Özel Nitelikli Verilerin İşlenmesi: Türkiye'deki Güncel Yasal Çerçeve

12.03.2024 tarihli ve 32487 sayılı Resmî Gazete'de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile 6698 Sayılı Kişisel Verilerin Korunması Kanunu'nda ("Kanun") değişiklikler yapılmıştır. Şubat 2025'te ise Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber ("Rehber") Kişisel Verileri Koruma Kurumu'nun ("Kurum") internet sitesinde yayımlanmıştır.

1. Giriş

Kanun'da özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri olarak belirtilmiştir.

Değişiklik öncesinde özel nitelikli kişisel verilerin işlenebilmesi için kural olarak ilgili kişinin açık rızasının alınması zorunluydu. Söz konusu verilerin ilgili kişinin açık rızası alınmaksızın işlenebilmesi bakımından ise, Kanun'da "sağlık ve cinsel hayata ilişkin veriler" ve "sağlık ve cinsel hayat dışındaki veriler" olmak üzere ikili bir ayrıma gidilmişti. Bu ayrıma göre;

• Sağlık ve cinsel hayat dışındaki veriler: ilgili kişinin açık rızası olmaksızın ancak kanunlarda öngörülen hallerde işlenebilmekteydi.
• Sağlık ve cinsel hayata ilişkin kişisel veriler: ise kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, ancak sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilmekteydi.

Eski düzenlemeye göre sağlık verisini neredeyse sadece Sosyal Güvenlik Kurumu ve Sağlık Bakanlığı ile sağlık kuruluşları işleyebilmekteydi. Sigortacılık sektörü, iş sağlığı ve güvenliği ile sosyal hizmetler kapsamında ihtiyaç duyulan sağlık verilerinin nasıl işleneceği konusunda uygulamada birçok soru işareti vardı. Hatta, Kanun'da yer alan mevcut düzenlemenin kamu kurum ve kuruluşları, özel sektör paydaşları ve sivil toplum kuruluşları tarafından gerçekleştirilen faaliyetleri kısıtlayarak bu kuruluşların mevzuattan kaynaklı birtakım yükümlülüklerini yerine getirebilmelerini dahi engellenmiş vaziyetteydi. Dolayısıyla, mevzuat değişikliğine gidilerek uygulamada karşılaşılan sorunların giderilmesi ve güncel ihtiyaçların karşılanması amaçlandı.

2. Güncel Durum

Yapılan değişiklikler ile, "sağlık ve cinsel hayata ilişkin veriler" ve "sağlık ve cinsel hayat dışındaki veriler" arasındaki ayrım kaldırılmıştır. Dolayıyla, artık "sağlık ve cinsel hayata ilişkin verilerin" diğer özel nitelikli kişisel verilerden farklı işleme şartlarına tabi tutulması söz konusu değildir. Bununla birlikte, işleme şartları tüm özel nitelikli veriler için geçerli olacak şekilde yeniden düzenlenmiş ve hukuka uygunluk sebepleri arttırılmıştır.

Yeni düzenlemeler ışığında özel nitelikli veriler aşağıdaki hallerde işlenebilecektir:

