzenlemek üzere işçi sendikası ile işveren sendikası veya sendika üyesi olmayan işveren arasında yapılan sözleşme” olarak tanımlanmıştır. 6356 sayılı Kanun’un 36’ncı maddesinin birinci fıkrası “Toplu iş sözleşmesinde aksi belirtilmedikçe iş sözleşmeleri toplu iş sözleşmesine aykırı olamaz. İş sözleşmelerinin toplu iş sözleşmesine aykırı hükümlerinin yerini toplu iş sözleşmesindeki hükümler alır. Toplu iş sözleşmesinde iş sözleşmelerine aykırı hükümlerin bulunması hâlinde ise iş sözleşmesinin işçi yararına olan hükümleri geçerli olduğunu, ikinci fıkrası ise sona eren toplu iş sözleşmesinin iş sözleşmesine ilişkin hükümleri yenisi yürürlüğe girinceye kadar iş sözleşmesi hükümleri geçerlidir.” şeklinde düzenleme altına alınmıştır. Bu çerçevede bir toplu iş sözleşmesi çerçevesinde işçilerin işin gerektireceği farklı sağlık muayenelerine tabi tutulmaları bu bent kapsamında mümkün olabilecektir.”

        • İş Sağlığı ve Güvenliği: İş sağlığı ve güvenliği (“İSG”) işyerinde işin yürütülmesi sırasında çeşitli nedenlerden kaynaklanan sağlığa zarar verebilecek koşullardan korunmak ve mevcut sağlık ve güvenlik şartlarının iyileştirilmesi için yapılan sistemli ve bilimsel çalışmalardır. İSG, çalışanların sağlık ve güvenliğinin en üst seviyede tutulmasını, üretimin veya hizmetin devamlılığını ve işletmenin acil durumlara karşı hazırlıklı olmasını hedeflemekte ve odağına en önemli değer olan insanı koymaktadır. Örneğin;

        “Karayolu Taşıma Yönetmeliği’nin “Şoförlerde aranacak nitelik ve şartlar” başlıklı 34’üncü maddesine göre; yönetmelik kapsamındaki taşıtları kullanan şoförlerin uyuşturucu, silah, insan ve gümrük kaçakçılığı ile terör suçlarından dolayı hürriyeti bağlayıcı ceza almamış olmaları ve şoförlük mesleği bakımından bedeni ve psiko-teknik açıdan sağlıklı olduklarını gösteren bir sağlık raporunu, yetkili sağlık kuruluşlarından her beş yılda bir almaları şarttır. Dolayısıyla Yönetmelik kapsamındaki araçları kullanacak şoförlerin ceza mahkumiyeti ve sağlık verilerinin işlenmesi bu bent kapsamında değerlendirilebilecektir.”

        • Sosyal Güvenlik: Sosyal güvenlik, insanların gelirlerine bakılmaksızın toplum huzurunu ve refahını bozan sosyal tehlikelerin verdiği zararlardan “insan hakkı” ve esas itibariyle de “devlet görevi” olarak primli ya da primsiz sistemlerin kullanılması, kişilerin sosyal tehlikelerin zararlarından kurtarılma güvencesi anlamına gelmektedir. Örneğin;

        “Sosyal Güvenlik Kurumu Sigortalı İşe Giriş Bildirgesinde, “Sigortalı İş Kanunu’nun 30 uncu maddesine göre çalıştırılıyorsa” seçimlik olarak “Eski hükümlü” veya “Engelli” seçeneklerinden birinin işaretlenmesi gerekmekte olup bu kapsamda özel nitelikli kişisel veriler, söz konusu bildirge vasıtasıyla veri sorumlusu işveren tarafından işlenebilecektir. Sosyal Hizmetler: Sosyal hizmetler, 2828 sayılı Sosyal Hizmetler Kanunu’nun “Tanımlar” başlıklı 3’üncü maddesinin (a) bendinde; “Kişi ve ailelerin kendi bünye ve çevre şartlarından doğan veya kontrolleri dışında oluşan maddi, manevi ve sosyal yoksunluklarının giderilmesine ve ihtiyaçlarının karşılanmasına, sosyal sorunlarının önlenmesi ve çözümlenmesine yardımcı olunmasını ve hayat standartlarının iyileştirilmesi ve yükseltilmesini amaçlayan sistemli ve programlı hizmetler bütünü” şeklinde tanımlanmıştır.”

