TBMM Madde Gerekçesi Kanun Tasarısı Gerekçesi
Maddeyle, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, biyometrik verisi veya haklarında verilen ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verilerinin, özel nitelikli kişisel veri olduğu belirtilmektedir. Bu verilerin, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikte veriler olmaları dikkate alınmakta, bu sebeple bu tür veriler özel nitelikli (hassas) veri olarak kabul edilmektedir.
Kurul tarafından belirlenen yeterli önlem alınmaksızın özel nitelikli verilerin işlenememesi öngörülmekte, ayrıca kural olarak bu tür verilerin ilgili kişinin açık rızası olmaksızın da işlenememesi hükme bağlanmaktadır.
Maddenin dördüncü fıkrasında tahdidi olarak sayılan şartların varlığı halinde, yeterli önlem alınması şartı baki kalmak kaydıyla ilgili kişinin açık rızası aranmaksızın özel nitelikli kişisel verilerin işlenmesine imkân tanınmaktadır.
Dördüncü fıkranın (a) bendine göre, ilgili kişinin rızası olmasa bile, kanunlarda açıkça öngörülen hallerde özel nitelikli kişisel veriler işlenebilecektir. Örneğin, askerlik yapacak kişilerin bazı özel sağlık bilgilerinin ilgili kanun hükümleri uyarınca işlenmesi, yine hastanelerin, eczanelerin ya da Sosyal Güvenlik Kurumunun hastalarla ilgili veri işlemesi bu kapsamda değerlendirilecektir.
Fıkranın (b) bendinde, siyasi parti, vakıf, dernek veya sendika gibi kâr amacı gütmeyen kuruluş ya da oluşumlar tarafından, özel nitelikli kişisel verilerden bazılarının işlenebilmesi düzenlenmektedir. Buna göre, bu kuruluş ve oluşumlar, kendi üye ve mensuplarının özel nitelikli verilerini, kuruluş amaçlarına ve tabi oldukları mevzuata uygun, faaliyet alanlarıyla sınırlı ve üçüncü kişilere açıklanmamak kaydıyla işleyebileceklerdir. Örneğin, bir siyasi partinin veya sendikanın üyelerine ilişkin kimlik ve iletişim bilgilerini, fıkrada belirtilen şartlarla tutması, bu bent kapsamında değerlendirilecektir. Bu kuruluşlar, sadece kendi faaliyet alanlarıyla sınırlı olarak özel nitelikli veri işleyebileceklerdir. Örneğin, bir sendika, kendi faaliyet alanına ve amacına ilişkin olarak sadece sendika üyeliğiyle ilgili verileri işleyebilecektir. Buna karşın üyelerin sağlık veya din ya da mezhebine yönelik kişisel verileri, faaliyet alanıyla ve amacıyla ilgisi olmaması sebebiyle işleyemeyecektir.
Fıkranın (c) bendine göre, ilgili kişinin kendisi tarafından kamuoyuna açıklanmış olan özel nitelikli kişisel verileri işlenebilecektir. Zira ilgili kişi tarafından alenileştirilen ve böylelikle herkes tarafından bilinen bu tür verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir.
Fıkranın (ç) bendinde, özel niteliği olan kişisel verilerin, bir hakkın tesisi, kullanılması veya korunması için işlenmesinin zorunlu olması hali düzenlenmektedir. Örneğin, bir işverenin, engelli çalıştırma zorunluluğu kapsamında, işyerinde, bu statüde çalıştırdığı kişilere ilişkin rapor ve belgeleri işlemesi bu kapsamda değerlendirilecektir. Yine engelli bir kişinin özel tüketim vergisinden muaf özel donanımlı araç almak hakkından yararlanabilmesi için, engelliliğine ilişkin sağlık raporlarının vergi dairesi tarafından edinilmesi ve işlenmesi de bu bent kapsamında değerlendirilecektir.
