byGenel

Giriş

Özel Nitelikli Kişisel Veri Kavramı ve Önemi

Özel nitelikli kişisel veriler, niteliği gereği bireylerin temel hak ve özgürlükleri üzerinde ciddi riskler yaratabilecek hassas bilgilerdir. Bu verilerin kötüye kullanılması, bireyler açısından ayrımcılığa uğrama, itibar zedelenmesi veya başka zararlar doğurabilir. Kişisel Verilerin Korunması Kanunu (KVKK) ve uluslararası düzenlemeler, bu tür verileri ayrı bir kategoride değerlendirmektedir. Kanun, hangi verilerin “özel nitelikli” kabul edildiğini sınırlı sayma yöntemiyle belirlemiştir ve bunların dışında kalanlar bu kapsama girmez. Örneğin, ırk veya etnik köken bilgisi bu kapsama girerken, uyruk bilgisi girmemektedir.

Özel nitelikli kişisel verilere örnekler: KVKK’da sayılan bu veriler arasında şunlar yer alır:

  • Irk veya etnik köken
  • Siyasi düşünce
  • Felsefi inanç, din, mezhep veya diğer inançlar
  • Kılık ve kıyafet
  • Dernek, vakıf ya da sendika üyeliği
  • Sağlık ve cinsel hayata ilişkin veriler
  • Ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler
  • Biyometrik ve genetik veriler

Bu bilgilerin birçoğu kişinin düşünce ve inanç özgürlüğü, özel yaşamın gizliliği, sağlık hakkı gibi temel hak alanlarına dokunur. Örneğin kişinin dini inancı veya siyasi görüşü açıklanırsa ayrımcılık riski doğabilir; sağlık veya genetik bilgilerin izinsiz ifşası hem toplumsal damgalamaya yol açabilir hem de bireyin özel hayatını ihlal edebilir. Bu nedenle Genel Veri Koruma Tüzüğü (GDPR) gibi uluslararası düzenlemeler de bu verilere özel koruma tanır ve bunların işlenmesine genel bir yasak getirerek ancak belirli koşullarda istisna tanır. Yine Avrupa Konseyi 108+ Sözleşmesi gibi küresel standartlar, hassas veri kataloğunu özellikle genetik ve biyometrik veriler gibi kategorileri ekleyerek genişletmiştir.

Neden “özel” nitelikli? Bu verilerin işlenmesi, bireyin özel hayatına saygı, düşünce ve inanç özgürlüğü, ayrımcılığa uğramama hakkı gibi temel haklarını ihlal etmeye diğer verilere kıyasla daha elverişlidir. Bu sebeple kanun koyucular, özel nitelikli verileri daha sıkı koşullara bağlamıştır. Nitekim KVKK md.6, bu verilerin kural olarak ilgili kişinin açık rızası olmaksızın işlenemeyeceğini belirtmiş; rıza dışı işleme için ancak yasada öngörülen özel hâlleri istisna tutmuştur. Benzer şekilde GDPR’da da bu verilerin işlenmesi prensip olarak yasaktır ve ancak hayati tehlikenin önlenmesi, bir hakkın tesisi, kamu sağlığının korunması gibi sayılı durumlarda izin verilir. Bu yaklaşım, bu veri kategorilerinin özel hayatın gizliliği ve ayrımcılıktan korunma açısından taşıdığı yüksek hassasiyetin bir sonucudur.

KVKK’da Özel Nitelikli Verilere İlişkin Yasal Çerçeve

KVKK md.6, özel nitelikli kişisel verileri tek tek saymış ve bunlar için genel veri işleme şartlarından daha katı koşullar getirmiştir. Kanunun ilk halinde sağlık ve cinsel hayata ilişkin veriler ayrı bir işleme rejimine tabi idi: İlgili kişinin sağlık veya cinsel hayat verileri, normalde açık rızaya bağlı iken, kamu sağlığının korunması, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin finansmanı gibi amaçlarla ve ancak sır saklama yükümlülüğü altındaki kişiler (örneğin hekimler) veya yetkili kurumlar tarafından, açık rıza aranmaksızın işlenebiliyordu. Buna karşılık, sağlık ve cinsel hayat dışındaki özel nitelikli veriler (örneğin biyometrik, ceza mahkûmiyeti, din, sendika üyeliği vb.), kanunlarda açıkça öngörülen hâllerde rıza olmaksızın işlenebiliyordu.

2024 Yılı Değişiklikleri: 12 Mart 2024 tarihli ve 7499 sayılı Kanun ile KVKK md.6’da önemli değişiklikler yapıldı. Bu değişiklikler, 1 Haziran 2024 itibariyle yürürlüğe girerek sağlık/cinsel hayat verileri ile diğer özel nitelikli veriler arasındaki ayrımı kaldırdı ve özel nitelikli verilerin işlenebileceği istisnai durumları yeniden düzenledi. Yeni düzenlemeye göre, tüm özel nitelikli veriler şu durumlarda ilgili kişinin açık rızası aranmaksızın işlenebilecektir:

  • Kanunlarda açıkça öngörülmesi: Eğer özel nitelikli bir verinin işlenmesine ilişkin bir kanun hükmü bulunuyorsa.
  • Hayati tehlike veya beden bütünlüğünün korunması için zorunlu olması: Kişinin rızasını açıklayamayacak durumda bulunduğu bir hâlde, kendisinin veya bir başkasının hayatını veya vücut bütünlüğünü korumak için verinin işlenmesinin zorunlu olduğu durumlar.
  • İlgili kişi tarafından alenileştirilmiş olması: Verinin, ilgili kişi tarafından alenen açıklanmış olması.
  • Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması: Örneğin bir dava veya savunma hakkı kapsamında, özel nitelikli verinin işlenmesinin zorunlu olduğu hâller.
  • İstihdam, iş sağlığı ve güvenliği ile sosyal güvenlik yükümlülüklerinin ifası için zorunlu olması: İşverenin, çalışanların işe uygunluğu veya işyerindeki sağlık/güvenlik tedbirleri gibi yasal yükümlülükleri kapsamında özel nitelikli veri işlemesinin gerektiği durumlar.
  • Dernek, vakıf, sendika vb. kâr amacı gütmeyen kuruluşların faaliyetleri kapsamında: İlgili kuruluşun amacıyla bağlantılı olarak, üyelerine veya ilgili kişilere ait özel verilerin, kuruluş içi meşru faaliyetler çerçevesinde işlenmesi (GDPR’daki benzer şekilde, kapalı grup içerisinde kalmak kaydıyla).

2024 yılı değişiklikleri, KVKK’yı büyük ölçüde GDPR’daki özel kategori istisnalarına paralel hale getirmiştir. Önceden yalnızca sağlık/cinsel hayat verilerine tanınan kamu sağlığı gibi istisnalar, artık tüm özel nitelikli verilere uygun biçimde genişletilmiştir. Bu değişiklik, uygulamada sağlık verilerinin ayrıcalıklı konumunu kaldırmış, örneğin iş sağlığı ve güvenliği gerekleriyle sağlık verisi işlenmesi gibi durumları açık bir kanuni zemine oturtmuştur.

Açık rıza gerektiren hâller: Yukarıda sayılan istisnalar dışında kalan durumlarda, veri sorumlusu özel nitelikli verileri ancak ilgili kişinin açık rızasını alarak işleyebilir. Kanun açık rızanın geçerliliği için genel kurallara ek olarak, özellikle özel nitelikli veri söz konusuysa rızanın belirli, bilgilendirilmiş ve özgür iradeyle açıklanmış olmasına vurgu yapmaktadır. İş ilişkisinde veya hizmet alımında verilecek rızanın baskı altında kalmadan alınması gereği, hassas veri işleme bakımından ayrı bir önem taşır. Aksi halde rızaya dayalı işlemenin de hukuka aykırı sayılabileceği unutulmamalıdır.

Sağlık Verilerinin Korunması ve İlgili Örnekler

Sağlık verileri, bireyin fiziki ve ruhsal sağlığına dair her türlü bilgiyi (hastalık geçmişi, test sonuçları, engellilik durumu, genetik veriler gibi) kapsar. Bu veriler son derece mahrem olup, yetkisiz kişilerin eline geçmesi bireyin özel hayatına ciddi müdahale anlamına gelir. Aynı zamanda sağlık bilgilerinin açığa çıkması, özellikle bazı hastalıklar konusunda toplumdaki önyargılar nedeniyle damgalanma veya ayrımcılık sonucunu doğurabilir. Bu nedenle sağlık verilerinin gizliliği, tüm modern hukuk sistemlerinde temel bir ilkedir.

Yasal durum: KVKK uyarınca sağlık verileri de özel nitelikli kabul edilmiş ve işlenmesi sıkı şartlara bağlanmıştır. Özellikle sağlık sektöründe, hasta mahremiyetini korumak için çeşitli özel düzenlemeler de vardır. Örneğin Hasta Hakları Yönetmeliği ve tıp meslek etik kuralları, hastanın tıbbi bilgilerinin gizliliğini korumayı hekimler için yasal bir yükümlülük kılar. KVKK’daki değişiklik öncesinde, sağlık verileri ancak kamu sağlığının korunması, tıbbî teşhis ve tedavi amacıyla ve sır saklama yükümlülüğü altındaki sağlık profesyonelleri tarafından rıza olmadan işlenebiliyordu. Bu kural, fiilen sağlık kurumlarının rutin işleyişinde hasta rızası aranmaksızın tanı ve tedaviye yönelik veri işlemeyi mümkün kılmıştı. 2024 değişikliğiyle birlikte her ne kadar ayrı bent kalksa da, “sağlık ve tıbbî amaçlarla işleme” hali, yeni düzenlemedeki “kamu sağlığı ve iş sağlığı gerekçeleri” ile “bir hakkın tesisi veya sosyal güvenlik yükümlülüğü” gibi istisnalarda karşılığını bulmaktadır.

Yargı kararları (uluslararası): Avrupa İnsan Hakları Mahkemesi (AİHM), sağlık verilerinin gizliliğini özel hayatın gizliliği kapsamında titizlikle korumaktadır. AİHM’nin 1997 tarihli Z. / Finlandiya kararında, bir HIV pozitif hastanın tıbbi bilgilerinin mahkeme belgesiyle basına ifşa edilmesi özel hayatın ihlali sayılmıştır. Mahkeme bu kararında, sağlık verilerinin gizliliğine saygının bütün Sözleşmeci devletlerin hukuk sistemlerinde yaşamsal bir ilke olduğunu vurgulamıştır. Bireyin hasta olarak mahremiyeti ve tıbbi kurumlara güveninin korunabilmesi için, ulusal hukukun bu alanda uygun güvenceler sağlaması gerektiğini belirtmiştir. Benzer şekilde AİHM, 2014 tarihli L.H. / Letonya davasında, bir devlet kurumunun hastanın geniş çaplı tıbbi verilerini rızası olmadan toplamasını, yasal dayanakların belirsizliği nedeniyle özel hayata saygı hakkının ihlali olarak görmüştür. Bu kararlar, sağlık bilgilerinin toplanması ve paylaşılmasında kanunilik, gereklilik ve ölçülülük ilkelerinin önemini ortaya koymaktadır.