        “Sağlık Bakanlığı tarafından 01.03.2019 tarihinde yayımlanan Diyaliz Merkezleri Hakkında Yönetmelik’in 35’inci maddesi gereğince diyaliz hastalarına sunulan sağlık kuru luşuna taşıma hizmetinin yerine getirilebilmesi için kişinin sağlık raporunda yer alan özel nitelikli kişisel verinin, taşıma hizmetini sunan veri sorumlusu tarafından işlenmesi bu bent kapsamında değerlendirilebilecektir.”

        • Sosyal Yardım: Sosyal yardım, Sosyal Yardım Verilerinin Kaydedilmesine ve Paylaşılmasına İlişkin Yönetmelik’in “Tanımlar” başlıklı 4’üncü maddesinin (p) bendinde; “İhtiyaç sahibi hanelere ve kişilere; muhtaçlıkları nedeniyle tek taraflı karşılıksız olarak ve/veya kamu hizmetlerine katılım, geri ödeme gibi bir edimi yerine getirme şartına/şartlarına dayalı olarak yapılan ayni ve nakdi yardımlar” şeklinde tanımlanmıştır. Örneğin;

        “Bir sosyal yardım derneğinin doğal afet neticesinde uzuvlarını kaybeden kişilerin protez ihtiyaçlarını karşılamak adına bağış kampanyaları açabilmek için kişilerin sağlık raporlarını işlemesi faaliyeti bu bent kapsamında değerlendirilebilecektir.”

        b. İlgili kişinin açık rızasının olması: Kanun’a göre açık rızanın varlığı halinde özel nitelikli kişisel veriler işlenebilmektedir. Kanun’un 6. maddesinde de 5. maddesinde olduğu gibi açık rıza ve diğer hukuki işleme sebepleri arasında hiyerarşik bir fark bulunmamaktadır. Belirtmek gerekir ki eğer, açık rıza dışında bir işleme şartı varsa kişisel veri işleme şartı olarak diğer şartla açık rızanın birlikte kullanılmaması gerekmektedir. Zira başka bir veri işleme şartı mevcut iken açık rızaya başvurulmuş ise bu hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil edebilecektir.

        c. Kanunlarda açıkça öngörülmesi: Özel nitelikli kişisel verinin işlenmesiyle ilgili herhangi bir kanunda açık bir hüküm varsa veya ikincil mevzuata açıkça yönlendirme yapılmışsa, bu durumda özel nitelikli kişisel verilerin işlenmesi mümkün olabilecektir. Örneğin;

        “5490 sayılı Nüfus Hizmetleri Kanunu gereği, ilgili kişiye pasaport ya da sürücü belgesi tahsis edilmesi esnasında nüfus müdürlüklerince ilgili kişinin parmak izinin alınması ile gerçekleştirilen kişisel veri işleme faaliyeti, kanunlarda açıkça öngörülme hukuka uygunluk nedeni kapsamındadır.”

        “6458 sayılı Yabancılar ve Uluslararası Koruma Kanunu’nun 121’inci maddesinde, bu Kanunun uygulanmasına ilişkin usul ve esasların yönetmeliklerle belirleneceği düzenlenmiştir. Bu kapsamda çıkarılan Yabancılar ve Uluslararası Koruma Kanununun Uygulanmasına İlişkin Yönetmelik’in “Kişisel verilerin alınması ve saklanması” başlıklı 124’üncü maddesinde “parmak izi, avuç içi izi, retina, ses taraması” gibi biyometrik verilerin Göç İdaresi Başkanlığı tarafından nasıl işleneceğine ilişkin usul ve esaslar düzenlenmiştir. Bu kapsamda işlenen özel nitelikli kişisel verilerin, “kanunlarda açıkça öngörülme” işleme şartına uygun olarak işlenmiş olduğu değerlendirilebilecektir.”

