Kişisel Verileri Koruma Kurumunun Özel Nitelikli Verilerin İşlenmesine İlişkin Rehberinde Öne Çıkan Hususlar

Bora Yazıcıoğlu, Kübra İslamoğlu Bayer, Aslı Rabia Savaş, Doğa Satı - - 03 Nisan 2025

Uygulamada belirsizliklerin yahut farklı yorumların yoğun olarak görüldüğü özel nitelikli verilerin işlenmesi konulu Rehber ise 26 Şubat 2025 tarihinde yayımlanmıştır.

2. Özel Nitelikli Kişisel Veri Kategorileri Hakkında Açıklamalar

Kanun’un 6. maddesine göre, “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir”. Kanun koyucu bu hükümde özel nitelikli kişisel veri kategorilerini numerus clausus ilkesi uyarınca sınırlı olarak saymış fakat, ilgili verilerin anlam ve kapsamlarıyla ilgili herhangi bir açıklamaya yer vermemişti.

Kanun’da özel nitelikli olarak belirtilen bu verilerin kapsamı ve nasıl ele alınmaları gerektiği konusunda mevzuatta kesin bir açıklama bulunmadığından, uygulamacılar değerlendirmelerinde yayımlanan Kişisel Verileri Koruma Kurulu (Kurul) karar özetleri ile diğer ülkelerin veri koruma otoritelerince yayımlanmış rehberlerden yararlanıyor; ancak net bir cevaba ulaşmaları mümkün olmuyordu.

Kurum’un özel nitelikli kişisel verilere ilişkin bakış açısını ortaya koymak amacıyla Rehber, her bir veri kategorisine ilişkin olarak; Türk Dil Kurumu (TDK), Yargıtay, Danıştay, ulusal ve uluslararası mevzuat ile çeşitli kurumların yaptığı tanımlara atıf yaparak açıklamalar getirmiştir.

2.1. Irk ve Etnik Kökene İlişkin Veriler

Rehber’de, “ırk”, “etnik köken” ve “uyruk” kavramları TDK’ye atıf yapılarak tanımlanmıştır. Buna göre “ırk”, “kalıtımsal olarak ortak fiziksel ve fizyolojik özelliklere sahip insanlar topluluğu” olarak; “etnik” ise “bir sosyal grubun her türlü ırk, dil veya kültür özelliğine ait olan; kavimle ilgili; budunsal, kavmi” şeklinde tanımlanmaktadır. Rehber’de ayrıca siyahi ırk, sarı ırk, Slav, Kızılderili, Roman ve Çeçen gibi bilgiler bu kapsamda değerlendirilmiştir.

Rehber’den önce, uyruk bilgisinin “ırk ve etnik kökene ilişkin veriler” kapsamına girip girmediği konusunda uygulamada fikir ayrılıkları bulunmaktaydı. Rehber’de “uyruk” kavramı “bir devlete vatandaşlık bağı ile bağlı olma durumu” olarak tanımlanmış ve bu konuya ilişkin net bir açıklama getirilmiştir.

Buna göre, “uyruk” kavramının Kanun’da açık bir şekilde sayılmaması sebebiyle özel nitelikli kişisel veri olarak değerlendirilemeyeceği belirtilmiştir.

Bu koşullar altında, bir kişiye ilişkin işlenen “yabancı uyruklu”, “T.C. vatandaşı değil”, “diğer” gibi verilerin özel nitelikli kişisel veri sayılmadığı dile getirilmiştir. Aynı şekilde, Rehber ile kişilerin eski tip pasaport, sürücü belgesi, nüfus cüzdanı veya öğrenci kimliği, işyeri kimliği gibi muhtelif belgelerinde bulunan ülke kodu ve tabiiyet gibi bilgilerinin de özel nitelikli veri olarak sınıflandırılamayacağı açıkça ortaya konmuştur.

2.2. Siyasi Düşünceye İlişkin Veriler

Günümüze dek, “siyasi düşünceye ilişkin veriler” kavramının tanımı ne Kanun ne de GVKT kapsamında yapılmamıştı. Rehber ile, ilgili kavram açıklanmış olup çeşitli yönlendirmelere yer verilmiştir.