Yargı kararları (Türkiye): Ülkemizde de Anayasa Mahkemesi ve diğer yüksek yargı organları, sağlık verilerinin korunmasına ilişkin ilkeler ortaya koymuştur. Örneğin, Anayasa Mahkemesi’nin bir bireysel başvurusunda, bir hastanın sağlık raporunun izinsiz şekilde basına sızdırılması durumunda özel hayatın gizliliğinin ihlal edildiği tespit edilmiştir (Mahkeme, kişisel verilerin korunması hakkını Anayasa md.20 kapsamında değerlendirmektedir). Ayrıca, işyerlerinde çalışanların sağlık bilgilerinin gizliliği hususunda da iş hukuku uygulamasında hassasiyet gelişmektedir. İşverenler, çalışanların sağlık raporları veya test sonuçları gibi verilerini işlerken sadece iş güvenliği veya kanuni zorunluluk ölçüsünde bu bilgileri talep edebilmeli, gereksiz veya aşırı veri toplamaktan kaçınmalıdır. Aksi durum, KVKK ihlaline yol açabileceği gibi, Türk hukukunda kişilik haklarına saldırı veya ayrımcılık iddialarını da gündeme getirebilir.

Uluslararası iş birliği uygulamaları: Sağlık verilerinin uluslararası dolaşımı sıkı kurallara tabidir. Örneğin, Avrupa Birliği içinde vatandaşların temel sağlık kayıtlarının sınır ötesi paylaşımı (acil durumlarda veya sigorta işlemlerinde) için eSağlık ağları oluşturulurken, bu sistemler yüksek güvenlik standartları ile çalışır ve sadece yetkili sağlık otoritelerine erişim tanır. Ülkeler arasında salgın hastalık verilerinin paylaşılması veya klinik araştırma amaçlı veri transferleri de ancak anonimleştirme veya açık rıza gibi şartlarla yapılır. Dünya Sağlık Örgütü ve diğer uluslararası organlar, sağlık verilerinin korunması konusunda üye ülkelere rehber ilkeler sunmaktadır. Nihai amaç, kamu sağlığını koruma gereği ile birey mahremiyetini dengeleyecek politikalar geliştirmek ve uluslararası düzeyde en yüksek koruma standardını yaygınlaştırmaktır.

Biyometrik Veriler ve Mahremiyet

Biyometrik veriler, bir kişinin benzersiz fiziksel, fizyolojik veya davranışsal özelliklerini ifade eden ve o kişinin tanınmasını sağlayan verilerdir. Parmak izi, avuç içi izi, retina/iris taraması, yüz geometrisi veya görüntüsü, ses tonu gibi veriler fizyolojik biyometriklere; yürüyüş şekli, klavye tuş vuruş ritmi gibi veriler davranışsal biyometriklere örnek verilebilir. Bu veriler değiştirilemez ve bireye özgü olduğundan, ele geçirilmesi durumunda kişiyi ömür boyu risk altında bırakabilir. Örneğin bir parmak izi şifresinin çalınması, şifrenin sonsuza dek ifşa olması gibidir – kişi parmak izini değiştiremez. Bu nedenle biyometrik veriler hem KVKK’da hem de GDPR gibi düzenlemelerde özel nitelikli kabul edilerek yüksek koruma altına alınmıştır.

Kullanım alanları ve riskler: Biyometrik veriler günümüzde güvenlik ve kolaylık sağlama gerekçeleriyle yaygın kullanıma girmiştir. Kurumlar personel devam kontrol sistemi olarak parmak izi veya yüz tanıma sistemleri kurmakta; akıllı telefonlar parmak izi/yüz ile kilit açmaktadır; sınır kapılarında pasaport yerine parmak izi taranabilmektedir. Ancak bu kullanım alanlarında ölçülülük ve alternatifsizlik ilkeleri kritik önem taşır. Biyometrik sistemler, sırf teknolojik yenilik uğruna her yere uygulanmamalıdır. Özellikle işyerlerinde giriş-çıkış kontrolü için biyometrik yöntemlere başvurulması, çalışanın kişisel verilerinin mahremiyetine ciddi müdahale teşkil eder ve daha az müdahaleci yöntemlerle (kartlı geçiş, şifre vb.) aynı amaç sağlanabiliyorsa ölçülülük ilkesine aykırı kabul edilir.

Kurul ve mahkeme kararları (Türkiye): Kişisel Verileri Koruma Kurulu, işyerlerinde parmak iziyle yoklama uygulamalarına karşı net bir tutum almıştır. Kurulun 2020 tarihli bir kararında, bir şirketin tüm çalışanlarından parmak izi toplayarak mesai takibi yapması, amaçla bağlantılı ve ölçülü olmadığı için hukuka aykırı bulunmuş; bu uygulamanın sonlandırılması ve veri sorumlusuna idari para cezası uygulanmasına karar verilmiştir. Kurul, çalışanların devam kontrolü için daha az müdahaleci yöntemler varken biyometrik veriye başvurulmasını gereksiz risk olarak değerlendirmektedir. Nitekim Kurul’un 2022/662 sayılı kararında, bir tesis girişinde el geometrisi verisi alınmasının da açık rıza olmadan yapılamayacağı belirtilmiş; Danıştay 15. Dairesi’nin 2014/4562 E. sayılı kararına atıfla, el geometrisinin de bir biyometrik tanıma yöntemi olduğu ve bu tür uygulamaların ölçüsüz olabileceği vurgulanmıştır.

