Gülşah GÖKÇE Avukat / Ortak
Kübra DURMUŞ Avukat
[email protected]
27 Mart 2025
A-
A+
12.03.2024 tarihli Resmî Gazete’de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) yer alan “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6. maddede değişiklik yapılmış olup, bu değişiklik 01.06.2024 tarihinde yürürlüğe girmiştir.
Kişisel Verileri Koruma Kurumu tarafından 26.02.2025 tarihinde Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber (“Rehber”) yayımlanmıştır.
Üç bölümden oluşan Rehber’de öncelikle Kanun’da sınırlı sayma yoluyla belirlenen özel nitelikli kişisel veri kategorileri örnekler ile birlikte detaylandırılmış, sonrasında Kanun’un 6. maddesinde yer alan yeni hukuki işleme sebepleri açıklanmış ve son olarak da veri sorumluları tarafından Kanun’un yeni değişikliklerine uyum için yapılması gerekenler ele alınmıştır.
Kanun’un ilgili düzenlemeleri çerçevesinde özel nitelikli kişisel veriler, ilgili kişilerin temel hak ve özgürlüklerinin korunmasını sağlamak amacıyla özel koruma rejimine tabi tutulmuştur. Rehber’de, özel nitelikli kişisel veri kategorileri örneklendirme yapmak suretiyle detaylı şekilde ele alınmış olup aşağıda bu kategorilere ve işleme usullerine ilişkin yapılan açıklamalara yer verilmektedir.
1.1. Irk ve Etnik Köken Verileri: Rehber’de ırk ve etnik köken kavramları değerlendirildikten sonra uyruk kavramı ele alınmıştır. Buna göre, kimlik kartında yer alan uyruk bilgisinin işlenmesi "yabancı uyruklu", "T.C. vatandaşı değil" veya "diğer" gibi bilgiler özel nitelikli veri niteliğinde olmayacaktır.
1.2. Siyasi Düşünceye İlişkin Veriler: Rehber’de Siyasi düşünce kavramına ilişkin değerlendirme yapılmıştır, Rehber’de verilen örneklere göre bir kişinin siyasi parti üyeliği ya da apolitik olduğuna dair bilgiler, siyasi düşünce verisi niteliğindedir. Yüksek Seçim Kurulu ve ilgili kamu kurum kuruluşları, siyasi partiler veya bağımsız adaylar tarafından işlenen siyasi düşünceye ilişkin özel nitelikli kişisel verilerin ve bunların işlenme şartlarının Kişisel Verileri Koruma Kurumu (“KVKK”) tarafından yayımlanan “Seçim Faaliyetlerinde Kişisel Verilerin Korunması Rehberi” nde detaylı olarak açıklandığı belirtilmiştir.
1.3. Felsefi İnanç, Din, Mezhep ve Diğer İnançlara İlişkin Veriler: Rehber uyarınca, kişinin belirli bir din veya inanca sahip olup olmadığına ilişkin bilgiler, özel nitelikli kişisel veri niteliğindedir. Örneğin, işverenin bir davada çalışanın ibadet ettiği görüntüleri dava dosyasına eklemesi durumunda, özel nitelikli kişisel veri işleme faaliyeti gerçekleşmiş olacaktır. Yine, özel nitelikli kişisel veriler arasında sayılan felsefi inanç kavramına hem Anayasa’da hem de birçok yasal düzenlemede yer verildiği ve koruma altına alınmış olduğu belirtilmiştir.
1.4. Kılık ve Kıyafet Verileri: Kılık ve kıyafete ilişkin veriler, ilgili kişinin ayrımcılığa uğramaması ve temel haklarının korunması amacıyla özel nitelikli kişisel veri kapsamında değerlendirilmektedir. Rehber’de, Danıştay’ın verdiği bir karar doğrultusunda, "kot pantolon giydiği ve sakal tıraşı olmadığı" gerekçesiyle idari yaptırım uygulanmasının ayrımcılık yasağı ve eşitlik ilkesi çerçevesinde değerlendirildiği belirtilmiştir. Bu çerçevede, kişilerin kılık ve kıyafetine ilişkin bilgilerin, özel nitelikli kişisel veri olup olmadığı olay özelinde değerlendirilmeli ve Kanun’daki düzenlemenin ilgili kişinin ayrımcılığa ve menfaat ihlaline uğramasını engelleme amacı dikkate alınmalıdır.