Rehber, bu kategorinin anlam ve kapsamını iki farklı kurumun tanımlarına atıf yaparak açıklamıştır. İlk olarak, Yargıtay 12. Ceza Dairesi’nin 15.05.2012 tarihli ve E. 2011/20072, K. 2012/12126 sayılı kararı uyarınca bu veri kategorisini “toplum içinde yaşayan kişilerin siyasi tercihlerinin toplum katmanları arasında bilinmesi halinde ayırımcılığa maruz kalma ihtimalini ortaya çıkarabilen bilgi kategorileri” olarak tanımlamıştır. Ayrıca, Uluslararası Çalışma Örgütü’nün “siyasi görüş temelinde ayrımcılık” tanımını referans göstermiş ve bu kavramı “kişilerin siyasi parti üyeliği ve siyasi, sosyo-politik ve ahlaki tutumları da dâhil, düşüncelerine karşı yapılan ayrımcılık” olarak açıklamıştır.

Rehber’de siyasi düşünce verisi kategorisi içerisinde kişiye ilişkin siyasi parti üyeliği, siyasi görüşü ya da apolitik olmasına ilişkin bilgiler ile kişinin sosyo-politik davranış ve tutumları da sayılmıştır. Bu sebeple, seçimlere ilişkin yapılan kamuoyu araştırması kapsamında yapılan anketlerde kişilerin desteklediği parti bilgisinin toplanması durumunda özel nitelikli kişisel verilerin işlendiği kesin olarak ifade edilmiştir.

Diğer yandan, GVKT’ye atıfta bulunularak seçim faaliyetleri sırasında demokratik sistemin işleyebilmesi için kişilerin siyasi görüşlerini işlemenin gerekli olabileceğini; bu nedenle, siyasi partilerin kamu yararı doğrultusunda uygun güvenceleri sağlayarak özel nitelikli kişisel verileri işleyebileceğini ortaya konmuştur.

2.3. Felsefi İnanç, Din, Mezhep veya Diğer İnanç Verileri

Rehber, “din” kavramının “açık bir yapıya ve inanç sistemine sahip olan İslamiyet, Hristiyanlık, Yahudilik gibi semavi dinler”i kapsadığını belirtmiş ve bir dinin mezheplerinin de bu kapsamda din ya da inanç olarak sayılabileceğini ifade etmiştir.

Bununla birlikte Rehber, Avrupa İnsan Hakları Mahkemesi’nin (AİHM) “Campbell ve Cosans Davası” kararında açıkladığı “inançlar” ifadesinin, Anayasa İnsan Hakları Sözleşmesi’nin (AİHS) “ifade özgürlüğü”nü düzenleyen hükmündeki “görüşler/kanaatler” ile “fikirler” terimleriyle aynı anlama gelmediği vurgulanmıştır. Bunun yerine, AİHM kararında bahsedilen ifadenin, AİHS’nin “düşünce, vicdan ve din özgürlüğünü” düzenleyen hükmünde yer alan “inançlar” terimine benzediği ortaya konmuştur.

Rehber’de “herhangi bir inanca sahip olmama” durumu da ilgili kategori altında sayılmıştır. Bunun yanı sıra, kişinin inancının Kanun maddesinde belirtilen “diğer inançlar” kavramı altında sayılabilmesi için bu inancın belirli bir inandırıcılık, ciddiyet, bağlılık ve önem düzeyine ulaşmış olması gerektiğinin altı çizilmiştir.

2.4. Kılık ve Kıyafete İlişkin Veriler

Kılık ve kıyafete ilişkin veriler kategorisi uluslararası kişisel verilerin korunması mevzuatında yer almamaktadır. Bu sebeple ilgili kategorinin uygulamada nasıl anlaşılacağı konusu oldukça belirsiz bir durumdaydı. Rehber kılık ve kıyafete ilişkin verilerin özel nitelikli veriler içinde sınıflandırılmasındaki nihai amacın, kişinin ayrımcılığa ve menfaat ihlaline uğramasını engellemek olduğunu belirtmektedir. Buna ek olarak Rehber, bu nihai amacın somut olaya göre yorumlanması gerektiğini ifade etmektedir.

Bu bağlamda, “kot pantolon giymesi” ve “sakal bırakması” nedeniyle hakkında disiplin cezası verilen bir memurun ilgili düzenlemenin iptali talepli dosyasına ilişkin Danıştay kararına atıf yapılmıştır.

Belirtmek gerekir ki, Rehber’de, ilgili bölümde yalnızca Danıştay’ın (i) kişinin yaradılıştan gelen veya sonradan edindiği ayırt edici özelliklerine dolayısıyla, diğer kişilerden daha aşağı oldukları şeklinde algılanabilecek yaptırımlar öngören hukuki uygulamaların eşitsizlik ve ayrımcılığı meşrulaştıracağı ve (ii) bireylerin kendilerini sakallarının boylarıyla ifade etmekte özgür olduğunu vurgulayan açıklamalara yer verilmiştir.