Türkiye’de Anayasa Mahkemesi de yakın dönemde bu konuya ilişkin önemli bir karar verdi. Ramazan Şahin başvurusu (10/3/2022 tarihli) olarak bilinen olayda, bir belediyede çalışanların mesaisini parmak iziyle takip uygulaması değerlendirilmiştir. Başvurucu memur, parmak izinin zorla kaydedilmesinin kişisel verilerin korunmasını isteme hakkını ihlal ettiğini ileri sürmüştür. Anayasa Mahkemesi, bu uygulamanın Anayasa md.20’de güvence altındaki özel hayata saygı ve kişisel veri koruma hakkını ihlal ettiğine karar vermiştir. Gerekçede, parmak izi gibi biyometrik bir verinin işlenebilmesi için ya açık rızanın ya da kanuni bir düzenlemenin bulunması gerektiği belirtilmiştir. Somut olayda ne çalışanın gerçekten özgür iradeyle verdiği bir rıza ne de böyle bir uygulamayı açıkça yetkilendiren bir kanun bulunmadığından, müdahalenin kanunilik şartını taşımadığı vurgulanmıştır. Ayrıca Mahkeme, idarenin denetim amacı meşru olsa bile, daha az müdahaleci yollar (örneğin kart sistemi) varken biyometrik yönteme başvurulmasının ölçüsüz olabileceğine dikkat çekmiştir. Bu kararla, kamuda veya özel sektörde biyometrik yöntemlerle kontrol sistemleri kurulması için açık yasal dayanak gerekliliği netleşmiştir.

Uluslararası kararlar: Biyometrik veri konusunda AİHM’in önemli içtihatları mevcuttur. Özellikle S. ve Marper / Birleşik Krallık (2008) davasında, hiçbir suça mahkûm olmamış kişilerin parmak izi ve DNA profillerinin süresiz olarak polis veritabanında tutulması özel hayata saygı hakkının ihlali sayılmıştır. Mahkeme, masum insanların biyometrik bilgilerinin ayrım gözetmeksizin süresiz depolanmasını demokratik toplumda gereksiz bulmuştur. Devamında, Gaughran / Birleşik Krallık (2020) kararında, bu ilke bir adım ileri götürülerek, küçük bir suçtan mahkûm olmuş bir kişinin DNA, parmak izi ve fotoğrafının süresiz olarak saklanmasının da orantısız olduğuna hükmedilmiştir. AİHM, suçun ciddiyetiyle orantılı olmayan şekilde herkesin biyometrik verisinin belirsiz süre tutulmasını doğru bulmamıştır. Aynı gün verilen Trajkovski ve Chipovski / Kuzey Makedonya (2020) kararları da benzer biçimde, hükümlülerin bile biyometrik verilerinin otomatik olarak sınırsız saklanmasının sıkı denetime tabi tutulması gerektiğini ortaya koymuştur. Bu kararlar ışığında birçok Avrupa ülkesi, adli biyometrik veri bankalarında silme ve gözden geçirme mekanizmaları getirmiş, belirli süre sonunda masum kişilerin verilerini silmeye veya hükümlüler için de belirli süreler öngörmeye başlamıştır.

Öte yandan, bazı ülkelerin veri koruma otoriteleri de biyometrik uygulamalar hakkında sınırlamalar getirmektedir. Örneğin Fransa’da CNIL, işyerlerinde parmak iziyle çalışan takibini özel izne bağlamış ve izinsiz böyle bir sistem kullanan bir şirketi para cezasına çarptırmıştır. İspanya’da AEPD de benzer şekilde, işe giriş-çıkışta parmak izi veya yüz tanıma kullanımını ancak çok gerekli ise ve alternatif yoksa kabul edilebilir görmektedir. Bu örnekler, uluslararası iş birliği ve ortak anlayışın bir parçası olarak, biyometrik verilerin korunması konusunda yükselen standartları göstermektedir. Birçok ülke, Interpol veya Europol gibi kuruluşların çatısı altında biyometrik veri paylaşımını sıkı kurallarla yapıyor; örneğin Interpol’ün parmak izi veri tabanına yüklenen kayıtlar belli şartlara tabi tutuluyor. Sonuç olarak, biyometrik veriler konusunda küresel eğilim, “gerekmedikçe toplama – toplandığında da güçlü teknik korumalar uygulama” yönündedir.

Cezai Kayıtlara İlişkin Veriler ve Koruma Tedbirleri

Ceza mahkûmiyeti, adli sicil ve güvenlik tedbirlerine ilişkin veriler, bir kişinin ceza adalet sistemiyle ilişkili bilgilerini içerir. Sabıka kaydı (adli sicil kaydı), devam eden soruşturmalar veya kovuşturmalar, tutukluluk bilgileri, belirli suçlardan mahkûmiyetler ve benzeri veriler bu kapsama girer. KVKK, bu verileri de özel nitelikli sayarak işlenmesini sınırlandırmıştır. Bunun temel nedeni, ceza kayıt bilgilerinin ifşasının birey üzerinde ağır sonuçlar doğurabilmesidir: İş bulma zorluğu, toplumsal damgalama, hatta kişinin yeniden topluma kazandırılması çabalarının sekteye uğraması gibi.