Fıkranın (d) bendiyle, özel nitelikli verilerin; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi düzenlenmektedir. Bu bağlamda, Sağlık Bakanlığı ile her türlü sağlık kuruluşunun ve Sosyal Güvenlik Kurumunun bu bentte yazılı amaçlarla tuttukları veriler ve kayıtlar bu kapsamda değerlendirilecektir.
Genel Değerlendirme
Kanun'un altıncı maddesi, özel nitelikli kişisel verilerin işlenmesine ilişkin özel koruma rejimini düzenlemektedir.1 Bu verilerin nitelikli korumaya tabi tutulmasının ardında üç temel gerekçe bulunmaktadır: suistimal edilmeleri halinde ciddi ayrımcılık riskine yol açabilmeleri, kişinin özel yaşamının en mahrem alanlarıyla doğrudan ilintili olmaları ve toplumsal hassasiyet arz etmeleri.
Madde 6/1'de tahdidi olarak sayılan özel nitelikli veri kategorileri şu şekilde sıralanmaktadır: ırk ve etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf veya sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleri ile biyometrik ve genetik veriler.2
GDPR Art. 9 ile karşılaştırıldığında KVKK'da "kılık ve kıyafet" kategorisi ek olarak yer almaktadır. Öte yandan GDPR'da "felsefi inanç" yerine "philosophical beliefs" (felsefi görüşler) ifadesi kullanılmaktadır.
İşlenme Şartları
Özel nitelikli verilerin işlenmesinde katmanlı bir yapı uygulanmaktadır.
Madde 6/2 hükmü uyarınca kural olarak açık rıza olmaksızın işleme yasaktır. Sağlık ve cinsel hayat dışındaki veriler bakımından madde 6/3 birinci cümleye göre, kanunlarda açıkça öngörülmesi halinde rıza aranmaksızın işleme mümkündür; ceza mahkûmiyeti verilerinin adli sicil kaydı kapsamında işlenmesi buna örnek teşkil etmektedir.
Sağlık ve cinsel hayat verileri bakımından ise madde 6/3 ikinci cümle hükmü uyarınca kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetleri ile sağlık hizmetlerinin finansmanı, planlanması ve yönetimi amaçlarıyla işleme yapılabilmektedir. Ancak bu verilerin sır saklama yükümlülüğü altındaki kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi gerekmektedir.
Madde 6/4 hükmü uyarınca her durumda Kurul'un belirlediği teknik ve idari tedbirlerin alınması zorunludur.
Kurul Tarafından Belirlenen Yeterli Önlemler
Kurulun 31.01.2018 tarihli ve 2018/10 sayılı kararı ile belirlenen yeterli önlemler dört ana kategoride düzenlenmiştir.
Politika ve prosedürler kapsamında özel nitelikli veri işleme politikası hazırlanması, işleme envanteri tutulması ve periyodik denetim mekanizması oluşturulması öngörülmektedir.
Personel güvenliği kapsamında gizlilik taahhütnameleri, yetki matrisi ve erişim kontrolü ile personel eğitimleri aranmaktadır.
Teknik tedbirler olarak şifreleme, sızma testleri, log kayıtları ve güvenlik duvarları belirlenmiştir.
Fiziksel güvenlik kapsamında ise erişim kontrollü alanlar, güvenlik kameraları ile yangın ve su baskını önlemleri öngörülmektedir.
Biyometrik ve Genetik Veriler
Biyometrik veriler, yüz tanıma, parmak izi, iris taraması ve ses tanıma gibi kişiye özgü fiziksel veya davranışsal özelliklerden oluşmaktadır.1 Genetik veriler ise DNA analizi sonucunda elde edilen, kalıtsal veya edinilmiş genetik özelliklere ilişkin verileri ifade etmektedir.
Kurul, biyometrik verilerin kimlik doğrulama amacıyla kullanımında ölçülülük ilkesinin gözetilmesini aramakta ve daha az müdahaleci alternatiflerin tercih edilmesi gerektiğini vurgulamaktadır.2 İş yerinde parmak izi ile giriş-çıkış takibi konusunda Kurul farklı yönde kararlar vermiş olup her somut olayın ayrıca değerlendirilmesi gerekmektedir.