Danıştay ayrıca, ilgili yönetmelik maddesinde erkek çalışanlara yönelik olan “...Her gün sakal tıraşı olunur ve sakal bırakılmaz..." şeklindeki ifadenin eşitlik ilkesini zedeleyebileceği ya da ayrımcılığa sebebiyet verebileceğini belirtmiştir. Bu sebeple ilgili tedbirin demokratik toplum düzeni gereklerine uygun olmadığını da vurgulamıştır.

Kanaatimizce Rehber kılık kıyafetin özel nitelikli kişisel veri sayılmasındaki asıl amacın, kişilerin bu sebeple uğrayabileceği ayrımcılığın engellenmesi olduğunu açıkça ortaya koymuştur. Buna karşılık, ilgili kategorinin somut olay özelinde değerlendirilecek olması uygulamada fikir ayrılıklarına sebep olabilecektir.

Bu açıklamalar kapsamında, bir verinin özel nitelikli olup olmadığının tespitinde sadece niteliği gereği özel koruma gerektirmesi değil, aynı zamanda işleme amacı itibariyle de özel nitelikli olabileceği açıkça belirtilmiştir. Zira, Rehber’de atıf yapılan Danıştay kararında kişinin sakallı olma bilgisinin ilgili kişiye ayrımcılık uygulanmasına imkân verecek şekilde işlenmesi hususuna vurgu yapılmaktadır.

2.5. Dernek, Vakıf ya da Sendika Üyeliğine İlişkin Veriler

Kurum bu kategori kapsamında Rehber’de, “dernek”, “vakıf” ve “sendika” kavramlarının anlamlarını detaylıca açıklamıştır.

Bu bağlamda, “dernek” ifadesi 5253 sayılı Dernekler Kanunu uyarınca “Kazanç paylaşma dışında, kanunlarla yasaklanmamış belirli ve ortak bir amacı gerçekleştirmek üzere, en az yedi gerçek veya tüzel kişinin, bilgi ve çalışmalarını sürekli olarak birleştirmek suretiyle oluşturdukları tüzel kişiliğe sahip kişi toplulukları” olarak tanımlanmaktadır.

Benzer şekilde “vakıf” kavramı, 5737 sayılı Vakıflar Kanunu’na yapılan atıfla, “mazbut, mülhak, cemaat ve esnaf vakıfları ile yeni vakıflar” olarak ifade edilmiştir.

“Sendika” kavramı tanımlanırken ise 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanunu’nda yer alan “işçilerin veya işverenlerin çalışma ilişkilerinde, ortak ekonomik ve sosyal hak ve çıkarlarını korumak ve geliştirmek için en az yedi işçi veya işverenin bir araya gelerek bir işkolunda faaliyette bulunmak üzere oluşturdukları tüzel kişiliğe sahip kuruluşlar” tanımı ile; 4688 sayılı Kamu Görevlileri Sendikaları ve Toplu Sözleşme Kanunu’ndaki “kamu görevlilerinin ortak ekonomik, sosyal ve meslekî hak ve menfaatlerini korumak ve geliştirmek için oluşturdukları tüzel kişiliğe sahip kuruluşlar” tanımının esas alındığı görülmektedir.

Bu çerçevede, veri sorumluları tarafınca dernek, vakıf ve sendika üyesi olan gerçek kişilerin üyelik bilgilerine ilişkin gerçekleştirilen kişisel veri işleme faaliyetlerinin de özel nitelikli kişisel veri işleme olarak kabul edileceği hususuna yeniden dikkat çekilmiştir.

2.6. Sağlık ve Cinsel Hayata İlişkin Veriler

Rehber “kişisel sağlık verisi” kavramını Kişisel Sağlık Verileri Hakkında Yönetmelik’e atıf yaparak “kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgiler” şeklinde açıklamaktadır. Bu bakımdan Rehber, Kanun uygulamasında kişinin sağlıklı olma durumunun yanı sıra, hasta olabilme ihtimalini ortaya koyan veya tespit eden verilerin de sağlık verisi olarak kabul edileceğini belirtmektedir.

Rehber’de kişinin fiziksel, zihinsel ve sosyal durumunun tespitine yol açan tetkik sonucu, ön teşhis, teşhis ve tedavi bilgilerinin özel nitelikli kişisel veriler kapsamına gireceği ifade edilmektedir. Buna ek olarak eski tip pasaport, sürücü belgesi, nüfus cüzdanı, işyeri kimliği gibi belgelerde bulunan “kan grubu bilgisi” verisinin bu kategori altında değerlendirileceği açıkça belirtilmektedir.