İşlenme şartları: KVKK’nın ilk halinde de ceza mahkûmiyeti ve güvenlik tedbiri verileri, ancak kanunlarda öngörülen hâllerde ilgili kişinin rızası aranmaksızın işlenebilir olarak düzenlenmişti. Bu, fiilen şu anlama gelir: İşverenlerin veya başka özel kişi/kurumların, birinin sabıka kaydını yalnızca kanun açıkça izin veriyorsa talep edip işlemesi mümkündür. Örneğin bir güvenlik şirketinin 5188 sayılı Kanun gereği güvenlik görevlilerinin belirli suçlardan mahkûm olmamış olduğunu denetlemesi veya bir öğretmen ataması öncesi Milli Eğitim mevzuatı gereği adli sicil kaydı istenmesi, kanuni dayanakları olduğu için yapılabilir. Ancak genel olarak, “temiz kağıdı” adıyla her iş için sabıka kaydı istenmesi, eğer kanunen zorunlu değilse, KVKK kapsamında özel nitelikli veri işleme şartlarına aykırı düşebilir. Özellikle iş başvurularında, adayın açık rızası olsa bile bunun özgür bir irade beyanı olup olmadığı tartışmalıdır; zira işe kabul edilme kaygısı, rızanın gönüllülük niteliğini zayıflatır. Bu nedenle, doktrinde iş başvurularında sabıka kaydı istenmesinin ancak kanuni bir gereklilik varsa meşru olacağı belirtilmektedir.

Adli sicil verilerinin saklanması ve silinmesi: Türkiye’de adli sicil kayıtları belirli süre sonunda silinmekte veya arşive çekilmektedir. Bu, ceza adaletinde rehabilitasyon ilkesinin bir yansımasıdır. Belirli bir süre suç işlemeyen kişilerin adli sicilinin temizlenmesi, onların topluma yeniden entegrasyonunu kolaylaştırmayı amaçlar. Benzer uygulamalar pek çok ülkede mevcuttur. Örneğin Avrupa’da çoğu ülke, belirli hafif suç kayıtlarının belli süre sonra otomatik silinmesini öngörmektedir. Bu süre ve usuller genellikle her ülkenin ceza kayıtları yasasında düzenlenmiştir.

AİHM içtihatları: AİHM, ceza mahkûmiyeti verilerinin ve hatta mahkûmiyet dışındaki adli kayıtların saklanması konusunda da devletlere bazı sınırlar çizmektedir. M.M. / Birleşik Krallık (2012) davasında, AİHM bir bireyin yıllar önce almış olduğu küçük bir ceza uyarısının (polisteki “ikaz” kaydının) süresiz biçimde saklanıp her işe girişte ortaya çıkmasını özel hayata saygı hakkına aykırı bulmuştur. Mahkeme, arşivlenen bu tür verilerin belli bir süre sonra silinmemesinin, bireyin unutulma hakkını zedelediğine dikkat çekmiş ve İngiliz hukukunda bu konuda düzenleme yapılmasını teşvik etmiştir. Yine Catt / Birleşik Krallık (2019) kararında, mahkeme herhangi bir suç işlememiş bir aktivistin politik eylemlerine dair polis kayıtlarının (bir nevi fişleme bilgilerinin) süresiz tutulmasını ihlal olarak değerlendirmiştir. AİHM özellikle “siyasi görüşleri ifşa eden kişisel verilerin daha yüksek koruma gerektirdiğini” belirtmiş ve polisin elindeki kayıtların belirsiz süre tutulmasına karşı yasal güvencelerin eksikliğini eleştirmiştir.

Yüksek mahkeme kararları (Türkiye): Türk Anayasa Mahkemesi de 2018 yılında verdiği bir kararda, kişinin unutulma hakkı çerçevesinde internet arama motorlarından adli siciline dair haberlerin kaldırılmasına karar vermiştir. Her ne kadar doğrudan KVKK değil, Anayasa’nın özel hayatın gizliliği kapsamında değerlendirilse de, bu karar ceza kayıtlarının belirli bir süre sonra kamu erişimine kapatılmasının gerekliliğine işaret eder. Ayrıca mevzuatımızda 5352 sayılı Adli Sicil Kanunu, belirli koşullar gerçekleştiğinde adli sicil ve arşiv kayıtlarının silinmesini düzenleyerek kişiler açısından yeni bir başlangıç imkânı tanımaktadır. Bu yasal çerçeve, AİHM kararlarında vurgulanan gerekliliklerle uyumlu bir şekilde, “bir süre sonra cezai verilerin mahrem alana çekilmesi” prensibini hayata geçirmektedir.