1.5. Dernek, Vakıf ve Sendika Üyeliği Verileri: Rehber’de dernek, vakıf ve sendika üyeliği tanımlamalarına yer verilmiştir. İlgili kişinin bir sendikaya, vakfa veya derneğe üye olması hususu, özel nitelikli kişisel veri kapsamına girmektedir. Rehber’de, işverenin çalışanın sendika üyeliğine ilişkin bilgileri işlemesi, Kanun’un 6’ncı maddesi kapsamında özel nitelikli kişisel veri işleme faaliyeti olarak değerlendirilmiştir.
1.6. Sağlık ve Cinsel Hayata İlişkin Veriler: Rehber’e göre sağlık verileri, kişinin yalnızca mevcut sağlık durumunu tespit eden verilerini içermemekte, aynı zamanda hastalık ihtimalini, teşhis ve tedavi süreçlerini de kapsamaktadır. Kanun çerçevesinde, bu tür veriler yalnızca Kanun’un 6. maddesinde yer alan işleme şartları dahilinde işlenebilir.
1.7. Ceza Mahkûmiyeti ve Güvenlik Tedbirlerine İlişkin Veriler: Rehber’de mahkûmiyet, sanık ve güvenlik tedbiri tanımlarına yer verilmiştir. Ceza mahkûmiyetine ve güvenlik tedbirlerine ilişkin veriler, özel nitelikli veri olarak kabul edilmektedir. Yine, adli sicil kaydının içeriğini oluşturan kesinleşmiş mahkûmiyet hükümlerinin özel nitelikli kişisel veri kategorisinde değerlendirilebileceği belirtilmiştir. Örneğin, adli sicil kaydında yer alan mahkûmiyet kararı veya sürücü belgesinin geri alınmasına dair bilgiler, veri sorumlusu tarafından işlendiğinde, özel nitelikli kişisel veri işleme faaliyeti gerçekleşmiş olacaktır.
1.8. Biyometrik Veriler: Biyometrik verinin tanımı konusunda da GDPR’a paralel bir yaklaşım benimsenmiştir. Biyometrik verilerin özel nitelikli kişisel veri olarak kabul edilebilmesi için fizyolojik, fiziksel veya davranışsal özelliklerin belirli bir teknik işlem sonucu ortaya çıkarılması ve bu bilgilerin kişiyi tanımlamaya veya kimliğini doğrulamaya elverişli olması gerekmektedir. Rehber’de biyometri ve biyometrik veri ayrımına da yer verilmiştir. Buna göre, biyometri, insana ait fiziksel veya davranışsal özellikleri ifade etmekte iken biyometrik veriler kişiye özgü ve benzersizdir.
Rehber’de fotoğrafların biyometrik veri olup olmadığına ilişkin verilen örneklendirmede, biyometrik fotoğrafların işlenmesinin doğrudan biyometrik verinin işlenmesi olarak nitelendirilemeyeceği, bir verinin biyometrik veri kapsamında değerlendirilebilmesi için o verinin sadece o kişiyi tanımlayabilme ya da doğrulayabilme özelliğine sahip olması gerekliliği vurgulanmıştır.
1.9. Genetik Veriler: Genetik veriler GDPR’da tanımlanmış olup, kişinin fizyolojisi veya sağlığıyla ilgili eşsiz bilgiler içeren biyolojik numunelerden elde edilen verilerdir. Rehber’de bir biyolojik numunenin tek başına özel nitelikli kişisel veri niteliğinde olmadığı, ancak analiz sonucunda kişiye özgü genetik bilgilerin ortaya çıkması halinde özel nitelikli kişisel veri olarak değerlendirileceği belirtilmektedir.