2.7. Ceza Mahkumiyeti ve Güvenlik Tedbirlerine İlişkin Veriler

Rehber, öncelikle ilgili terimlerin anlamlarını açıklamıştır. Buna göre “ceza mahkumiyeti” kavramı “bir suçu işlediği sabit olan, diğer bir ifade ile suç işlediği kesin hüküm ile karara bağlanmış olan kişi hakkında uygulanan yaptırım” şeklinde tanımlanmıştır. “Güvenlik tedbiri” ise Anayasa Mahkemesi yorumuna atıf yapılmak suretiyle “suç karşılığı olan ve suçludaki tehlikelilik haliyle doğru orantılı bir biçimde hükmedilen suça ve suçluya karşı toplumun savunmasına yönelmiş bulunan yaptırımlar” şeklinde ifade edilmiştir.

Kurum, Rehber ile tanımlamaların yanı sıra uygulamada bulunan bazı belirsizliklere de değinmiştir. Uygulamada, adli sicil kayıtlarının hangi koşullarda özel nitelikli veri olarak sayılacağı konusunda fikir ayrılıkları bulunmaktaydı. Rehber, adli sicil kayıtlarında bulunan kesinleşmiş mahkûmiyet hükümleri ve güvenlik tedbirlerinin özel nitelikli kişisel veri olduğunu açıkça ortaya koymuştur.

Rehber’de verilen örneğe göre, adli sicil kayıtlarındaki hapis ve adli para cezalarına ilişkin mahkûmiyet hükmü, koşullu salıverilme ile sürücü belgesinin geri alınması kararı gibi bilgilerin işlenmesi durumunda özel nitelikli kişisel veri işlenmiş olunacaktır.

Verilen örneğe bakıldığında, adli sicil kaydında kişiye ilişkin mahkûmiyet kararı ya da güvenlik tedbiri bulunmaması halinde bu kaydın özel nitelikli veri sayılıp sayılmayacağı konusunda Rehber’in net bir açıklama yapmadığı söylenebilecektir.

Bununla birlikte, Kurum yetkililerinin kamuoyuna yönelik yaptığı toplantılardaki açıklamaları göz önüne alındığında, uygulamacılar, adli sicil kaydında herhangi bir mahkûmiyet hükmü veya güvenlik tedbiri bulunmaması durumunda Kurum’un bu kayıtları özel nitelikli kişisel veri olarak değerlendirmediği sonucuna ulaşmaktaydı. Kanaatimizce, Rehber’in bu konudaki açıklamalarının beklenen netlikte olmaması dolayısıyla uygulamadaki görüş ayrılıkları devam edecektir.

2.8. Biyometrik Veriler

Rehber’de, biyometrik veriler “kişilerin unutmasının mümkün olmadığı, genelde ömür boyu değişmeyen ve herhangi bir müdahaleye gerek olmaksızın zahmetsiz bir şekilde sahip olunan veriler” şeklinde tanımlanmıştır. Rehber’de fizyolojik nitelikli biyometrik veriler için kişinin parmak izi, retinası, avuç izi, yüzü, el şekli, irisi gibi örnekler verilmekle birlikte davranışsal nitelikli biyometrik verilere ilişkin örnekler ise kişinin yürüyüş biçimi, klavyeye basış biçimi, araç sürüş biçimi şeklinde görülmektedir.

Diğer yandan, fotoğrafların -biyometrik fotoğraf olsalar dahi- doğrudan biyometrik veri olarak kabul edilemeyeceği ifade edilmiştir. Ayrıca Rehber, ilgili fotoğrafların ancak “bir kişinin benzersiz bir şekilde tanımlanmasına veya doğrulanmasına izin veren belirli bir teknik yöntemle” işlenmesi durumunda özel nitelikli kişisel veri kabul edileceğini belirtmiştir.

Bir fotoğrafın “belirli bir teknikle işlenmesi halinde” biyometrik veri sayılacağı belirtildikten sonra bir verinin biyometrik veri kabul edilebilmesi için “kişiyi tanıyabilme ya da doğrulayabilme özelliğine sahip olması” kriterinin mevcut olması gerektiği ifade edilmiştir. Kanaatimizce, bu ifadeler arasında bir çelişki bulunmaktadır. Ayrıca, değerlendirme yapılırken bu kriterlerin fotoğrafta beraber mi ayrı ayrı mı aranması gerektiği konusunda net bir açıklama getirilmemiş olup bu durum belirsizliğe yol açmaktadır.

