Kişisel Verilerin Korunması Kurumu Tarafından Özel Nitelikli Kişisel Veriler Rehberi Yayımlandı

on Mart 7, 2025 by admin
Makaleler

Kişisel Verileri Koruma Kurumu (“KVKK”) tarafından, 26 Şubat 2025 tarihinde, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında özel nitelikli kişisel verilere ilişkin rehber yayımlandı. Bu rehber, özellikle 1 Haziran 2024 tarihinde yürürlüğe giren değişiklikler çerçevesinde özel nitelikteki kişisel verileri işleyen gerçek ve tüzel kişilere rehberlik etmeyi amaçlamaktadır.

Rehber, özel nitelikli kişisel veri işleme süreçlerinde veri sorumlularının yükümlülüklerini ve uyacakları usul ve esasları detaylı bir şekilde düzenlemekte olup, tüm veri sorumluları açısından yol gösterici bir nitelik taşımaktadır.

  1. Özel Nitelikli Kişisel Veri Tanımı

Kanun uyarınca, özel nitelikli kişisel veri; kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.

Kanun’un gerekçesinde, bu verilerin öğrenilmesi halinde ilgili kişi üzerinde ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikte oldukları belirtilmiştir. Rehber, bu tanımın sınırlarını çizmekte ve kıyas yoluyla genişletilmesinin mümkün olmadığını vurgulamıştır.

Örneğin, eski tip pasaport, nüfus cüzdanı veya işyeri kimliği gibi belgelerde yer alan “uyruk”, “tabiyet” veya “ülke kodu” bilgileri özel nitelikli kişisel veri olarak kabul edilmemektedir. Ancak, aynı belgelerde yer alan kan grubu bilgisi bir sağlık verisi olduğundan, özel nitelikli kişisel veri olarak değerlendirilmektedir ve bu verinin işlenmesi sırasında Kanun’un 6. maddesinde belirtilen şartlara uygun davranılması gerekmektedir.

  • Özel Nitelikli Kişisel Verilerin İşlenmesi

Kural olarak, özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak, Kanun’da belirtilen belirli şartların sağlanması durumunda bu verilerin işlenmesi mümkündür. Bu şartlar:

  • İlgili kişinin açık rızasının bulunması,
  • İşlemenin Kanun’un 6. maddesine sayılan hukuki sebeplerden birine dayanması

durumlarını kapsar.

Özel nitelikli kişisel verilerin işlenmesinde yalnızca açık rızaya dayanılması gerektiği algısı artık değişmiştir. Kanun değişiklikleri ile, kanundan kaynaklanan diğer işleme şartları da hukuki dayanak olarak kullanılabilir hale gelmiştir.

Rehberde vurgulandığı üzere, eğer açık rıza dışında bir işleme şartı varsa kişisel veri işleme şartı olarak diğer şartla açık rızanın birlikte kullanılmaması gerekmektedir. Zira başka bir veri işleme şartı mevcut iken açık rızaya başvurulmuş ise bu hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil edebilecektir.

Özel nitelikli kişisel verilerin işlenmesi sırasında Kurul tarafından belirlenen “yeterli önlemler”in alınması zorunludur. Bu önlemler, kişisel verilerin mahiyeti, niteliği ve işleme amacına uygun güvenlik tedbirlerini içermektedir.

  • Veri Sorumluları İçin Uyum Süreci ve Kurum’un Tavsiyeleri

Kanun’da yapılan değişiklikler kapsamında, veri sorumlularının aşağıdaki hazırlıkları yapmaları önem arz etmektedir:

  1. Kişisel Veri İşleme Envanterinin Güncellenmesi: Veri sorumluları, kişisel veri işleme faaliyetlerini detaylı bir şekilde incelemeli ve özel nitelikli kişisel verilerin işlenmesine yönelik durumları tespit etmelidir.
  • Kişisel veri işleme envanterinin düzenli olarak güncellenmesi,
  • Özel nitelikli kişisel verilere ilişkin işleme şartlarının doğru bir şekilde envantere işlenmesi,
  • Hukuki sebeplerdeki değişikliklerin envantere yansıtılması gerekmektedir.
  • Açık Rıza Süreçlerinin Düzenlenmesi: Açık rıza, yalnızca başka bir veri işleme şartı olmadığı durumlarda kullanılmalıdır. Başka bir veri işleme şartının bulunması halinde, açık rızaya başvurulması hukuka aykırılık oluşturabilecektir.
  • Açık rızanın geri alınması durumunda, veri işleme faaliyetleri derhal durdurulmalıdır.
  • Yeni işleme şartlarının getirilmesi nedeniyle açık rıza süreçleri gözden geçirilmeli ve gerekli düzenlemeler yapılmalıdır.
  • Aydınlatma Metinlerinin Güncellenmesi: Aydınlatma metinlerinde veri işleme hukuki sebebi açıkça belirtmesi gerekmektedir.
  • Özel nitelikli kişisel verilere ilişkin işleme şartlarında değişiklik olması halinde, aydınlatma metinleri revize edilmelidir.
  • Güncellenen metinlerin ilgili kişilere ispat edilebilir bir şekilde bildirilmesi gerekmektedir. Örneğin güncel aydınlatma metinlerinin yalnızca veri sorumlusunun internet sitesine eklenmesi, ilgili kişilerin aydınlatma metinlerinin güncellendiğinden haberdar olduğu ve bu metinlerin ilgili kişiler tarafından okunduğu anlamına gelmeyecektir.
  • Saklama ve İmha Politikalarının Yeniden Değerlendirilmesi: Özel nitelikli kişisel verilerin işlenmesine ilişkin süre ve amaç sınırlılıklarının dikkate alınması, saklama ve imha politikalarının revize edilmesini gerektirebilir.
  • İlgili verilerin saklanma süreleri düzenlenmeli,
  • İmha süreçleri etkin bir şekilde uygulanmalıdır.
  • Veri güvenliği tedbirlerinin alınması: Risklerin değerlendirilmesinin ardından, uygun maliyetli ve etkili teknik/idari önlemler uygulanmalıdır. Kurul tarafından özel nitelikli kişisel veriler için belirlenen önlemler şunlardır:

Politika ve Prosedürler: Ayrı bir veri güvenliği politikası oluşturulması.

Eğitim ve Yetkilendirme: Çalışanlara eğitim verilmesi, gizlilik sözleşmeleri yapılması, yetkilerin net tanımlanması ve düzenli kontrol edilmesi, Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. 

Elektronik Güvenlik: Verilerin şifrelenmesi, işlem kayıtlarının loglanması, güncellemelerin takip edilmesi ve uzaktan erişim için iki aşamalı doğrulama uygulanması.

Fiziksel Güvenlik: Ortamın yeterli güvenlik önlemleriyle korunması, yetkisiz giriş-çıkışların engellenmesi

Veri Aktarımı Güvenliği: Şifreleme, güvenli iletişim yöntemleri (VPN, sFTP) ve gizlilik esaslarına uygun taşınma sağlanması.

Bu önlemler, kişisel verilerin hem elektronik hem de fiziksel ortamda güvenliğini sağlamayı hedefler.

  • Sonuç

Rehber, veri sorumlularına özel nitelikli kişisel verilerin işlenmesi sırasında rehberlik edecektir. Veri sorumlularının, Kanun ve Kurul kararları çerçevesinde süreçlerini uyumlu hale getirmeleri önem arz etmektedir.

Gerek işleme faaliyetlerinin sınırlılıklarının tespiti gerekse hukuka uygunluk denetimlerinin yapılması konusunda profesyonel destek alınması, veri sorumlularının yasal risklerini minimize etmelerine katkı sağlayacaktır.

Rehberin tamamına bu link üzerinden ulaşabilirsiniz.

https://kvkk.gov.tr/SharedFolderServer/CMSFiles/70f95c73-06a2-44dc-81e9-34201bdd7f5c.pdf
Tüm hakları saklıdır. 2024 Aksan Hukuk Bürosu
incele

Aksan Hukuk Bürosu sitesinden daha fazla şey keşfedin

Okumaya devam etmek ve tüm arşive erişim kazanmak için hemen abone olun.

Okumaya Devam Edin