Rehber’de ayrıca biyolojik örnek toplayan tüm veri sorumlularının söz konusu örneklerin güvenliğini sağlamak konusunda gerekli teknik ve idari tedbirleri alması gerektiğinin altı çizilmiştir.
Kanun uyarınca, özel nitelikli kişisel verilerin işlenmesi kural olarak yasaktır. Ancak, belirli durum ve şartlar altında, Kanun’un ilgili hükümleri çerçevesinde özel nitelikli kişisel verilerin işlenmesine izin verilmektedir. Kanun’un 6. maddesinde yapılan değişiklikler doğrultusunda, özel nitelikli kişisel verilerin işlenme şartları Rehber’de belirtilen kişisel verilerin korunması alanında AB müktesebatına uyumun sağlanması, gelişen teknolojinin getirdiği yeniliklere ve uluslararası platformlarda benimsenen yeni yaklaşımlara adaptasyonun sağlanması amaçlarıyla genişletilmiş olup, bu yeni işleme şartları Rehber’de detaylı bir şekilde açıklanmaktadır.
Bunun yanı sıra, Rehber’de işleme şartlarında geçen “zorunlu” ve “gerekli” ifadelerinin bilinçli olarak tercih edildiği ve bunların GDPR’a bakıldığında ne anlama geldiği ilk defa açıklanmıştır.
Özel nitelikli kişisel verilerin işlenmesi açısından zorunluluk kavramı, “herhangi bir alternatif yöntemin bulunmaması, dolayısıyla işleme faaliyetinin söz konusu amaç dahilinde kaçınılmaz olması” şeklinde tanımlanmıştır.
Gereklilik kavramı ise şu şekilde tanımlanmıştır: “Veri işleme faaliyetinin objektif kanıtlara dayalı olarak kişisel verilerin kullanımının gerekçelendirilmesi yolu ile her somut olay özelinde değerlendirilmesini ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile de bağlantılı olarak işlenen veri ile ileri sürülen meşru amaç arasında bir bağlantının bulunması gerektiğini ifade etmektedir."
2.1. Açık Rıza: Kanun’un 5’inci maddesinde düzenlenen genel nitelikli kişisel verilerin işlenmesine ilişkin açık rıza şartı ile benzer bir düzenleme öngörülmüştür. Ancak, açık rıza haricinde başka bir işleme şartının mevcut olması halinde, bu şartın açık rıza ile birlikte kullanılması hukuka uygunluk ve dürüstlük ilkelerine aykırılık teşkil edebilir. Dolayısıyla, açık rızanın yalnızca başka bir işleme şartının bulunmadığı durumlarda başvurulabilecek bir hukuki dayanak olduğu unutulmamalıdır. Rehber’de ayrıca açık rızanın tüm unsurları sağlansa dahi Kanun’un 4’üncü maddesinde yer alan genel ilkelere uygun olmayan şekilde alınan açık rızaların, veri işlemeyi hukuka aykırı hale getirebileceğinin altı çizilmiştir.
2.2. Kanunlarda Açıkça Öngörülme: Özel nitelikli kişisel verilerin işlenmesi, eğer bir kanun hükmü tarafından açıkça öngörülmüşse hukuka uygun kabul edilmektedir. Eğer ilgili kanun, özel nitelikli kişisel verinin işlenmesi hususunun doğrudan ikincil mevzuat (yönetmelik, tebliğ, genelge vb.) ile düzenlenmesi konusunda açıkça yetki veriyorsa, bu durumda ilgili ikincil mevzuat düzenlemeleri de özel nitelikli kişisel verilerin işlenmesine hukuki dayanak teşkil edebilecektir.