Rehber ve Kurul tarafından verilen eski kararlar ışığında, bu iki kriterin Kurum tarafından birlikte değerlendirileceği; bu sebeple, örneğin biyometrik fotoğrafların bilhassa kişiyi doğrulama amacıyla işlenmemesi durumunda özel nitelikli kişisel veri olarak değerlendirilmeyeceği görüşündeyiz.

Ayrıca, Kurum’un biyometrik fotoğrafların özel nitelikli kişisel veri sayılmasına ilişkin yukarıdaki yaklaşımının -kılık ve kıyafet verileri gibi- işleme amacı özelinde bir değerlendirme içerdiğini söylemek mümkündür. Zira, Rehber’deki yaklaşım uyarınca, fotoğrafın biyometrik veri olabilmesi için kişinin fizyolojik, fiziksel veya davranışsal özellikleri gibi ayırt edici özelliklerini belirli bir teknik işleme sonucunda ortaya çıkarması ve bu özelliklerin kişinin tanınması yahut kimliğinin doğrulanması amacıyla işlenmesi gereklidir.

2.9. Genetik Veriler

Rehber’de “genetik veri” kavramı GVKT’ye yapılan atıfla “kişiden alınan örneğin biyolojik analizinden kaynaklanan, kişilerin kalıtsal ya da sonradan kazanılmış genetik özellikleriyle ilgili kişisel verisi” olarak tanımlanmaktadır.

Rehber, genetik bir numuneyi tek başına özel nitelikli kişisel veri olarak saymamaktadır. Buna göre, yalnızca ilgili numunenin farklı işlemlere tabi tutulması sonucu elde edilen bilgiler genetik veri olarak tanımlanabilecektir. Örnek olarak; on yıl alınmış bir numunenin günümüz teknolojisiyle analiz edilmesi sonucunda, numune sahibinin çocuklarının birtakım hastalıkları taşıyabileceğine ilişkin bir tespit yapılması halinde, bu tespit genetik veri kabul edilecektir.

Ayrıca uygun koşullarda saklanan DNA/RNA örneklerinden herhangi bir zamanda kişiye ilişkin tüm genetik verilere erişilebileceği hususu vurgulanmaktadır. Aynı şekilde, tanı ya da araştırma yapılması amacıyla bir laboratuvara gönderilen doku örneği ya da materyallerden bilgi edinilebilmesinin mümkün olduğu belirtilmektedir. Bu sebeple Rehber, biyolojik numune toplayan veri sorumlularının, ilgili numuneleri elde ettikleri an itibariyle gerekli teknik ve idari tedbirleri alarak bu numunelerin güvenliğini sağlaması gerektiğini ifade etmektedir.

Günümüzde profesyoneller, kandan oldukça kolay bir şekilde genetik veri elde edebilmektedir. Bu sebeple, Rehber öncesinde, kan numunesinin tek başına genetik veri sayılıp sayılamayacağı konusunda uygulamada bir fikir birliğine ulaşılamamıştı. Rehber ile bu durum açığa kavuşturulmuş ve yalnızca kişiden elde edilen örnekten yapılan analiz sonucu ortaya çıkan verilerin özel nitelikli kişisel veri sayılabileceği belirtilmiştir.

Rehber’de biyolojik örneklere ilişkin gerekli teknik ve idari tedbirlerin alınması gerektiği ifade edilmiş, ancak burada Kanun’da özel nitelikli kişisel veriler için öngörülen özel tedbirlerden mi bahsedildiği açıkça ifade edilmemiştir. Bize göre, bu durum uygulamada fikir ayrılıklarına yol açabilecektir.

Kanaatimizce, biyolojik örnekler elde edildiği ancak herhangi bir analiz yapılmadan saklandığı durumda özel nitelikli kişisel veri sayılmamalıdır. Bununla birlikte, biyolojik örnekler için öngörülen koruma tedbirlerini almayarak ilgili örneğin üçüncü kişilerin eline geçmesine neden olan veri sorumlusuna Kurul tarafından özel nitelikli verilerin yeterli ölçüde korunmaması sebebiyle yaptırım uygulanıp uygulanmayacağı konusunda uygulamada görüş farklılıklarının ortaya çıkacağını düşünmekteyiz.