1. İlgili kişinin açık rızasının olması: İlgili kişinin özel nitelikli kişisel verilerinin işlenmesi için açık rıza vermesi halinde, söz konusu verilerin açık rızaya dayanılarak işlenmesine devam edilebilecektir. Açık rıza ile aşağıda sayılan diğer işleme şartları arasında hiyerarşik bir fark bulunmamaktadır. Ancak, eskiden de olduğu gibi alınacak olan açık rızanın Kanun'da yer alan genel ilkelere uygun olması gerektiğini hatırlatmak gerekir.
2. Kanunlarda açıkça öngörülmesi: Kanunlarda açıkça öngörülmesi halinde özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenebilmesi mümkündür. Örneğin; 2559 sayılı Polis Vazife ve Salâhiyet Kanunu'nun 5. maddesi uyarınca, sürücü belgesi veya pasaport almak için başvuruda bulunan kişilerin parmak izlerinin alınması mümkündür. Rehber'de, kanunun özel nitelikli kişisel verinin işlenmesi hususunda açıkça verdiği yetkiye dayanılarak çıkarılan yönetmelik, tebliğ ve genelge gibi düzenlemelerle ayrıntılı olarak düzenlenmesi halinde de söz konusu özel nitelikli kişisel verilerin "kanunlarda açıkça öngörülmesi" şartı uyarınca işlenebileceği konusunda açıklık getirmiştir.
3. Fiili imkânsızlık: Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde özel nitelikli veriler ilgili kişinin açık rızası olmaksızın işlenebilecektir. Herhangi bir sebeple bilinç kaybından ötürü rızasını açıklayamayacak durumda olan kişinin hayatının veya beden bütünlüğünün korunması amacına mahsus olarak kan grubu ve geçirilen hastalıklara ilişkin verilerin işlenmesi bu duruma örnek olarak gösterilebilir.
4. İlgili kişinin alenileştirdiği veriler: İlgili kişinin alenileştirdiği kişisel veriler de alenileştirme iradesine uygun olması kaydıyla ilgili kişinin açık rızası olmaksızın işlenebilecektir. Örneğin; kişinin acil durumlarda kullanılması için, herkesçe erişilebilir bir alanda paylaşmış olduğu kan grubu ve alerji bilgileri bu amaca uygun olarak kullanılabilecektir. Altını çizmek gerekir ki, ilgili kişinin özel nitelikli kişisel verilerini alenileştirmiş olması tek başına yeterli olmayıp, veri sorumlusunun bu verileri işlerken ilgili kişinin alenileştirme iradesi veya alenileştirme amacı doğrultusunda hareket etmesi gerekecektir.
5. Bir hakkın tesisi, kullanılması veya korunması: Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması halinde, açık rıza alınmaksızın özel nitelikli kişisel veri işlenmesi mümkündür. Bu duruma; iş sözleşmesinin sona ermesinden sonra açılması muhtemel davalarda savunma hakkının kullanılması bakımından işverenin eski işçisine ait sağlık verilerini saklamaya devam etmesi örnek gösterilebilecektir.
   Benzer şekilde, bir avukatın müvekkilinin hakkını başka bir biçimde tesis etmesinin mümkün olmadığı durumlarda hukuka uygun olarak elde edilmiş özel nitelikli kişisel verileri dava dosyası kapsamında mahkemeye sunması somut olay bazında hukuka uygun bir işleme sebebi olarak değerlendirilebilecektir. Başka bir örnek olarak, çalışanların maaş ödemelerinde eş ve çocuklarına ait engellilik veya sağlık bilgileri gibi özel nitelikli kişisel verilerin işlenmesinin zorunluluk arz ettiği durumlarda, işveren tarafından bu verilerin işlenmesi de bu kapsamda değerlendirilebilecektir.
6. Sağlık hizmetleri ve benzeri gereklilikler: Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması halinde özel nitelikli kişisel veriler açık rıza alınmaksızın işlenmeye devam edebilecektir.
   Sağlık Bakanlığı, her türlü sağlık kuruluşu ve Sosyal Güvenlik Kurumu'nun belirtilen amaçlarla tuttukları veriler bu kapsamda değerlendirilmektedir. Rehber'de, "yetkili kurum ve kuruluşlar" ifadesinin, yalnızca kamu kurum ve kuruluşlarını değil, bunun yanında sağlık hizmeti sunan gerçek kişiler ile özel hukuk tüzel kişilerini de kapsayacağı belirtilmiştir. "Sır saklama yükümlülüğü altında bulunan kişiler" ifadesinin kapsamına ise bütün sağlık meslekleri mensupları ve sağlık meslekleri mensubu olmasa bile sağlık hizmetinin verilmesine sorumlu olarak iştirak eden kimseler de girmektedir.
7. İstihdama ilişkin hukuki yükümlülüklerin yerine getirilmesi: Özel nitelikli kişisel veriler, istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması halinde ilgili kişinin açık rızası olmaksızın işlenebilecektir.
   Bu hukuki dayanağa örnek olarak; işverenlerin engelli veya hükümlü bireyleri istihdam etme yükümlülüğünü yerine getirmek amacıyla sağlık veya ceza mahkûmiyeti verilerini işlemesi (4857 sayılı İş Kanunu, madde 30), toplu iş sözleşmeleri kapsamında zorunlu sağlık muayeneleri için sağlık verilerinin işlenmesi (6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanunu, madde 36(1)) ve sürücüler ile güvenlik görevlilerine ait ceza mahkûmiyeti ve sağlık verilerinin işlenmesi (Karayolu Taşıma Yönetmeliği, madde 34 ve 5188 sayılı Özel Güvenlik Hizmetlerine Dair Kanun, madde 10) gösterilebilir."
8. Vakıf, dernek ve diğer kâr amacı gütmeyen kuruluşlara üyelik: Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veya bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması halinde özel nitelikli kişisel veri işlemeleri mümkündür.
   Örneğin; kuruluş ve oluşumların mevcut üyelerinin yanı sıra eski üyeleri ve düzenli olarak bağış yapmak suretiyle kendisiyle temas halinde olan kişilerin bu durumlarına ilişkin bilgiyi işlemesi bu kapsamda değerlendirilecektir. Benzer şekilde, bir sendika, kendi faaliyet alanına ve amacına ilişkin olarak sadece sendika üyeliğiyle ilgili verileri işleyebilecektir. Ancak sendika üyelerinin sağlık veya dinine yönelik kişisel veriler, faaliyet alanıyla ve amacıyla ilgisi olmaması halinde işlenemeyecektir.