2.3. Fiili İmkânsızlık Nedeniyle Rıza Veremeyen veya Rızasına Hukuki Geçerlilik Tanınmayan Kişinin, Kendisinin ya da Bir Başkasının Hayatı veya Beden Bütünlüğünün Korunması İçin Zorunlu Olması: İlgili kişinin veya üçüncü bir kişinin hayati menfaatinin veya beden bütünlüğünün korunması amacıyla özel nitelikli kişisel verilerin işlenmesi mümkündür. Açık rızanın ilgili kişiden alınamıyor olması veya hukuken geçerli bir açık rızanın bulunmaması gerekir. GDPR’dan farklı olarak Kanun’da bu işleme şartı için “zorunlu olması” kavramı öngörülmüştür.
2.4. İlgili Kişinin Alenileştirdiği Kişisel Verilere İlişkin ve Alenileştirme İradesine Uygun Olması: Alenileştirme, ilgili kişinin kendi kişisel verilerini kamuya açıklaması anlamına gelmektedir. Bir kişinin, kamuya açık herhangi bir ortamda yer alan özel nitelikli kişisel verilerinin işlenmesi, yalnızca bu verilerin kamuya açık olması sebebiyle alenileştirme kapsamında değerlendirilemez. Bu verilerin işlenmesi ilgili kişinin alenileştirme iradesine ve alenileştirme amacına uygun olmalıdır. Alenileştirme iradesi, ilgili kişinin kişisel verilerini hangi amaç doğrultusunda kamuoyuna açıkladığını ve bu paylaşımı hangi gerekçelerle gerçekleştirdiğini ifade etmektedir.
2.5. Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Zorunlu Olması: GDPR’ın “özel nitelikli kişisel verilerin işlenmesi” başlıklı 9’uncu maddesinin ikinci fıkrasının (f) bendi de göz önünde bulundurularak düzenlenmiştir. Rehber uyarınca bu işleme şartı bakımından önemli olan nokta; hangi hakkın tesisi, kullanılması veya korunması amacıyla özel nitelikli kişisel verilerin işlenmesinin zorunlu olduğunun gerekçelendirilebilmesidir. Bir diğer önemli nokta ise GDPR’dan farklı olarak Kanun’da bu işleme şartı için “zorunlu olması” kavramı öngörülmüştür.
2.6. Sır Saklama Yükümlülüğü Altında Bulunan Kişiler veya Yetkili Kurum ve Kuruluşlarca, Kamu Sağlığının Korunması, Koruyucu Hekimlik, Tıbbi Teşhis, Tedavi ve Bakım Hizmetlerinin Yürütülmesi İle Sağlık Hizmetlerinin Planlanması, Yönetimi ve Finansmanı Amacıyla Gerekli Olması: GDPR’ın “özel nitelikli kişisel verilerin işlenmesi” başlıklı 9’uncu maddesinin ikinci fıkrasının (h) bendi de göz önünde bulundurularak düzenlenmiştir. Kanun’da, özel nitelikli kişisel verilerin ilgili hükme dayalı olarak işlenebilmesi için kişi, amaç ve durum unsurları bakımından bir sınırlama getirilmiştir. Rehber’de ayrıca “yetkili kurum ve kuruluşları” ifadesinin, yalnızca kamu kurum ve kuruluşlarını değil, bunun yanında sağlık hizmeti sunan gerçek kişiler ile özel hukuk tüzel kişilerini de kapsayacağı belirtilmiştir. Yine Rehber’de sır saklama yükümlülüğü altında bulunan kişiler açısından bütün sağlık meslekleri mensupları ve sağlık meslekleri mensubu olmasa bile sağlık hizmetinin verilmesine sorumlu olarak iştirak eden kimseler ile sağlık kurum ve kuruluşlarını kapsayacağı belirtilmiştir.