Ancak biyolojik numunelerden nitelikleri gereği genetik veri elde edilebilmesi dolayısıyla, her halde bu numunelerin korunması konusunda oldukça temkinli olunması ve yüksek seviye önlemlerin alınmasının yararlı olacağını ifade etmek yanlış olmayacaktır.

3. Özel Nitelikli Kişisel Verilerin İşlenme Şartları Hakkında Belirlemeler

Kanun özel nitelikli kişisel verileri işleme şartlarını numerus clausus ilkesi uyarınca sınırlı olarak düzenlemektedir. Kurum, bu zamana kadar yayımladığı karar ve rehberlerinde işleme şartlarına ilişkin detaylı açıklamalarda bulunmuştu. Bu açıklamalarda tekrara düşmekten kaçınmak adına, bu makalede sadece Rehber ile yeni veya önemli olarak ortaya konan hususlara değinilmiştir.

Bununla birlikte Rehber’in, Kanun’un genel ilkeleri düzenleyen 4. maddesinde kullanılan “gerekli” ve “zorunlu” ifadelerinin bilinçli olarak kullanıldığını vurguladığı ve bu kelimelerin anlamlarını açıkladığı görülmektedir. Buna göre GVKT’de “gerekli” ifadesinin kapsamının, AB müktesebatındaki genel gereklilik ilkesine yapılan atıfla açıklandığını belirtmiştir.

“Gerekli” ifadesinin Kanun’da ““işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesiyle ilişkili olduğu görülmektedir. Rehber, ilgili ilke kapsamında işlemenin “belirtilen amaca ulaşmaya uygun olması, işlenen veri ile ileri sürülen meşru amaç arasında bir bağlantının bulunması ve amaca ulaşmak için gerekli olanın ötesine geçmemesi gerektiğini” ifade etmektedir. Ayrıca Rehber “gerekli” olmanın somut olay bazında değerlendirilmesi gerektiğini vurgulamaktadır.

Rehber, “zorunluluk” kavramıyla bahsedilmek istenenin “kaçınılmazlık” olduğunu, bu sebeple öznel bir değerlendirmeye tabii olmadığını belirtmektedir. Bu sebeple bir hususun özel nitelikli veri işlemek için zorunlu olabilmesi için alternatif herhangi bir yöntemin bulunmaması gerektiğinin altını çizmektedir.

3.1. Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Zorunlu Olması İşleme Şartı

Rehber, her bir veri işleme faaliyetinde zorunluluğun tespit edilmesi ve ayrıca hakkın tesisi, kullanımı ve korunmasına ilişkin sınırların açıkça tanımlanması gerektiğini ifade etmektedir.

Ayrıca Rehber’de özel nitelikli kişisel verilerin “üçüncü tarafların” haklarının tesisi, kullanılması veya korunması için de işlenebileceği açıklanmıştır. Bu kapsamda, örneğin, işçilerin maaş ödemeleri için eş ve çocuklarının engellilik veya sağlık bilgisi gibi verilerin işlenmesinin zorunlu olması halinde, işverenin bu işleme şartına dayanabilecektir.

3.2. Sır Saklama Yükümlülüğü Altında Bulunan Kişiler veya Yetkili Kurum ve Kuruluşlarca, Kamu Sağlığının Korunması, Koruyucu Hekimlik, Tıbbi Teşhis, Tedavi ve Bakım Hizmetlerinin Yürütülmesi ile Sağlık Hizmetlerinin Planlanması, Yönetimi ve Finansmanı Amacıyla Gerekli Olması İşleme Şartı

Rehber’de ilgili işleme şartının kapsamının netleştirilmesi amacıyla, “yetkili kurum ve kuruluşları” ifadesi açıklanmış ve ilgili kavramın yalnızca kamu kurum ve kuruluşlarını kapsayacak şekilde kullanılmadığı, sağlık hizmeti sunan gerçek kişiler ile özel hukuk tüzel kişilerini de kapsadığı ifade edilmiştir. GVKT’ye yapılan atıf ile, özel nitelikli kişisel verilerin kamu sağlığı alanında kamu yararı dolayısıyla ilgili kişinin açık rızası olmadan da işlenebileceği; ancak, işleme faaliyetinin kişilerin hak ve özgürlükleri korunarak ve özel önlemler alınarak yapılması gerektiği belirtilmiştir. Ayrıca yine GVKT’ye yaptığı atıfla kamu sağlığı ifadesini, “sağlıkla ilgili tüm unsurlar, hastalık ve sakatlık dahil olmak üzere, sağlık bakımı ihtiyaçları, sağlık hizmetlerine tahsis edilen kaynaklar, sağlık hizmetlerinin sağlanması ve evrensel erişimi ile sağlık harcamaları ve finansmanı üzerinde etkisi olan belirleyiciler” olarak açıklamıştır.

