12.03.2024 tarihli ve 32487 sayılı Resmî Gazete'de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile 6698 Sayılı Kişisel Verilerin Korunması Kanunu'nda ("Kanun") değişiklikler yapılmıştır. Şubat 2025'te ise Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber ("Rehber") Kişisel Verileri Koruma Kurumu'nun ("Kurum") internet sitesinde yayımlanmıştır.
1. Giriş
Kanun'da özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri olarak belirtilmiştir.
Değişiklik öncesinde özel nitelikli kişisel verilerin işlenebilmesi için kural olarak ilgili kişinin açık rızasının alınması zorunluydu. Söz konusu verilerin ilgili kişinin açık rızası alınmaksızın işlenebilmesi bakımından ise, Kanun'da "sağlık ve cinsel hayata ilişkin veriler" ve "sağlık ve cinsel hayat dışındaki veriler" olmak üzere ikili bir ayrıma gidilmişti. Bu ayrıma göre;
- Sağlık ve cinsel hayat dışındaki veriler: ilgili kişinin açık rızası olmaksızın ancak kanunlarda öngörülen hallerde işlenebilmekteydi.
- Sağlık ve cinsel hayata ilişkin kişisel veriler: ise kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, ancak sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilmekteydi.
Eski düzenlemeye göre sağlık verisini neredeyse sadece Sosyal Güvenlik Kurumu ve Sağlık Bakanlığı ile sağlık kuruluşları işleyebilmekteydi. Sigortacılık sektörü, iş sağlığı ve güvenliği ile sosyal hizmetler kapsamında ihtiyaç duyulan sağlık verilerinin nasıl işleneceği konusunda uygulamada birçok soru işareti vardı. Hatta, Kanun'da yer alan mevcut düzenlemenin kamu kurum ve kuruluşları, özel sektör paydaşları ve sivil toplum kuruluşları tarafından gerçekleştirilen faaliyetleri kısıtlayarak bu kuruluşların mevzuattan kaynaklı birtakım yükümlülüklerini yerine getirebilmelerini dahi engellenmiş vaziyetteydi. Dolayısıyla, mevzuat değişikliğine gidilerek uygulamada karşılaşılan sorunların giderilmesi ve güncel ihtiyaçların karşılanması amaçlandı.
2. Güncel Durum
Yapılan değişiklikler ile, "sağlık ve cinsel hayata ilişkin veriler" ve "sağlık ve cinsel hayat dışındaki veriler" arasındaki ayrım kaldırılmıştır. Dolayıyla, artık "sağlık ve cinsel hayata ilişkin verilerin" diğer özel nitelikli kişisel verilerden farklı işleme şartlarına tabi tutulması söz konusu değildir. Bununla birlikte, işleme şartları tüm özel nitelikli veriler için geçerli olacak şekilde yeniden düzenlenmiş ve hukuka uygunluk sebepleri arttırılmıştır.
Yeni düzenlemeler ışığında özel nitelikli veriler aşağıdaki hallerde işlenebilecektir:
- İlgili kişinin açık rızasının olması: İlgili kişinin özel nitelikli kişisel verilerinin işlenmesi için açık rıza vermesi halinde, söz konusu verilerin açık rızaya dayanılarak işlenmesine devam edilebilecektir. Açık rıza ile aşağıda sayılan diğer işleme şartları arasında hiyerarşik bir fark bulunmamaktadır. Ancak, eskiden de olduğu gibi alınacak olan açık rızanın Kanun'da yer alan genel ilkelere uygun olması gerektiğini hatırlatmak gerekir.
- Kanunlarda açıkça öngörülmesi: Kanunlarda açıkça öngörülmesi halinde özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenebilmesi mümkündür. Örneğin; 2559 sayılı Polis Vazife ve Salâhiyet Kanunu'nun 5. maddesi uyarınca, sürücü belgesi veya pasaport almak için başvuruda bulunan kişilerin parmak izlerinin alınması mümkündür. Rehber'de, kanunun özel nitelikli kişisel verinin işlenmesi hususunda açıkça verdiği yetkiye dayanılarak çıkarılan yönetmelik, tebliğ ve genelge gibi düzenlemelerle ayrıntılı olarak düzenlenmesi halinde de söz konusu özel nitelikli kişisel verilerin "kanunlarda açıkça öngörülmesi" şartı uyarınca işlenebileceği konusunda açıklık getirmiştir.
