17 Nov Özel Nitelikli Kişisel Veri
İçindekiler
Özel Nitelikli Kişisel Verilerin Tanımı
Özel nitelikli kişisel veriler, öğrenilmesi halinde ilgili kişinin mağdur olmasına ya da ayrımcılığa maruz kalmasına neden olabilecek nitelikteki verilerdir. Bu nedenle diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir.
Özel nitelikli kişisel veriler 6698 Sayılı Kişisel Verileri Koruma Kanunu’nda (“Kanun”), sınırlı sayma yoluyla belirlenmiştir. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Dolayısıyla özel nitelikli kişisel veriler kıyas yoluyla genişletilemez.
Kanun, özel nitelikli kişisel veriler arasında da bir ayrım yapmıştır. Buna göre sağlık ve cinsel hayata ilişkin kişisel verilerin işlenmesi ile bunlar dışındaki özel nitelikli kişisel verilerin, açık rıza olmaksızın işlenebileceği haller farklı düzenlenmiştir.
Kanuna göre, özel nitelikli kişisel verilerin işlenmesi, ilgili kişinin açık rızası dışında sadece aşağıdaki hallerde mümkündür:
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hallerde,
- Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından
işlenebilir.
Özel Nitelikli Kişisel Veriler ile İlgili Kurul Kararları
Öncelikle özel nitelikli kişisel verilerin kapsamını belirleyen bir karara bakalım. Kurul 04/06/2021 tarihli ve 2021/549 sayılı kararı ile bir işletmenin girişinde ilgili kişinin açık rızası olmaksızın ateş ölçümü yapılmasının Kanun’a uygunluğunu değerlendirmiştir.
Kurul normal şartlarda kişilerin ateş ölçümünün özel nitelikli kişisel veri olduğunu değerlendirmiştir. Ancak ölçümlerin kayıt altına alınmaması ve kişinin başkaca verisiyle eşleştirilememesi değerlendirildiğinde verinin özel nitelikli kişisel veri olarak değerlendirilemeyeceği kanaatine varmıştır. Çünkü bu veriler herhangi bir veri kayıt sisteminin parçası olarak işlenmediği için ve sadece girişte kontrol amaçlı gerçekleşmesi sebebiyle Kanun kapsamında bir kişisel veri işleme faaliyetinden söz etmek mümkün değildir.
Burada ilk bakışta sağlık verisinin uygunsuz işlenmesi sebebiyle bir ihlal kararı çıkacağı düşünülse de her faaliyeti değerlendirirken sorulması gereken iki soru mevcuttur.
- Bu faaliyet Kanun kapsamında bir veri işleme faaliyeti midir?
- Bu işlenen veri Kanun kapsamında bir kişisel veri midir?
Eğer bu sorulardan birinin cevabı hayır ise bu faaliyet/veri Kanun kapsamında değerlendirilmemektedir.
Burada özel nitelikli kişisel verinin kapsamını belirlerken yol gösterici olarak gösterebileceğimiz diğer bir karar ise Kurul’un 24/11/2020 tarihli ve 2020/899 sayılı kararıdır. Bu kararı ile Kurul özel nitelikli kişisel verileri tanımlarken numerus clausus (sınırlı sayı) ilkesine bağlılığını göstermiştir. Bu karar ile Kurul ceza mahkumiyeti verisinden bahsedebilmek için kesinleşmiş bir mahkumiyet kararının bulunması gerektiğini ve yargılaması devam eden kişiye ait bu bilginin özel nitelikli kişisel veri olmadığı kanaatine varmıştır. Bir kişinin ceza kovuşturmasında sanık olduğu bilgisi bir özel nitelikli kişisel veri olmamakla beraber, halen bir kişisel veri oluşturduğunu unutmamamız gerekir.