        d. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması: Özel nitelikli kişisel veriler, ilgili kişinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için işlenmesinin zorunlu olduğu hallerde, ilgili kişinin açık rızası olmaksızın işlenebilmektedir. Burada ilgili kişinin veya üçüncü bir kişinin hayati menfaatinin korunması söz konusudur. Örneğin;

        “Deprem nedeniyle enkaz altında kalan ve bilinci yerinde olmayan bir kişinin daha önce geçirmiş olduğu hastalıklar ve kan grubuna ilişkin bilginin, kişinin yakınları tarafından sağlık görevlisi olmayan kurtarma ve ilk yardım ekipleri ile paylaşılması Kanun’a uygun bir işleme faaliyeti olarak değerlendirilebilecektir.”

        e. İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması: Kanun’da yapılan değişiklikle, özel nitelikli kişisel verilerin işlenmesi için yeni bir hukuka uygunluk nedeni öngörülmüştür. Buna göre ilgili kişi tarafından alenileştirilen özel nitelikli kişisel veriler, alenileştirme iradesine uygun olmak koşuluyla işlenebilecektir. Diğer bir ifadeyle özel nitelikli kişisel verilerin bu hükme dayanarak işlenebilmesi için ilgili kişinin kişisel verilerini alenileştirmiş olması yeterli olmayacak, veri sorumlusunun bu verileri işlerken ilgili kişinin alenileştirme iradesi doğrultusunda hareket etmesi gerekecektir. Dolayısıyla, bir kişinin kamuya açık herhangi bir alanda yer alan özel nitelikli kişisel verilerinin işlenmesi bu kapsamda kabul edilmemelidir. Aynı zamanda ilgili kişinin iradesiyle bu özel nitelikli kişisel veriyi alenileştirmiş olması beklenmektedir. Örneğin;

        “Bir gerçek kişi tarafından acil durumlarda kullanılmak üzere, “kan grubu” bilgisinin sürücüsü olduğu motorlu taşıtın ya da bisikletinin herkes tarafından görülebilir bir bölümüne yazdırılması halinde, bu kişisel veri ancak ilgili kişinin alenileştirme iradesi ve amacı doğrultusunda acil durumların varlığı halinde işlenebilecektir. İlgili kişinin alenileştirme iradesi ve amacına aykırı olarak verisinin işlenmesi hukuka uygun kabul edilmeyecektir.”

        f. Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması: İş sözleşmesinin sona ermesinden sonra açılması muhtemel davalarda savunma hakkının kullanılması bakımından işverenin eski işçisine ait sağlık verilerini saklamaya devam etmesinin bu kapsamda değerlendirileceği, yine engelli bir kişinin özel tüketim vergisinden muaf özel donanımlı araç almak hakkından yararlanabilmesi için engelliliğine ilişkin sağlık raporlarının vergi dairesi tarafından edinilmesi ve bu belgelerde yer alan özel nitelikli kişisel verilerin işlenmesinin de bu bent kapsamında değerlendirileceği şeklindeki örneklerin verildiği görülmektedir. Örneğin;

        “Çalışanların maaş ödemelerinde eş ve çocuklarına ait engellilik veya sağlık bilgileri gibi özel nitelikli kişisel verilerin işlenmesinin zorunluluk arz ettiği durumlarda, işveren tarafından bu verilerin işlenmesi de bir hakkın tesisi kapsamında değerlendirilebilecektir.”