Rehber’e göre, devlet politikaları nedeniyle zorunlu tutulan çocukluk çağı aşılarının aile hekimleri tarafından takip edilmesi, ilgili işleme şartı kapsamında değerlendirilebilecektir.

Bu bağlamda, Avrupa Komisyonu’nun bir doktorun kliniğinde ilgilendiği hastalara ilişkin ziyaret, ad/soyadı, semptomların tanımı ve reçete edilen ilaçlar gibi bilgileri veri tabanına kaydetmek suretiyle özel nitelikli kişisel veri işlediği; ancak, bu faaliyetin “kişiyi tedavi etmek için gerekli olması ve mesleki sır yükümlülüğüne tabi bir doktorun sorumluluğu altında gerçekleştirilmesi nedeniyle” ilgili işleme faaliyetine GVKT kapsamında izin verileceğini belirttiği bir örneğe de atıf yapılmıştır.

3.3. İstihdam, İş Sağlığı ve Güvenliği, Sosyal Güvenlik, Sosyal Hizmetler ve Sosyal Yardım Alanlarındaki Hukuki Yükümlülüklerin Yerine Getirilmesi İçin Zorunlu Olması İşleme Şartı

Rehber ile ilgili işleme şartının kapsamı netlik kazanmış ve istihdam, iş sağlığı ve güvenliği gibi kavramların tanımları yapılmıştır.

Rehber’de işleme şartında yer alan “zorunluluğun” açıkça öngörülen bir yükümlülük, yönetmelik, yönerge, tebliğ veya sözleşmeden de kaynaklanabileceğini ve kanundan kaynaklanması gerekliliğinin bulunmadığı belirtilmiştir.

Ayrıca; iş sağlığı ve güvenliği, sosyal hizmetler ve sosyal yardım alanlarında hukuki yükümlülükleri olan kurum ve kuruluşların özel nitelikli kişisel veri işlemesi -ihtiyaçlarının tespiti ve yardımların koordine edilmesi gibi- hukuki yükümlülüklerinin başka herhangi bir şekilde yerine getiremediği durumlarda hukuka uygun kabul edilmiştir.

Örneğin, işverenin çalışana ait özlük dosyası düzenleme yükümlülüğü gereğince özel nitelikli kişisel verilerin işlenmesinin bu kapsamda hukuka uygun sayılacağını ifade edilmiştir.

Kurum, Rehber’de ilgili işleme şartıyla ilgili pek çok örneğe yer vermiştir. Örneğin Rehber’de, toplu iş sözleşmesi çerçevesinde, işin gerektirdiği farklı bir sağlık muayenesinin işçiye zorunlu kılınmasının hukuka uygun olduğu kabul edilmiştir.

Ayrıca Rehber’de; Karayolu Taşıma Yönetmeliği kapsamındaki taşıtları kullanan şoförlerin ceza mahkumiyeti ve sağlık verilerinin işlenmesi, Sigortalı İş Kanunu 30. maddeye göre çalıştırılan işçinin Sosyal Güvenlik Kurumu Sigortalı İşe Giriş Bildirgesinde işaretlediği “eski yükümlü” ya da “engelli” bilgilerinin işlenmesi, Diyaliz Merkezleri Hakkında Yönetmelik gereğince diyaliz hastalarına taşıma hizmeti sunan tarafından kişilerin sağlık verisinin işlenmesi, uzuvlarını kaybeden kişilere bağış kampanyası açılabilmesi için kişilerin sağlık raporlarının işlenmesi gibi durumlar da hukuka uygun olarak sayılmıştır.

Rehber, 6098 sayılı Türk Borçlar Kanunu’nda yer alan “İşveren, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir. Özel kanun hükümleri saklıdır.” hükmüne atıf yaparak bu hükmün tüm iş ilişkilerine uygulanabileceğini ortaya koymuştur. Bu kapsamda Kurum’un, ilgili hükmü işverenler açısından hukuki yükümlülük olarak kabul ettiğini söylemek mümkün olacaktır. Bu sayede işverenler, yalnızca iş sözleşmesinin ifası için gerekli olduğunu öne sürerek çalışanlarının özel nitelikli kişisel verilerini işleyebileceklerini iddia edebilir. Örnek olarak işveren, işe giriş sürecinde talep ettiği sağlık raporu veya çalışanın hasta olması nedeniyle kendisine ilettiği hastalık raporunda yer alan sağlık verilerini yalnızca işin kendisi için gerekli olduğunu belirterek işleyebilecektir.