Özel nitelikli kişisel veriler sınırlı sayıda sayılmış olmakla beraber sağlık ve biyometrik veri kategorileri bu sınırlı sayı yaklaşımını biraz genişletmektedir. Kanun hangi verilerin sağlık veya biyometrik veri olduğunu sınırlı sayıda sayarak belirtmemiştir. Kanun bu bilgileri listeleyerek Kurul’un alacağı kararlarda elini bağlamak ve listenin güncelliğini yitirmesi tehlikesini göze almak istememiştir. Örnek olarak Kurul, 07.07.2022 tarihli ve 2022/662 sayılı kararında el geometrisi verisinin biyometrik veri olduğuna ve açık rıza olmaksızın işlenemeyeceğine karar vermiştir. Danıştay’ın 15. Dairesi’nin 2014/4562 E. sayılı kararına atıf yapan Kurul, ilgili kararda el geometrisinin de biyometrik yöntemlerden sayıldığını belirtmiştir.
Özel nitelikli kişisel verilerden bahsederken yazımızın başında daha sıkı bir şekilde korunmaları gereğinden bahsettik. Kurul bu durumun üzerinde gösterdiği hassasiyeti 06/08/2021 tarihli ve 2021/761 sayılı kararı ile göstermiştir. Bu kararı ile Kurul veri sorumlusunu bünyesindeki çalışanların tereddütte kalmadan takip edebilecekleri sistemli, kuralları net, yönetilebilir ve sürdürülebilir ayrı bir politika hazırlaması, çalışanlarının kişisel verilerin korunması uyum çalışmaları kapsamında eğitim alması, bu eğitimde özel nitelikli kişisel verilerle muhatap olan personelinin kişisel verilerin işlenmesinde yetki kapsamlarına açıkça yer verilmesi hususlarında talimatlandırmıştır. Ayrıca otomasyon sisteminin erişim loglarının görüntüleme işlemi de dâhil olmak üzere tutulması, yetki matrisinin net bir şekilde ortaya konulması ve çıktı alınması konusunda belirli prosedürlerin ayrıca yetkili personelin belirlenmesi hususunda veri sorumlusunun talimatlandırılmasına, bu çerçevede kişisel verilerin korunması hususunda verilen tüm talimatlara ilişkin yapılan işlemlerin sonucundan Kurula bilgi verilmesine karar vermiştir.
Özel Nitelikli Kişisel Veriler İçin Alınması Gereken Tedbirler
Özel nitelikli kişisel verilerin işlenmesi için alınması gereken tedbirler mevcuttur. Kişisel Verileri Koruma Kurulu (“Board”) verdiği kararlar ile alınması gereken tedbirleri listelemiştir. Öncelikle 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı ile Kurul çalışanlara, verilerin muhafaza edildiği fiziksel/elektronik ortama ve veriler aktarılacaksa aktarıma yönelik tedbirler getirmiştir. Bu tedbirler ek tedbir olarak değerlendirilmekte ve her halde Kişisel Veri Güvenliği Rehberinde yer alan teknik ve idari tedbirlere uyulmalıdır.
Unutulmamalıdır ki Kurul için özel nitelikli kişisel verilerin güvenliği sadece erişimi olmaması gereken insanlara aktarılmasını önlemekten ibaret değildir. Veri sorumlularının bu verilerin doğruluğundan da emin olması gerekmektedir. Çünkü bu verilerin doğru olmaması veya kaybolması da ilgili kişilerin haklarını ihlal edebilmektedir.
Kanun’un 6. maddesinin (4) numaralı fıkrasında, “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmü yer almaktadır.
Bu çerçevede özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken yeterli önlemler Kurul tarafından aşağıdaki şekilde belirlenmiştir:
1- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,
2- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,
a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
b) Gizlilik sözleşmelerinin yapılması,
c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,
3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise
a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,
4- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise
a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,
b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,
5- Özel nitelikli kişisel veriler aktarılacaksa
a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.
6- Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.
Konuyla ilgili daha fazla bilgi almak için bize buradan ulaşabilirsiniz.
