Bu bilgi notu, kişisel verilerin korunması alanında çalışan değerli meslektaşlarım ve sevgili öğrenciler için, güncel mevzuat çerçevesinde hazırlanan rehberin bilgi notu formatına uyarlanmış halidir. Kişisel verilerin korunmasına yönelik farkındalığın artırılmasında eğitim temel bir unsur olmakla birlikte, güvenilir bilgi paylaşımı da bu sürece önemli katkılar sunmaktadır.

Bu doğrultuda, not içerisinde yer alan bilgiler ilgili rehberden derlenmiş olup, okuyucuların konu hakkında bilinçlenmesini ve doğru uygulamaları hayata geçirmesini amaçlamaktadır. Daha ayrıntılı bilgilere rehberden ulaşabilirsiniz. Konuyla ilgili katkı sağlamak veya görüşlerinizi paylaşmak isterseniz aşağıya yorumlara ekleyebilirsiniz.

A. REHBER

Kişisel Verileri Koruma Kurumu’nun (“Kurum”) özel nitelikli kişisel veriler ve işlenme şartlarına ilişkin bakış açısının gerek veri sorumluları gerek de ilgili kişilerin dikkatine sunulması amacıyla Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber (“Rehber”) hazırlanmıştır.

1. Rehberin İçeriği nedir?

Rehberin, birinci bölümünde özel nitelikli kişisel verilere ilişkin bilgilere, ikinci bölümünde özel nitelikli kişisel verilerin işlenme şartlarına, üçüncü bölümünde 7499 sayılı Kanun ile gerçekleştirilen kanun değişikliği akabinde veri sorumlularınca yeni duruma uyum sağlanabilmesi adına yapılması gerekenler ile diğer önerilere yer verilmiştir.

2. Madde 6’nın değişme nedeni nedir?

6698 Sayılı Kişisel Verileri Koruma Kanunu (“Kanun”) madde 6’da özel nitelikli kişisel veriler düzenlenmektedir. 12.03.2024 tarihli Resmî Gazete’de yayımlanan Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun (7499 sayılı Kanun) ile anılan maddede değişiklik yapılmış olup bu değişiklik 01.06.2024 tarihinde yürürlüğe girmiştir.

Uygulamada yaşanan sorunlar dikkate alınarak kişisel verilerin korunması alanında Avrupa Birliği (AB) müktesebatına uyum sağlanması, kamu kurum ve kuruluşları ile özel sektör temsilcilerinin talepleri, gelişen teknolojinin getirdiği yeniliklere ve uluslararası platformlarda benimsenen yeni yaklaşımlara adaptasyonun sağlanması değişiklik yapılmış olup bu değişiklik 01.06.2024 tarihinde yürürlüğe girmiştir.

3. Kanun değişikliğinin sonuçları neler olmuştur?

- Sağlık ve cinsel hayata ile ilgili veriler ve diğer hassas veriler olarak yapılan ayrım kaldırılmıştır.

- Hassas verilere yeni işleme şartları ihdas edilmiştir.

- Özel nitelikli kişisel verilerin işlenmesinin kural olarak yasak olduğu hükmü muhafaza edilmiştir.

- Tüm özel nitelikli kişisel veriler için geçerli olacak şekilde işleme şartları yeniden düzenlenmiş ve yeni işleme şartları öngörülerek sayıları arttırılmıştır.

- Açık rıza ile diğer işleme şartları arasında hiyerarşik bir farkın mevcut olmadığı kabul edilmiştir.

- Özel nitelikli kişisel verilerin açık rıza olmaksızın işlenemeyeceği hükmü kaldırılmıştır.

B. ÖZEL NİTELİKLİ KİŞİSEL VERİLER

1. Kurum’un Bakış Açısına İlişkin Örnekler

Rehber aracılığıyla Kurum’un özel nitelikli verilere ilişkin bakış açısını gördüğümüz bazı örnekler ise aşağıda yer verilmiştir.

i. Irk ve etnik köken:

Kanun’da özel nitelikli kişisel verilerin sınırlı sayma yoluyla belirlenmesi ve kıyas yoluyla genişletilememeleri sebebiyle kimlik kartında uyruk bilgisine yer verilmesi nedeniyle bir veri sorumlusu tarafından “yabancı uyruklu”, “T.C. vatandaşı değil”, “diğer” gibi verilerin işlenmesi durumunda özel nitelikli kişisel veri işlenmiş olmayacaktır. Bu nedenle, eski tip pasaport, sürücü belgesi, nüfus cüzdanı veya öğrenci kimliği, işyeri kimliği gibi belgelerde yer alan “ülke kodu” “uyruğu” “tabiiyeti” gibi alanlarda işlenmiş olan kişisel veriler özel nitelikli kişisel veri olarak nitelendirilemeyecektir. Bu verilerin işlenmesi hususunda veri sorumluları tarafından Kanun’un 5’inci maddesinde yer alan işleme şartları göz önünde bulundurulmalıdır.

ii. Siyasi düşünce:

Bir kişinin siyasi parti üyeliği ya da apolitik olduğuna dair bilgiler, siyasi düşünce verisi niteliğindedir. Bununla birlikte bir kişinin sosyo-politik davranış ve tutumları da siyasi düşüncesini yansıtan hususlar olduğundan siyasi düşünce verisi kapsamındadır.