4. Veri Sorumlularınca Kanun’a Uyum Kapsamında Yapılması Gerekenler Nedir?

Rehber, veri sorumlularının aşağıda belirtilen gereklilikleri en kısa sürede sağlaması gerektiğinin altı çizilmiştir.

•  Kişisel veri işleme envanterinin özel nitelikli kişisel verilerin işleme şartları doğrultusunda güncellenmesi ve VERBİS süreçlerine uyuma önem gösterilmesi gerekmektedir.

•  Kanun değişikliği ile eklenen işleme şartları sebebiyle açık rıza süreçlerinin yeniden düzenlenmesi ve aydınlatma metinlerinin güncellenmesi gerekmektedir. 

•  Saklama ve imha politikasının güncel mevzuata göre güncellenmesi gerekmektedir.

•  Mevzuat, rehberler ve Kurul kararlarında belirtilen veri güvenliği tedbirlerinin alınması gerekmektedir.

Önceki süreçte çalışanların sağlık verileri ancak açık rızaya dayanarak işlenebilmekteydi. Buna karşılık, yeni düzenleme ile çalışana ilişkin ilgili veriler istihdam hukuki sebebine dayanarak işlenebilecektir. Bu sebeple, kanaatimizce, şirketlerin aydınlatma ve rıza metinlerinin bu yönde tekrardan düzenlenmesi gerekecektir. Güvenlik önlemleri bakımından ise, Kanun’daki veri sorumlularının Kurul tarafından belirlenmiş olan yeterli önlemleri alma zorunluluğuna ilişkin hüküm uyarınca belirtilen tedbirlere ilişkin detaylar Kurul’un verdiği kararda ele alınmıştı. Rehber’de, Kurul kararında belirtilen bu tedbirlerin tekrar edildiği görülmektedir.

5. Sonuç

Özel nitelikli kişisel verilerin işlenmesine ilişkin yapılan Kanun değişikliği sonrası ortaya çıkan belirsizlikleri ortadan kaldırmak ve özel nitelikli kişisel veri işleme faaliyetlerinin ve yükümlülüklerin Kanun’a uygun şekilde yerine getirilmesini temin etmek amacıyla Kurum tarafından yayımlanan Rehber, belirsizliklerin bir kısmını ortadan kaldırmıştır. Rehber ile özellikle kılık ve kıyafete ilişkin veriler ile sağlık ve cinsel hayata ilişkin veriler başta olmak üzere veri kategorilerinin anlam ve kapsamları detaylandırılmış ve bu kategorilerin daha belirli bir zemine oturtulması amaçlanmıştır.

Aynı zamanda Kanun’da sayılan veri işleme şartlarına ilişkin önemli açıklamalar getirilmiştir. Bu kapsamda, bir hakkın tesisi, kullanılması veya korunması için zorunlu olması işleme şartı kapsamında kişisel verilerinin üçüncü tarafların haklarının tesisi sebebiyle de işlenebileceği ortaya konmuştur.

Diğer yandan, Rehber yeni birtakım soruları da gündeme getirebilecektir. Zira, Rehber’de atıf verilen Türk Borçlar Kanunu hükmü, işverenlerce işin yahut iş sözleşmesinin ifası için zorunlu olduğundan bahisle özel nitelikli kişisel verilerin işlenmesine dayanak oluşturabilecek bir hukuki yükümlülük olarak kabul edilmektedir.  Benzer şekilde, özellikle biyometrik verinin belirlenmesindeki kriterlere, kişilerden alınan biyolojik örneklerin işlenmesinde alınacak tedbirlere ve temiz adli sicil kayıtlarının özel nitelikli kişisel veri sayılıp sayılmayacağına ilişkin açıklamalardaki birtakım belirsizlikler nedeniyle henüz bu veri kategorilerinin uygulamada tam anlamıyla açıklığa kavuşmadığı söylenebilir. Kurum’un Rehber sonrası uygulamacılar tarafından netleşmeyen hususlara yönelik ilerideki süreçte ek yönlendirmelerde bulunması söz konusu olabilecektir.

Yazar: Bora Yazıcıoğlu, Kübra İslamoğlu Bayer, Aslı Rabia Savaş, Doğa Satı

Kaynak: Lebib Yalkın Aylık Mevzuat Dergisi Nisan Sayısı