ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Özel Nitelikli Kişisel Veri Nedir?

KVKK 6/1 maddesinde ifade edildiği üzere; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi ve diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Bu verilerin, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikte veriler olmaları dikkate alınmakta, bu sebeple bu tür veriler hassas veri olarak kabul edilmektedir. Bu nedenle diğer kişisel verilere göre çok daha sıkı şekilde korunması gerekmektedir.

Açık yasa hükmünde özel nitelikli kişisel veriler sınırlı olarak sayılmış olduğundan örnekleme ya da benzetme yoluyla genişletilmesi mümkün değildir.

Özel Nitelikli Verilerin İşlenme Şartları Nelerdir?

Kural olarak özel nitelikli kişisel veriler, ilgili kişinin açık rızası ile işlenebilir. İlgili kişinin, KVKK kapsamında belirtilen şartları ihtiva eden açık rızasının alınmış olması gerekir. (Örneğin, klinik araştırmalarda gönüllülerin rızasının alınması).

Sağlık ve Cinsel Hayat Dışındaki Özel Nitelikli Kişisel Verilerin İşlenme Şartları;

Sağlık ve cinsel hayat dışındaki veriler ancak kanunlarda öngörülen hallerde işlenebilir. (İş kanunu, sendikalar kanunu, TTK…vb.) Bu gibi durumlarda ilgilinin açık rızası aranmaz. (Örneğin, askerlik yapacak kişilerin bazı Özel Sağlık bilgilerinin ilgili kanun hükümleri uyarınca işlenmesi, yine hastanelerin, eczanelerin ya da Sosyal Güvenlik Kurumu’nun hastalarla ilgili veri işlemesi, bir işverenin, engelli çalıştırma zorunluluğu kapsamında, işyerinde, bu statüde çalıştırdığı kişilere ilişkin rapor ve belgeleri işlemesi bu kapsamda değerlendirilecektir)

Sağlık ve Cinsel Hayata İlişkin Özel Nitelikli Kişisel Verilerin İşlenme Şartları;

Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. (Örneğin; doktorun hastası hakkında işlediği sağlık verileri)

Kurul Tarafından Belirlenen Yeterli Önlemler Nelerdir?

Özel nitelikli verilerin işlenebilmesi için Kurul tarafından belirlenen yeterli önlemlerin alınması şartı getirilmiştir. Peki bahsedilen yeterli önlemler nelerdir?

Özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önlemler ile ilgili Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli ve 2018/10 sayılı kararı ile yeterli önlemler aşağıdaki şekilde belirlenmiştir:

  • Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,
  • Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik;
    • Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
    • Gizlilik sözleşmelerinin yapılması,
    • Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
    • Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
    • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,
  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise;
    • Verilerin kripto grafik yöntemler kullanılarak muhafaza edilmesi,
    • Kripto grafik anahtarların güvenli ve farklı ortamlarda tutulması,
    • Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
    • Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
    • Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
    • Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,
  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;
    • Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,
    • Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,
  • Özel nitelikli kişisel veriler aktarılacaksa;
    • Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
    • Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
    • Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya FTP yöntemiyle veri aktarımının gerçekleştirilmesi,
    • Verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.
  • Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.

Av. Funda ÖKSÜZ

f.oksuz@kvkkdanismanlik.com