2.7. İstihdam, İş Sağlığı ve Güvenliği, Sosyal Güvenlik, Sosyal Hizmetler ve Sosyal Yardım Alanlarındaki Hukuki Yükümlülüklerin Yerine Getirilmesi İçin Zorunlu Olması: Bu işleme şartı, özel nitelikli kişisel verilerin işlenmesini zorunlu kılan hukuki yükümlülüklerin yerine getirilmesi ile ilgilidir. Rehber uyarınca, ilgili hukuki yükümlülük, doğrudan kanun hükümlerinden kaynaklanabileceği gibi yönetmelik, yönerge, tebliğ ve sözleşmelere de dayanabilir. Rehber’de 4857 sayılı İş Kanunu’nun 75’inci maddesi gereği işverenlerin çalışanlarına ait özlük dosyası düzenleme yükümlülüğünün bulunmakta olduğu, bu süreç kapsamında özel nitelikli kişisel verilerin işlenmesinin de gerekebileceği örneklendirilmiştir. Bu yeni işleme şartında bahsi geçen istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım kavramları da Rehber’de ayrıca tanımlanmıştır.
2.8. Siyasi, Felsefi, Dini Veya Sendikal Amaçlarla Kurulan Vakıf, Dernek ve Diğer Kâr Amacı Gütmeyen Kuruluş ya da Oluşumların, Tâbi Oldukları Mevzuata ve Amaçlarına Uygun Olmak, Faaliyet Alanlarıyla Sınırlı Olmak ve Üçüncü Kişilere Açıklanmamak Kaydıyla; Mevcut veya Eski Üyelerine ve Mensuplarına veyahut Bu Kuruluş ve Oluşumlarla Düzenli Olarak Temasta Olan Kişilere Yönelik Olması: Yapılan değişiklik ile, söz konusu işleme şartı GDPR’ın “özel nitelikli kişisel verilerin işlenmesi” başlıklı 9’uncu maddesinin ikinci fıkrasının (f) bendi de göz önünde bulundurularak Kanun’da ilk defa yer almıştır. Ancak, bu işleme faaliyeti, kuruluşların tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı kalmak ve üçüncü kişilere açıklanmamak kaydıyla gerçekleştirilebilir. Rehber’de, “düzenli olarak temas” kavramı da ayrıca ele alınmıştır. Buna göre, Kanun, kişisel verilerin “mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması” durumunda işleme faaliyetine izin vermektedir. Rehber’de bir kuruluşun potansiyel üyeleri, resmi olarak kuruluşa üye olmayan ortakları, bu kuruluşa katkıda bulunanlar ya da kuruluşun hizmetlerinden düzenli yararlananların da bu kapsamda değerlendirilebilmesi mümkünken, örneğin bu kuruluş ya da oluşumlara ticari amaçla mal ya da hizmet tedariki yapan kişiler bu kapsamda değerlendirilemeyeceği belirtilmiştir. Ayrıca, siyasi, felsefi, dini ve sendikal amaçlarla kurulan vakıf, dernek ile kâr amacı gütmeyen kuruluş ve oluşumlar hakkında açıklamalarda bulunulmuştur. Kanun’un “diğer kâr amacı gütmeyen kuruluş ya da oluşum” kavramı vasıtasıyla, tüm sivil toplum kuruluşlarını değil yalnızca kâr amacı gütmeyen kuruluş ve organizasyonları kapsamına dâhil etmiş olduğunun altı çizilmiştir.
Kanun kapsamında yapılan değişiklikler doğrultusunda, veri sorumlularınca Kanun’a uyum için alınması gereken aksiyonlar Rehber’de aşağıdaki şekilde yer almaktadır.
3.1. Kişisel Veri İşleme Envanterinin Güncellenmesi: Veri sorumlularının, kişisel veri işleme faaliyetlerine ilişkin süreçlerini düzenli olarak gözden geçirmesi ve güncellenen mevzuat hükümleri doğrultusunda kişisel veri işleme envanterlerini revize etmesi gerekmektedir. Özellikle, Veri Sorumluları Sicili Hakkında Yönetmelik kapsamında Veri Sorumluları Sicili’ne ("VERBİS") kayıt yükümlülüğü bulunan veri sorumlularının, envanter güncelleme işlemleri ile birlikte VERBİS kayıtlarını da uyumlu hale getirmesi zorunludur. Rehber’de VERBİS’te kayıtlı bilgilerde değişiklik meydana gelmesi halinde, bu değişikliğin meydana geldiği tarihten itibaren yedi (7) gün içerisinde bildirilmesi gerekliliği hatırlatılmıştır.