Uluslararası veri paylaşımı ve iş birliği: Ceza kayıtları, uluslararası güvenlik iş birliğinin de parçasıdır. Örneğin ülkeler arası suçluların iadesi veya güvenlik soruşturmalarında, sabıka kayıt bilgileri paylaşılabilir. Avrupa Birliği, üye ülkelerin adli sicil bilgilerinin karşılıklı değişimi için ECRIS adında bir sistem kurmuştur. Bu sistemde, bir AB vatandaşının başka bir üye ülkedeki mahkûmiyeti merkezi olarak ilgili ülkeye bildirilmektedir. Ancak bu tip iş birliklerinde dahi, verinin amacı dışında kullanılmaması ve belirli bir süre sonra silinmesi gibi güvenceler öngörülür. Yine Interpol’ün ve Europol’ün uluslararası suç veri tabanlarına erişim de sıkı kurallara bağlıdır; örneğin bir kişinin kırmızı bültenle aranması bilgisi, hukuki dayanak ortadan kalktığında sistemden çıkarılır. Bu uygulamalar, ceza verilerinin uluslararası alanda yalnızca suçla mücadele ve güvenlik amaçlarıyla, o da orantılı ve hukuka uygun şekilde paylaşılmasını sağlamaya yöneliktir.

Özel Nitelikli Verilerde Ek Güvenlik Önlemleri ve Politika Gereklilikleri

Özel nitelikli kişisel veriler, işleme şartları kadar güvenlik tedbirleri açısından da diğer verilere göre daha sıkı bir rejime tabi tutulmalıdır. KVKK md.12 uyarınca veri sorumluları, ellerindeki tüm kişisel verilerin güvenliğini sağlamak için uygun teknik ve idari tedbirleri almakla yükümlüdür. Ancak Kanun md.6(4), özel nitelikli verilerin işlenmesinde Kurul tarafından belirlenen ilave önlemlerin de alınmasını şart koşar. Bu kapsamda, Kişisel Verileri Koruma Kurulu 31/01/2018 tarihli 2018/10 sayılı Kararı ile özel nitelikli veriler için alınması gereken “yeterli önlemleri” listelemiştir. Bu önlemler, veri sorumlularının hem dahili politikalarını hem teknik altyapılarını kapsayan geniş bir yelpazeye yayılır. Aşağıda, özel nitelikli veri işleyen kurum veya şirketlerin alması gereken başlıca ek tedbirler özetlenmiştir:

  • Politika ve Prosedürler: Kurum içinde, özel nitelikli verilerin güvenliğine dair ayrı bir politika ve prosedür seti oluşturulmalıdır. Bu politika, kuralların net tanımlandığı, sürdürülebilir ve yönetilebilir bir yapı olmalıdır. Örneğin “Özel Nitelikli Verileri Koruma ve İşleme Politikası” adıyla ayrı bir doküman hazırlanarak çalışanlara duyurulabilir.
  • Eğitim ve Gizlilik Taahhüdü: Özel nitelikli veri işleme süreçlerinde görev alan tüm çalışanlara, KVKK, ilgili yönetmelikler ve veri güvenliği konularında düzenli eğitimler verilmelidir. Bu çalışanlarla ayrıca gizlilik taahhütnameleri imzalanarak, bu verileri sırren muhafaza yükümlülüğü altına girdikleri yazılı hale getirilmelidir.
  • Yetki Matrisi ve Erişim Kontrolü: Özel nitelikli verilere erişimi olan kullanıcılar (çalışanlar veya dış servis sağlayıcılar), sadece görevleri gereği ihtiyaç duyduğu kadarıyla erişebilmelidir. Bunun için erişim yetkilerinin kapsamı ve süresi net tanımlanmalı, rollere göre bir yetki matrisi oluşturulmalıdır. Yetkiler düzenli aralıklarla gözden geçirilmeli; görev değişikliği veya işten ayrılma durumunda ilgili kişinin erişim yetkileri derhal kaldırılmalıdır. Kurumdan ayrılan bir çalışanın elindeki cihazlar, dosyalar iade alınmalı, sistem hesapları kapatılmalıdır.
  • Elektronik Ortam Tedbirleri: Özel nitelikli veriler elektronik ortamlarda tutuluyorsa, şu teknik tedbirler uygulanmalıdır:
    • Veriler güçlü kriptografik yöntemlerle şifrelenerek saklanmalıdır. (Örneğin bir veritabanındaki hassas alanlar, modern algoritmalarla şifrelenmeli.)
    • Şifreleme anahtarları güvenli ortamlarda ve mümkünse verilerden ayrı bir yerde tutulmalıdır.
    • Veriler üzerinde gerçekleştirilen tüm işlemler (okuma, yazma, silme, değiştirme) güvenli bir şekilde loglanmalı, yetkisiz veya şüpheli bir erişim anında tespit edilebilmelidir.
    • Veri saklanan sistemlerin işletim sistemi ve yazılımlarına ilişkin güncellemeler sürekli takip edilmeli, gerekli güvenlik yamaları uygulanmalı, düzenli aralıklarla sızma testleri yapılarak güvenlik açıkları kontrol edilmelidir. Yapılan testlerin sonuçları da kaydedilmelidir.
    • Eğer hassas verilere bir yazılım uygulaması aracılığıyla erişiliyorsa, bu uygulamada kullanıcı yetkilendirmeleri doğru kurgulanmalı, uygulamanın kendisi de düzenli güvenlik testlerinden geçirilmelidir. (Örneğin sağlık verilerine erişim sağlayan bir hastane bilgi sistemi yazılımı, yetkisi olmayan personelin kritik bilgilere ulaşmasını engelleyecek rollere sahip olmalıdır.)
    • Hassas verilere uzaktan erişim gerekiyorsa (örneğin evden çalışan bir doktorun hasta kayıtlarına bağlanması gibi) en az iki kademeli kimlik doğrulama (ör. şifre + tek kullanımlık kod) kullanılmalıdır.
  • Fiziksel Ortam Tedbirleri: Özel nitelikli veriler eğer kağıt evrak, basılı raporlar, fiziksel arşivler gibi fiziksel ortamlarda tutuluyorsa, bu ortamların güvenliği de sağlanmalıdır:
    • Evrakların saklandığı dolap, arşiv odası gibi alanlar için yangın, su baskını, hırsızlık gibi risklere karşı gerekli tedbirler (yangın alarmı, kilitli dolap, nem kontrolü vb.) alınmalıdır.
    • Bu fiziksel alanlara yalnızca yetkili kişilerin girebilmesi sağlanmalı, yetkisiz giriş çıkışlar engellenmelidir (kilit sistemleri, güvenlik personeli denetimi, kartlı kapı gibi yöntemlerle).
  • Veri Aktarım Güvenliği: Özel nitelikli veriler başka bir kuruma veya kişiye aktarılacaksa, aktarım yöntemine göre ek önlemler alınmalıdır:
    • E-posta ile aktarımlar: Hassas veriler e-posta ile gönderilecekse, mutlaka kurumsal e-posta hesabı kullanılmalı ve ekli dosyalar veya içerik güçlü şekilde şifrelenmelidir. Mümkünse Kayıtlı Elektronik Posta (KEP) altyapısı tercih edilmelidir.
    • Taşınabilir bellek/CD ile aktarımlar: Veriler USB bellek, CD, DVD gibi fiziksel medya ile iletilecekse, gönderilmeden önce medyanın içindeki dosyalar kriptografik olarak şifrelenmeli ve şifre anahtarı medyadan ayrı bir yolla alıcıya iletilmelidir.
    • Sunucular arası transfer: Farklı lokasyonlardaki sunucular arasında özel veri aktarılıyorsa, iki nokta arasında VPN tüneli kurulmalı veya sFTP gibi güvenli iletişim protokolleri kullanılmalıdır. Böylece veri, ağ üzerinden aktarılırken üçüncü kişilerce okunamaz hale gelir.
    • Kağıt evrak ile aktarımlar: Özel nitelikli veri içeren bir raporun veya belgenin fiziken iletilmesi gerekirse, evrakın zarfı veya dosyası “gizli” ibareli olmalı, taşıma sırasında kaybolma, çalınma risklerine karşı gerekli önlemler alınmalıdır (örneğin kurye ile elden teslim, teslim alındı belgesi gibi).
  • Diğer teknik/idari tedbirler: Yukarıdaki ilave tedbirlerin yanı sıra, KVKK’nın genel veri güvenliği rehberinde belirtilen diğer önlemler de (antivirüs kullanımı, erişim loglarının izlenmesi, kullanıcı hesap yönetimi, ağ güvenliği tedbirleri vb.) uygun şekilde uygulanmalıdır. Özel nitelikli veriler için alınan tedbirler genel güvenlik politikalarından ayrı düşünülemez; aksine, genel siber güvenlik hijyeni yüksek olan kurumlar hassas veriyi korumada daha başarılı olurlar.