- Fiili imkânsızlık: Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde özel nitelikli veriler ilgili kişinin açık rızası olmaksızın işlenebilecektir. Herhangi bir sebeple bilinç kaybından ötürü rızasını açıklayamayacak durumda olan kişinin hayatının veya beden bütünlüğünün korunması amacına mahsus olarak kan grubu ve geçirilen hastalıklara ilişkin verilerin işlenmesi bu duruma örnek olarak gösterilebilir.
- İlgili kişinin alenileştirdiği veriler: İlgili kişinin alenileştirdiği kişisel veriler de alenileştirme iradesine uygun olması kaydıyla ilgili kişinin açık rızası olmaksızın işlenebilecektir. Örneğin; kişinin acil durumlarda kullanılması için, herkesçe erişilebilir bir alanda paylaşmış olduğu kan grubu ve alerji bilgileri bu amaca uygun olarak kullanılabilecektir. Altını çizmek gerekir ki, ilgili kişinin özel nitelikli kişisel verilerini alenileştirmiş olması tek başına yeterli olmayıp, veri sorumlusunun bu verileri işlerken ilgili kişinin alenileştirme iradesi veya alenileştirme amacı doğrultusunda hareket etmesi gerekecektir.
- Bir hakkın tesisi, kullanılması veya
korunması: Bir hakkın tesisi,
kullanılması veya korunması için zorunlu
olması halinde, açık rıza
alınmaksızın özel nitelikli kişisel veri
işlenmesi mümkündür. Bu duruma; iş
sözleşmesinin sona ermesinden sonra
açılması muhtemel davalarda savunma
hakkının kullanılması bakımından
işverenin eski işçisine ait sağlık
verilerini saklamaya devam etmesi örnek
gösterilebilecektir.
Benzer şekilde, bir avukatın müvekkilinin hakkını başka bir biçimde tesis etmesinin mümkün olmadığı durumlarda hukuka uygun olarak elde edilmiş özel nitelikli kişisel verileri dava dosyası kapsamında mahkemeye sunması somut olay bazında hukuka uygun bir işleme sebebi olarak değerlendirilebilecektir. Başka bir örnek olarak, çalışanların maaş ödemelerinde eş ve çocuklarına ait engellilik veya sağlık bilgileri gibi özel nitelikli kişisel verilerin işlenmesinin zorunluluk arz ettiği durumlarda, işveren tarafından bu verilerin işlenmesi de bu kapsamda değerlendirilebilecektir. - Sağlık hizmetleri ve benzeri
gereklilikler: Sır saklama
yükümlülüğü altında bulunan
kişiler veya yetkili kurum ve kuruluşlarca, kamu
sağlığının korunması, koruyucu
hekimlik, tıbbi teşhis, tedavi ve bakım
hizmetlerinin yürütülmesi ile sağlık
hizmetlerinin planlanması, yönetimi ve finansmanı
amacıyla gerekli olması halinde özel nitelikli
kişisel veriler açık rıza
alınmaksızın işlenmeye devam
edebilecektir.
Sağlık Bakanlığı, her türlü sağlık kuruluşu ve Sosyal Güvenlik Kurumu'nun belirtilen amaçlarla tuttukları veriler bu kapsamda değerlendirilmektedir. Rehber'de, "yetkili kurum ve kuruluşlar" ifadesinin, yalnızca kamu kurum ve kuruluşlarını değil, bunun yanında sağlık hizmeti sunan gerçek kişiler ile özel hukuk tüzel kişilerini de kapsayacağı belirtilmiştir. "Sır saklama yükümlülüğü altında bulunan kişiler" ifadesinin kapsamına ise bütün sağlık meslekleri mensupları ve sağlık meslekleri mensubu olmasa bile sağlık hizmetinin verilmesine sorumlu olarak iştirak eden kimseler de girmektedir. - İstihdama ilişkin hukuki
yükümlülüklerin yerine getirilmesi:
Özel nitelikli kişisel veriler, istihdam, iş
sağlığı ve güvenliği, sosyal
güvenlik, sosyal hizmetler ve sosyal yardım
alanlarındaki hukuki yükümlülüklerin
yerine getirilmesi için zorunlu olması halinde ilgili
kişinin açık rızası olmaksızın
işlenebilecektir.