Milletvekili seçimlerinde kamuoyu araştırması yapan anket şirketlerinin hazırladığı ankette; “Hangi partiyi destekliyorsunuz?” -X Partisi -Y Partisi -Hiçbiri sorusuna verilen cevap, siyasi düşünceye ilişkin özel nitelikli kişisel verinin işlenmesi olarak değerlendirilebilmektedir.

iii. Felsefi inancı, dini, mezhebi veya diğer inançları:

İşveren ile eski çalışanı arasında görülmekte olan davada, işveren tarafından işçinin ibadet ettiği görüntülerin dava dosyasında sunulması halinde, işveren tarafından özel nitelikli kişisel veri işleme faaliyetinde bulunulduğu söylenebilecektir.

iv. Kılık ve kıyafet:

Danıştay 12. Dairesinin “Kamu Kurum ve Kuruluşlarında Çalışan Personelin Kılık ve Kıyafetine Dair Yönetmelik”in 5’inci maddesinin birinci fıkrasının (b) bendinde yer alan “Her gün sakal tıraşı olunur ve sakal bırakılmaz.” hükmünün iptaline ilişkin 20.04.2022 tarihli ve E. 2021/7000, K. 2022/2247 sayılı kararı incelendiğinde davacının “kot pantolon giydiği ve sakal tıraşı olmadığı” gerekçesiyle hakkında verilen disiplin cezası üzerine yukarıda belirtilen Yönetmelik’in ilgili hükmünün iptali istemine yönelik Kararında; “… İnsan hakları, bireylerin doğuştan sahip oldukları haklar oldukları için bireylerin dış görünüşleri, fiziksel özellikleri, hayat tarzı ve benzeri özellikleri nedeniyle ihlal edilmemelidir. Doğuştan, yaratılıştan gelen ya da sonradan edinilen, insanları ayırt edici bu özelliklerden dolayı diğer kişilerden daha aşağı oldukları yönünde bir algıya neden olabilecek yaptırımlar öngören her türlü hukuki uygulama, eşitsizliği ve ayrımcılığı meşrulaştıracağı” şeklinde bir değerlendirmede bulunmuş, ayrıca; … bireylerin kendilerini sakallarının uzun veya kısa olmasıyla ifade edebilecekleri ...” ifadelerine yer verilmiştir.

v. Dernek, vakıf ya da sendika üyeliği:

Bir işveren tarafından çalışanın sendikaya üye olduğu yönündeki bilgisinin işlenmesi halinde Kanun’un 6’ncı maddesi kapsamında özel nitelikli kişisel veri işleme faaliyetinde bulunulmuş olacaktır.

vi. Sağlık ve cinsel hayatı:

Kişinin randevu aldığı ya da acil durumlarda başvurduğu hastane, klinik ya da birim bilgisi (05.09.2024 tarihinde saat 10.00’da A***** A***** adına oluşturulmuş psikiyatri polikliniği randevusu gibi), hekim tarafından konulan ön teşhis ve bu teşhis doğrultusunda talep edilen tetkikler ile bu tetkiklerin sonuçları, tetkikler neticesinde konulan teşhisler (kişinin sağlıklı olduğu ya da epilepsi hastası olduğu bilgisi gibi), teşhisler neticesinde uygulanacak tedavi bilgileri (reçete edilen ilaçlar ya da uygulanacak fizik tedavi işlemleri) gibi veriler sağlık verileri kapsamında değerlendirilecektir.

Bu hususta belirtmek gerekir ki; eski tip pasaport, sürücü belgesi, nüfus cüzdanı, işyeri kimliği gibi belgelerde yer alan kan grubu bilgisi bir sağlık verisi olması sebebiyle özel nitelikli kişisel veri niteliğini haiz olduğundan bahse konu kişisel verinin işlenmesi faaliyetinde de Kanun’un 6’ncı maddesinde yer alan işleme şartlarına riayet edilmesi gerekmektedir.

vii. Ceza mahkûmiyeti ve güvenlik tedbirleri:

Adli sicil kaydında yer alan hapis cezasına ilişkin mahkûmiyet kararı, koşullu salıverilme kararı, adli para cezasına ilişkin mahkûmiyet hükmü, sürücü belgesinin geri alınması gibi kararların veri sorumlusu tarafından işlenmesi durumunda özel nitelikli kişisel veri işleme faaliyetinden söz edilebilecektir.

viii. Biyometrik veri:

Kurumların yüksek güvenlik gerektiren odalarına giriş ve çıkışlarda parmak izi doğrulama sisteminin kullanılması suretiyle elde edilen parmak izi verisinin işlenmesi özel nitelikli kişisel veri işleme faaliyeti olarak değerlendirilmektedir.

ix. Genetik veri:

On yıl önce alınmış olan bir genetik numunenin, günümüz teknolojisi ile çalışılarak söz konusu numune sahibinin doğacak çocuklarının belli hastalıklara sahip olabileceğinin tespit edilmesinde, analiz sonucu ile tespit edilen bilgilerin genetik veri niteliğini haiz olduğu söylenebilecektir.

C. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Tüm özel nitelikli kişisel veriler için geçerli olacak şekilde işleme şartları yeniden düzenlenmiş ve yeni işleme şartları öngörülerek sayıları arttırılmıştır. İşleme şartı sayısının azlığı daha çok koruma anlamına gelmemekle birlikte işleme şartlarının arttırılması da özel nitelikli kişisel verilerin gelişigüzel işlenebileceği anlamına gelmeyecektir. Aksine,........

© Hukuki Haber