Son olarak, özel nitelikli verilerle çalışan tüm kurum ve şirketlerin, hem yasal uyum hem de veri güvenliği açısından, periyodik denetimler yapması tavsiye olunur. Gerek iç denetimler gerekse dış bağımsız denetimler yoluyla, alınan önlemlerin etkinliği sınanmalı, güncel tehditlere karşı yeni tedbirler geliştirilmelidir. Unutulmamalıdır ki, özel nitelikli verilerin güvenliğini sağlamak, yalnızca başkalarının erişimini engellemek anlamına gelmez; aynı zamanda bu verilerin doğruluğunu ve bütünlüğünü korumak, kaybolmasını veya zarar görmesini önlemek de ilgili kişilerin hakları açısından kritiktir. Örneğin bir sağlık verisinin hatalı olması veya yanlışlıkla silinmesi de bireye zarar verebilir. Bu yüzden veri sorumluları, hassas verilerin hem gizliliğini, hem bütünlüğünü hem de erişilebilirliğini temin edecek kapsamlı bir güvenlik programını hayata geçirmelidir.

Sonuç

Özel nitelikli kişisel veriler, niteliği gereği kişilerin en mahrem bilgilerini içerdiği ve suistimal halinde telafisi güç zararlara yol açabileceği için, hem ulusal hem uluslararası hukukta ayrıcalıklı bir konuma sahiptir. Ülkemizde KVKK ile çizilen çerçeve, son düzenlemelerle birlikte Avrupa Birliği standartlarına daha da yaklaşmıştır. Sağlık, biyometrik ve adli veri gibi kategorilerde, gerek veri işleme şartları gerekse güvenlik tedbirleri bakımından titiz bir uyum faaliyeti gerekmektedir. KOBİ’lerden büyük şirketlere, hassas veri işleyen tüm veri sorumlularının bu alandaki yasal yükümlülükleri iyi anlaması ve gerekli teknik-idari altyapıları kurması elzemdir. Ayrıca yargı kararları ve doktrindeki görüşler, bu verilerin korunmasında ölçülülük, zorunluluk ve hukuka uygunluk ilkelerinin altını çizmektedir.