Yukarıda sayılan işleme şartlarının bazılarında "zorunlu" ve "gerekli" ifadeleri yer almaktadır. Rehber'de belirtildiği üzere;

• "Gereklilik" kavramı, veri işleme faaliyetinin objektif kanıtlara dayalı olarak kişisel verilerin kullanımının gerekçelendirilmesi yolu ile her somut olay özelinde değerlendirilmesi gerektiğini ve "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesi ile de bağlantılı olarak işlenen veri ile ileri sürülen meşru amaç arasında bir bağlantının bulunması gerektiğini ifade etmektedir.
• "Zorunluluk" kavramı öznel bir değerlendirmeye dayanmayıp özel nitelikli kişisel veri işleme faaliyetini mecbur bırakan kamusal ve toplumsal şartların arandığı bir durumu ifade etmekte olup, bu işleme faaliyetinde özel nitelikli kişisel verilerin işlenmesi açısından herhangi bir alternatif yöntemin bulunmaması ve dolayısıyla işleme faaliyetinin söz konusu amaç dahilinde kaçınılamaz olması gerekmektedir.

Dolayısıyla, ilgili şartlara dayanılarak özel nitelikli veri işleme faaliyetine başlamadan önce söz konusu unsurlarının varlığı bakımından değerlendirme yapılması önem arz etmektedir.

3. Sonuç

Değişiklikler sonucunda, özel nitelikli veri işleyen veri sorumlularının, yeni düzenlemeler ışığında açık rıza alınan süreçleri revize etmesi, kişisel veri işleme envanterini, aydınlatma metinlerini, saklama ve imha politikalarını güncellemeleri gerekmektedir.

Özel nitelikli kişisel verilerin işlenmesinde "yeterli önlemlerin alınması" şartı aynen muhafaza edilmiştir. Dolayısıyla, özel nitelikli kişisel verilerin Kişisel Verileri Koruma Kurulu'nun "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili 31.01.2018 tarihli ve 2018/10 sayılı kararı doğrultusunda işlenmeye devam edilmesi, şayet gerekli önlemler alınmıyorsa söz konusu önlemlerin bir an önce uygulamaya konması önem arz etmektedir.

Bununla birlikte, genetik ve/veya biyometrik veri işleyen veri sorumlularının, Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber ve Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber'de yer alan hususları dikkate alması gerekmektedir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.