3.2. Açık Rıza Alınması Süreçlerinin Düzenlenmesi: Kanun’un 6’ncı maddesinde yapılan değişiklikler öncesinde, özel nitelikli kişisel verilerin işlenmesi için ilgili kişinin açık rızasına dayanılması gerekmekteydi. Ancak, yapılan değişiklikler ile birlikte, açık rıza dışındaki işleme şartlarının genişletilmesi nedeniyle, açık rızaya dayalı veri işleme faaliyetleri yeniden gözden geçirilmelidir. Bu kapsamda, açık rızanın artık gerekli olmadığı hallerde, ilgili süreçlerin hukuka uygun hale getirilmesi ve açık rıza metinlerinin revize edilerek meydana gelen değişiklikler hakkında ilgili kişilerin bilgilendirilmesi gerekmektedir.
3.3. Aydınlatma Metinlerinde Değişiklik Yapılması: Kanun’un 10’uncu maddesi uyarınca veri sorumluları, ilgili kişilere yönelik aydınlatma yükümlülüğünü yerine getirirken, işlenen kişisel verilerin hukuki dayanağını açıkça belirtmekle yükümlüdür. Dolayısıyla, özel nitelikli kişisel verilerin işlenme şartlarında meydana gelen değişikliklerin, aydınlatma metinlerine yansıtılması ve ilgili kişilere duyurulması büyük önem arz etmektedir. Rehber’de aydınlatma yükümlülüğünün yerine getirilmesinde ispat şartının veri sorumlusuna ait olduğu, şekil şartına ilişkin ise Kanun’da ve ikincil mevzuatta herhangi bir şart öngörülmediği ve bu sebeple en uygun yöntemin veri sorumlusu tarafından belirlenebileceği belirtilmiş olup, burada en önemli kriterin ilgili kişilerin de mutlaka bu güncellemelerden ispat edilebilir şekilde haberdar edilmesi olduğunun altı çizilmiştir.
3.4. Saklama ve İmha Politikalarının Güncellenmesi: Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale getirilmesi Yönetmeliği uyarınca VERBİS’e kayıt yükümlülüğü bulunan veri sorumluları kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür. Özel nitelikli kişisel verilerin işlenmesine ilişkin hukuki dayanaklarda meydana gelen değişiklikler doğrultusunda, veri sorumlularının saklama ve imha politikalarını da güncellemeleri gerekmektedir. Yeni işleme şartlarına uygun olarak, kişisel verilerin gereğinden uzun süre saklanmaması sağlanmalı ve saklama süreleri ile imha süreçleri belirli periyotlarla gözden geçirilmelidir.
3.5. Veri Güvenliği Tedbirlerinin Alınması: Özel nitelikli kişisel verileri işleyen veri sorumlularının ve veri işleyenlerin, kişisel verilerin güvenliğini sağlamak amacıyla yeterli idari ve teknik tedbirleri alması hukuki bir zorunluluktur. Bu çerçevede, Kişisel Verileri Koruma Kurulu’nun 31.01.2018 tarihli ve 2018/10 sayılı Kararında belirtilen “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” başlıklı düzenlemeye tam uyum sağlanmalıdır. Bunun yanı sıra, kişisel veri işleme süreçlerinde veri güvenliğini sağlamak adına alınması gereken teknik ve idari tedbirler kapsamında Kişisel Verileri Koruma Kurumu tarafından yayımlanan “Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)” dikkate alınmalıdır. Bu doğrultuda, veri işleme faaliyetlerinde yeni düzenleme de dikkate alınarak uygulanması gereken idari ve teknik tedbirler planlanarak uygulamaya konulmalıdır.
Yayınlara dön