bilgi@rizasaka.com - rizasakahukuk@gmail.com 0 212 224 25 21
Kariyer
  • Türkçe
  • English
  • Deutsch

Anasayfa ÖZEL NİTELİKTEKİ KİŞİSEL VERİLERİN TÜRK HUKUKUNDAKİ YERİ
ÖZEL NİTELİKTEKİ KİŞİSEL VERİLERİN TÜRK HUKUKUNDAKİ YERİ

ÖZEL NİTELİKTEKİ KİŞİSEL VERİLERİN TÜRK HUKUKUNDAKİ YERİ

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6. maddesinde özel nitelikli kişisel veriler sayılarak bunların işlenme şartları düzenlenmiştir. Kanun kapsamında kişisel veriler ve bunların korunması düzenlenirken niteliği itibariyle daha fazla öneme sahip olan özel nitelikli kişisel verilerin işlenme usulleri daha sıkı şartlara tabi tutulmuştur. İşbu çalışma kapsamında özel nitelikli kişisel verilerin neler olduğu ve işlenme usulü ile Kişisel Verileri Koruma Kurulu’nun “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” başlıklı kararı incelenecektir.

GİRİŞ

Bilişim teknolojilerindeki hızlı gelişmeler, bilgiye elektronik ortamda erişimin kolaylaşması kişisel verilerin korunmasının önemini arttırmaktadır. 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 3/1-d bendinde kişisel veriler; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi şeklinde tanımlanmıştır.

Gerek devlet kurumları gerek özel kuruluşlar bir görevin yerine getirilmesi veya bir hizmetin sunumuyla bağlantılı olarak, kişisel veri niteliğindeki bilgileri toplamaktadırlar. Kişisel verilerin sadece ilgili ve yetkili kişi veya kuruluşlarca muhafazası ile amaca uygun kullanımı da mutlak bir sosyal ihtiyaç olmasının yanında Anayasal bir haktır. Kişisel verilerin korunması, özde verinin kendisinin değil, verinin sahibi olan bireyin temel hak ve özgürlüklerinin, kişilik hakkının ve özel alanının korunmasını amaçlamaktadır.[1]  Her birey kişisel verilerinin yetkisiz kişi ve kurumlar tarafından kullanılması riskine karşı kişisel verilerin korunması hakkına sahiptir.  2010 değişikliğinin ardından Anayasa’nın özel hayatın gizliliğini düzenleyen 20. maddesinde yapılan   “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir” değişikliği sonucu günümüzde gittikçe artan bir öneme sahip olan kişisel verilerin korunması Anayasa ile de güvence altına alınmıştır. Aynı zamanda bu hakkın ihlali sonucunda faillerin cezalandırılması için 5237 sayılı Türk Ceza Kanunu’nda (“TCK”) suç ve yaptırımlar düzenlenmiştir.

1)Özel Nitelikteki Kişisel Veriler

Kanunun 6. maddesi uyarınca özel nitelikteki kişisel veriler; işlenmeleri halinde sahipleri hakkında ayrımcılık yapılmasına neden olma riski taşıyan verilerdir. Mevzuatta “hassas veri”[2] , “özel tür veri”[3] ve “özel koruma gerektiren veri”[4] gibi farklı isimlerle anılan bu verilerin,  nitelikleri gereği diğer kişisel verilere göre daha sıkı bir şekilde korunmaları gerekmektedir. Özel nitelikli kişisel veriler;

  • Kişilerin ırkı
  • Etnik kökeni
  • Siyasi düşüncesi
  • Felsefi inancı dini mezhebi veya diğer inançları
  • Kılık ve kıyafeti
  • Dernek, vakıf ya da sendika üyeliği
  • Sağlığı
  • Cinsel hayatı
  • Ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri
  • Biyometrik ve genetik verileri

olarak sayılmıştır.

5237 Sayılı Türk Ceza Kanunu’nun (“TCK”)   “Kişisel Verilerin Kaydedilmesi” başlıklı 135. maddesinin ikinci fıkrasında ise özel nitelikli kişisel veriler; “kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine, hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgiler” olarak belirtilmiştir.