Günümüzde veri güvenliği ihlallerine karşı uluslararası iş birliği giderek artmakta, standartlar küresel ölçekte sıkılaşmaktadır. Şirketler ve kurumlar yalnız yerel mevzuata değil, faaliyet gösterdikleri sektörlerdeki en iyi uygulamalara da kulak vermelidir. Son tahlilde, özel nitelikli kişisel veri güvenliği bir yükümlülük olmanın ötesinde, bireylere ve topluma karşı bir sorumluluk olarak değerlendirilmelidir. Bu sorumluluğun yerine getirilmesi, hem hukuki yaptırımlardan korunmayı sağlar hem de kurumların itibarını ve paydaşlarının güvenini pekiştirir.

KAYNAKÇA

  • Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli ve 2018/10 sayılı İlke Kararı – “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” (RG: 07.03.2018, 30348) kisiselveri.saglik.gov.trkisiselveri.saglik.gov.tr
  • Pier Hukuk, “Özel Nitelikli Kişisel Veri” (Kurul kararları ve önlemler hakkında yorumlar, 2023) pieravukatlik.compieravukatlik.com
  • Anayasa Mahkemesi Genel Kurulu, Ramazan Şahin Kararı (B. No: 2018/11988, 10/3/2022) – Parmak iziyle mesai takibinin ihlale neden olduğuna dair basın duyurusu anayasa.gov.tranayasa.gov.tr
  • Avrupa İnsan Hakları Mahkemesi, Z. / Finlandiya, No. 22009/93, 25.02.1997 (HIV bilgilerinin ifşası – Özel hayatın gizliliği ihlali) echr.coe.int
  • Avrupa İnsan Hakları Mahkemesi, S. ve Marper / Birleşik Krallık, No. 30562/04 ve 30566/04, 04.12.2008 (Suçsuz kişilerin parmak izi ve DNA verilerinin saklanması – ihlal) – Karar özeti için bkz. Strasbourg Gözlemleri, 20.05.2020 strasbourgobservers.com
  • Avrupa İnsan Hakları Mahkemesi, Gaughran / Birleşik Krallık, No. 45245/15, 13.02.2020 (Mahkûm olmuş kişinin biyometrik verilerinin süresiz saklanması – ihlal) – Karar özeti için bkz. Strasbourg Gözlemleri strasbourgobservers.comstrasbourgobservers.com
  • Avrupa İnsan Hakları Mahkemesi, M.M. / Birleşik Krallık, No. 24029/07, 13.11.2012 (Eski sabıka kaydının süresiz tutulması – ihlal) – Karar özeti için bkz. Strasbourg Gözlemleri strasbourgobservers.com
  • Strasbourg Observers (Jurij Toplak), “The ECHR and the right to have a criminal record erased” – AİHM’in 2020 kararları ve bekleyen davalar analizi (2020) strasbourgobservers.comstrasbourgobservers.com
  • VeraSafe, “Special Categories of Personal Data Under the GDPR” – GDPR’da özel kategori verilerin tanımı ve önemi (15 Eylül 2024) verasafe.comverasafe.com
  • ICO (İngiltere Bilgi Komisyoneri Ofisi), “What is special category data?” – Özel nitelikli verilerin kapsamı ve riskleri (Güncellenmiş 2024) ico.org.ukico.org.uk
  • EDPB (Avrupa Veri Koruma Kurulu), Guidelines 3/2019 on processing of health data – Sağlık verilerinin işlenmesine dair Avrupa rehberi, 2019.
  • EDRi, “Protecting personal data worldwide: Convention 108+” – 108+ No.lu Sözleşme ile getirilen yenilikler (2019) edri.orgedri.org
  • Kişisel Verileri Koruma Kurumu, “Biyometrik Verilerin İşlenmesine Dikkat Edilmesi Gereken Hususlara İlişkin Rehber” (16.09.2021) – Biyometrik verilerde ölçülülük ve gerekli ilke şartları.
  • Desafe Hukuk, “Parmak İzi, Yüz Tanıma Sistemi ile Mesai Takibi Yapan Firmaların Dikkatine!” – KVKK ve AYM kararları ışığında biyometrik mesai takibi değerlendirmesi (Aralık 2024) desafe.com.tranayasa.gov.tr
  • Erdem & Erdem, “Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber Yayımlandı” – KVKK’nın 2025 rehberi ve 2024 Kanun değişikliği değerlendirmesi (03.03.2025) erdem-erdem.av.trerdem-erdem.av.tr

Mevzuat

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)
  • Türkiye Cumhuriyeti Anayasası (m.20 ve ilgili maddeler)
  • 7499 sayılı Kanun (2024) – KVKK md.6 değişikliklerini içeren kanun
  • 5237 sayılı Türk Ceza Kanunu (kişisel verilerin hukuka aykırı kaydı suçunu da tanımlar)
  • 5352 sayılı Adli Sicil Kanunu (adli sicil ve arşiv kayıtlarının silinme koşulları)
  • Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) – 2016/679 sayılı Tüzük
  • Avrupa İnsan Hakları Sözleşmesi (AİHS) – özel hayata saygı hakkı (m.8)
  • Avrupa Konseyi 108 Nolu Sözleşmesi ve 108+ Protokolü – Kişisel verilerin otomatik işleme tabi tutulması sırasında korunması sözleşmesi
  • Hasta Hakları Yönetmeliği (Sağlık verilerinin gizliliğine dair ulusal düzenleme)
  • İlgili diğer ikincil mevzuat: Kişisel Veri Güvenliği Rehberi, VERBİS Yönetmeliği, Silme-Yok etme-Anonimleştirme Yönetmeliği, vb.

Yorum Yazın

Nunc velit metus, volutpat elementum euismod eget, cursus nec nunc.