        “Bir avukatın müvekkilinin hakkını başka bir biçimde tesis etmesinin mümkün olmadığı durumlarda hukuka uygun olarak elde edilmiş özel nitelikli kişisel verileri dava dosyası kapsamında mahkemeye sunması somut olay bazında hukuka uygun bir işleme sebebi olarak değerlendirilebilecektir. Bir diğer önemli husus ise Kanun’un lafzında “zorunlu” ifadesinin kullanılmasıdır. Bu kapsamda her veri işleme faaliyetinde zorunluluğun tespit edilmesi, ayrıca hakkın tesisi, kullanılması ve korunmasının sınırlarının belirlenmesi gerekmektedir. Burada, hakkın tesisi, kullanılması ve korunması açısından herhangi bir alternatif yöntemin bulunmaması, dolayısıyla işleme faaliyetinin söz konusu amaç dahilinde zorunlu olması kastedilmektedir.”

        g. Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülme si ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması: Özel nitelikli kişisel verilerin ilgili hükme dayalı olarak işlenebilmesi için kişi, amaç ve durum unsurları bakımından bir sınırlama getirilmiştir. Bu kapsamda, işleme faaliyetinin sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olduğu durumlarda gerçekleştirilebileceği düzenlenmiştir. Yetkili kurum ve kuruluşları ifadesinin, yalnızca kamu kurum ve kuruluşlarını değil, bunun yanında sağlık hizmeti sunan gerçek kişiler ile özel hukuk tüzel kişilerini de kapsayacağının belirtilmesinde fayda görülmektedir. Bütün sağlık meslekleri mensupları ve sağlık meslekleri mensubu olmasa bile sağlık hizmetinin verilmesine sorumlu olarak iştirak eden kimseler ile sağlık kurum ve kuruluşları mahremiyet ve gizlilik esaslarına uymakla yükümlü tutulmuştur. Öte yandan, Kanun’un 6’ncı maddesi kapsamında özel nitelikli kişisel verilerin, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca işlenebilmesinden bahsedebilmek için söz konusu işleme faaliyetinin kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla gerçekleştirmesi gerektiğinin de belirtilmesinde fayda görülmektedir. Örneğin;

        “Devlet politikası gereği yapılması zorunlu tutulan çocukluk çağı aşılarının aile hekimleri tarafından takip edilmesi, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması amacıyla özel nitelikli kişisel veri niteliğini haiz sağlık verilerinin işlenmesi kapsamında değerlendirilebilecektir.”

        h. Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması: Rehber’den örnek vermek gerekirse;

        “Bir siyasi parti tarafından engelli bir üyenin oy kullanabilmesi için, söz konusu kişiye tekerlekli sandalye temin edilmesi amacıyla engellilik durumuna ilişkin sağlık verisi işlenmesi bu madde kapsamında değerlendirilebilecektir.”

        “Çalıştığı üretim işletmesinde iş kazası geçiren kişinin bağlı olduğu sendikanın, üyelerinin iş sağlığı ve güvenliğinin korunması kapsamında sürecin takibi için işçinin sağlık verilerini işlemesi bu bent kapsamında değerlendirilebilecektir.

        • Veri Sorumlularınca Kanun’a Uyum İçin Yapılması Gerekenler:

        Rehber’de bahse konu değişiklik kapsamında:

        • Kişisel veri işleme envanterinin güncellenmesi,
          • Açık rıza alınması süreçlerinin düzenlenmesi,
          • Aydınlatma metinlerinde değişiklik yapılması,
          • Saklama ve imha politikasının güncellenmesi,
          • Veri güvenliği tedbirlerinin alınması hususlarını gözden geçirilmesi önerilmektedir.

        Rehber’i detaylı incelemek isterseniz, Rehber’e aşağıdaki linkten ulaşabilirsiniz:

        https://kvkk.gov.tr/SharedFolderServer/CMSFiles/70f95c73-06a2-44dc-81e9-34201bdd7f5c.pdf

        Konular hakkında sorunuz olursa, bizimle irtibata geçebilirsiniz.

        Batuhan Şahmay
        Ortak | [email protected]
        Özlem Özdemir Yılmaz
        Kıdemli Avukat | [email protected]
        Oğuzhan Yorulmaz
        Avukat | [email protected]