TCK’da yer alan düzenlemenin, uluslararası düzenlemelerden en büyük farkı etnik kökenin 108 sayılı Avrupa Konseyi Sözleşmesi hariç uluslararası mevzuatta yer almasına rağmen TCK’da yer almaması ve ahlaki eğilimin uluslararası mevzuatta yer almamasına rağmen TCK’da özel nitelikli kişisel veri olarak düzenlenmesidir. [5]

AİHM, kişisel veriler arasında, bu verilerin kişiler üzerinde doğurabilecekleri zararlara kıyasla bir ayırım yapılmasını ve bu nedenle daha sıkı koruma tedbirleri alınmasını makul görmektedir.[6] Mahkeme, S. ve Marper -Birleşik Krallık davasında [7] bu ayrıma ayrıntılı olarak değinmiştir. Mahkemeye göre, hücre örnekleri, DNA profili ve parmak izi belirli veya belirlenebilir bir kişi ile ilişkilendirildiğinde tartışmasız bir şekilde kişisel veridir, ancak aralarındaki nitelik farkı dolayısıyla hücre örnekleri ve DNA profili ile parmak izi kayıtlarını ayrı tutmak gerekmektedir. Hücre örnekleri, kişinin sağlığına ilişkin bilgi içerirken, DNA profili kişinin etnik kökenini ortaya çıkarabilir. Oysa parmak izi kayıtlarının bu şekilde bir etkisi yoktur. Bu nedenle, AİHM’ne göre, ilgili kişinin hücre örneklerinin ve DNA profilinin bir veri bankasında tutulmasının sonuçları, parmak izinin bir veri bankasında tutulmasına kıyasla çok daha ağırdır. [8]

Kanun kapsamında hangi verilerin özel nitelikli kişisel veri olduğu ve bunların hangi istisnai hallerde işlenebileceği düzenlenmiştir ancak bazı durumlarda somut olaylarda özel nitelikli kişisel verilerin tespitinde güçlük yaşanabilmektedir. Nitekim konuyla alakalı olarak İngiltere’de Naomi Campbell v. MGN davasında Mahkeme,  Campbell’in fotoğrafları onun ten rengini ortaya çıkarttığı için bunların hassas veri olarak nitelenip nitelenmeye­ceği yönünde bir değerlendirme yapmıştır. Fotoğrafların Campbell’in ırksal kökeni ile ilgili bilgileri açıkladığına, fakat bu durumun fotoğrafların yayınlanma amacı karşısında önemsiz kaldığına, veri sahibinin,  tanınmış siyahi bir manken olmaktan gurur duyduğu ve siyahi bir kadın olarak fotoğraflarının çekilmesinin onun yaşam tarzının ve mesleğinin bir parçası olduğu hallerde durumun değişeceğine ve bu olayda fotoğrafların hassas veri olarak kabul edilemeyeceğine karar verilmiştir.[9]

Yine Kanun’un 6. maddesinde özel nitelikteki kişisel verilerin korunması;

“(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.”

şeklinde düzenlenmiştir.

Maddenin birinci fıkrasında nelerin özel nitelikte kişisel veri oluğu belirtilerek bunlar sınırlı sayıda sayılmıştır. İkinci fıkrada ise genel kural olarak özel nitelikteki kişisel verilerin ilgilinin açık rızası olmadan işlenmesinin yasak olduğu düzenlenmiştir. Bu kapsamda açık rıza Kanun’un 3. maddesi uyarınca; “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmıştır. Açık rıza ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanıdır.[10]

Madde devamında ise ikinci maddedeki genel kurala bir istisna getirerek sağlık ve cinsel hayat dışındaki verilerin kanunda öngörülen hallerden birinin varlığı halinde ilginin açık rızası olmaksızın işlenebilmesine olanak tanınmıştır. 3. fıkranın son cümlesinde ise sağlık ve cinsel hayata ilişkin kişisel verilerin kanunda sayılan amaçların varlığı halinde, ilgilinin açık rızası aranmaksızın, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi düzenlenmiştir. Bu amaçlar;

  • Kamu sağlığının korunması
  • Koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi
  • Sağlık hizmetleri ile finansmanının planlanması ve yönetimi

olarak düzenlenmiştir.