Bu hukuki dayanağa örnek olarak; işverenlerin engelli veya hükümlü bireyleri istihdam etme yükümlülüğünü yerine getirmek amacıyla sağlık veya ceza mahkûmiyeti verilerini işlemesi (4857 sayılı İş Kanunu, madde 30), toplu iş sözleşmeleri kapsamında zorunlu sağlık muayeneleri için sağlık verilerinin işlenmesi (6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanunu, madde 36(1)) ve sürücüler ile güvenlik görevlilerine ait ceza mahkûmiyeti ve sağlık verilerinin işlenmesi (Karayolu Taşıma Yönetmeliği, madde 34 ve 5188 sayılı Özel Güvenlik Hizmetlerine Dair Kanun, madde 10) gösterilebilir." - Vakıf, dernek ve diğer kâr amacı
gütmeyen kuruluşlara üyelik: Siyasi,
felsefi, dini veya sendikal amaçlarla kurulan vakıf,
dernek ve diğer kâr amacı gütmeyen
kuruluş ya da oluşumların, tâbi oldukları
mevzuata ve amaçlarına uygun olmak, faaliyet
alanlarıyla sınırlı olmak ve
üçüncü kişilere açıklanmamak
kaydıyla; mevcut veya eski üyelerine ve mensuplarına
veya bu kuruluş ve oluşumlarla düzenli olarak
temasta olan kişilere yönelik olması halinde
özel nitelikli kişisel veri işlemeleri
mümkündür.
Örneğin; kuruluş ve oluşumların mevcut üyelerinin yanı sıra eski üyeleri ve düzenli olarak bağış yapmak suretiyle kendisiyle temas halinde olan kişilerin bu durumlarına ilişkin bilgiyi işlemesi bu kapsamda değerlendirilecektir. Benzer şekilde, bir sendika, kendi faaliyet alanına ve amacına ilişkin olarak sadece sendika üyeliğiyle ilgili verileri işleyebilecektir. Ancak sendika üyelerinin sağlık veya dinine yönelik kişisel veriler, faaliyet alanıyla ve amacıyla ilgisi olmaması halinde işlenemeyecektir.
Yukarıda sayılan işleme şartlarının bazılarında "zorunlu" ve "gerekli" ifadeleri yer almaktadır. Rehber'de belirtildiği üzere;
- "Gereklilik" kavramı, veri işleme faaliyetinin objektif kanıtlara dayalı olarak kişisel verilerin kullanımının gerekçelendirilmesi yolu ile her somut olay özelinde değerlendirilmesi gerektiğini ve "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesi ile de bağlantılı olarak işlenen veri ile ileri sürülen meşru amaç arasında bir bağlantının bulunması gerektiğini ifade etmektedir.
- "Zorunluluk" kavramı öznel bir değerlendirmeye dayanmayıp özel nitelikli kişisel veri işleme faaliyetini mecbur bırakan kamusal ve toplumsal şartların arandığı bir durumu ifade etmekte olup, bu işleme faaliyetinde özel nitelikli kişisel verilerin işlenmesi açısından herhangi bir alternatif yöntemin bulunmaması ve dolayısıyla işleme faaliyetinin söz konusu amaç dahilinde kaçınılamaz olması gerekmektedir.
Dolayısıyla, ilgili şartlara dayanılarak özel nitelikli veri işleme faaliyetine başlamadan önce söz konusu unsurlarının varlığı bakımından değerlendirme yapılması önem arz etmektedir.
3. Sonuç
Değişiklikler sonucunda, özel nitelikli veri işleyen veri sorumlularının, yeni düzenlemeler ışığında açık rıza alınan süreçleri revize etmesi, kişisel veri işleme envanterini, aydınlatma metinlerini, saklama ve imha politikalarını güncellemeleri gerekmektedir.
Özel nitelikli kişisel verilerin işlenmesinde "yeterli önlemlerin alınması" şartı aynen muhafaza edilmiştir. Dolayısıyla, özel nitelikli kişisel verilerin Kişisel Verileri Koruma Kurulu'nun "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili 31.01.2018 tarihli ve 2018/10 sayılı kararı doğrultusunda işlenmeye devam edilmesi, şayet gerekli önlemler alınmıyorsa söz konusu önlemlerin bir an önce uygulamaya konması önem arz etmektedir.
Bununla birlikte, genetik ve/veya biyometrik veri işleyen veri sorumlularının, Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber ve Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber'de yer alan hususları dikkate alması gerekmektedir.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.