Söz konusu maddenin dördüncü fıkrasında ise özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından belirlenen yeterli önlemlerin alınması gerektiği düzenlenmiştir. Bu bağlamda Kanun’un 15. maddesinde; “Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar.” hükmü ile Kurulun ihlallerin varlığı halinde ilke karar alabileceğini düzenlemiştir. Kanunun 6. maddesi uyarınca belirlenen “yeterli önlemleri almak” için çalışmalar yapan Kurul;  07.03.2018 tarihli ve 30353 sayılı Resmi Gazete’de yayımlanan 31.01.2018 tarihli ve 2018/3 sayılı  “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularımca Alınması Gereken Yeterli Önlemler” başlıklı kararını almıştır.

2) Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Önlemler [11]

Özel nitelikteki kişisel verilerin güvenliğine ilişkin sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün düzenlenmesi gerekir. Bu kapsamda;

  • Özel nitelikteki kişisel verilerin işlenmesi sürecinde çalışanlara yönelik;
  1. Kanun ve yönetmelikler ile özel nitelikteki kişisel veri güvenliği konusunda düzenli eğitimlerin verilmesi,
  2. Gizlilik sözleşmelerinin yapılması,
  3. Verilere erişim yetkisine sahip kullanıcıların yetki kapsamlarının ve sürelerinin net bir şekilde tanımlanması,
  4. Periyodik olarak yetki kontrollerinin gerçekleşmesi,
  5. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması ve veri sorumlu tarafından kendisine tahsis edilen envanterin derhal kaldırılması gerekir.
  • Özel nitelikteki kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar elektronik ise;
  1. Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
  2. Kriptografik anahtarların güvenlikli ve farklı ortamlarda tutulması,
  3. Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının düzenli olarak loglanması [12]

ç)  Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

  1. d) Verilere bir yazılım aracılığıyla erişiliyorsa bu yazılıma ait kullanıcı yetkilendirilmelerinin yapılması, bu yazılımların güvenlik testlerini sürekli yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
  2. e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması gerekir
  • Özel nitelikteki kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar fiziksel ortam ise;
  1. a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin alındığından emin olunması (elektrik kaçağı, yangın, su baskını, hırsızlık vb durumlara karşı)
  2. b) Bu ortamların fiziksel güvenliği sağlanarak yetkisiz kişilerin giriş çıkışlarının engellenmesi gerekir.
  • Özel nitelikli kişisel veriler aktarılacak ise;
  1. Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
  2. Taşınabilir bellek, CD DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamlarda tutulması,
  3. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleşiyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
  4. Verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması, yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatıyla gönderilmesi gerektiği hükümleri düzenlenmiştir.

SONUÇ

 Kişisel verilerin korunmasının önemi ülkemizde yeni anlaşılmaya başlanan bir konu olmasına rağmen Avrupa ülkelerinde bu konunun önemi daha erken fark edilerek bu konuda mevzuatta düzenlemeler yapılmıştır. Gerek ülkemizde gerek dünyada özel nitelikli kişisel veriler, diğer verilere kıyasla kişiye zarar verme ihtimali daha fazla olan veriler olduğundan korunması ve işlenmesi daha sıkı şartlara tabi tutulmuştur. Bu bağlamda yeniliğe ve değişime açık olan bu alanda halen Kurul ilke kararlar almaktadır. Bu sebeple şirketlerin ve kurumların yapılan değişiklere paralel değişiklikler yaparak özel nitelikli kişisel verilerin korunması kapsamında kanundaki düzenlemelere uyum sağlamaları gerekmektedir. Tüm bu süreçte işbu çalışmamızda belirtilen özel nitelikli kişisel verilerin korunması kapsamında alınacak önlemlerde hukuk bürolarından yardım alınması tavsiye edilir.

 AV. NERMİN GÜNDÜZ

Alanında Uzman Avukatmı arıyorsunuz?

İletişime Geç