Kurulun 2020/509 sayılı kararında iş yerinde biyometrik veri kullanımı meşru amaç ve ölçülülük açısından ele alınmış; 2019/81 sayılı kararında ise yüz tanıma sistemiyle yoklama uygulaması ihlal olarak nitelendirilmiştir.
GDPR Art. 9(2) özel nitelikli verilerin işlenmesi için 10 farklı hukuki dayanak öngörmekteyken, KVKK m. 6 daha sınırlı imkânlar tanımaktadır. GDPR'da açık rıza dışında istihdam hukuku, önemli kamu yararı, sağlık, arşiv/bilimsel araştırma gibi geniş istisnalar mevcuttur.
Özel Nitelikli Veri Kategorileri
Özel nitelikli kişisel veriler, olağan kişisel verilere kıyasla daha yüksek düzeyde korumayı hak eden veri kategorisini oluşturmaktadır. Bu verilerin hukuka aykırı işlenmesi, başta ayrımcılık olmak üzere ilgili kişi üzerinde ciddi zararlara yol açabilecek niteliktedir; bu durum, söz konusu verilerin ayrı bir koruma rejimine tabi tutulmasını zorunlu kılmaktadır.
KVKK madde 6/1'de tahdidi olarak sayılan özel nitelikli veri kategorileri şunlardır: kişinin ırkı ve etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Bununla birlikte doktrinde, bu kategoride sayılan her veri türünün aynı ölçüde ayrımcılık riski taşımadığı yönünde görüşler de ileri sürülmektedir.
GDPR Art. 9(1) ile karşılaştırıldığında KVKK'da 'kılık ve kıyafet' kategorisi ek olarak yer almaktadır. Öte yandan GDPR'da 'felsefi inanç' yerine 'philosophical beliefs' (felsefi görüşler) ifadesi kullanılmaktadır. Her iki düzenleme de kategori listesini tahdidi olarak belirlemiştir.
Sağlık ve Cinsel Hayat Verileri
Sağlık ve cinsel hayat verileri, özel nitelikli kişisel veriler arasında en hassas kategorileri oluşturmaktadır. KVKK madde 6/3 ikinci cümle uyarınca bu verilerin işlenmesi özel şartlara tabidir.1
Kanun'da öngörülen işlenme şartları arasında şunlar yer almaktadır: kamu sağlığının korunması kapsamında salgın hastalıkların önlenmesi ve toplum sağlığının gözetimi; koruyucu hekimlik çerçevesinde aşılama programları ve sağlık taramaları; tıbbi teşhis süreçlerinde hastalıkların belirlenmesi; tedavi ve bakım hizmetleri kapsamında hastane, klinik ve sağlık merkezlerinde yürütülen faaliyetler; sağlık hizmetlerinin planlanması ve yönetimi açısından sağlık politikalarının oluşturulması; sağlık hizmetlerinin finansmanı bağlamında SGK ve özel sigorta işlemleri.2
Bu veriler yalnızca sır saklama yükümlülüğü altındaki kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilmektedir.3 Sır saklama yükümlülüğü kapsamındaki kişiler arasında hekimler, diş hekimleri, eczacılar, hemşireler, ebeler, fizyoterapistler ve diğer sağlık meslek mensupları bulunmaktadır.
Açık Rıza ve İstisnalar
Özel nitelikli kişisel verilerin işlenmesini meşru kılan sebeplerin başında ilgili kişinin açık rızası gelmektedir (KVKK madde 6/2). Açık rıza hiçbir şekilde zımni olarak verilemez; ilgili kişinin, rızanın önemi ve sonuçları hakkında yeterince bilgilendirilmesi gerekmektedir. Rızanın hür iradeyle açıklanması zorunlu olup özel nitelikli verilerde rızanın geçerlilik şartları daha katı yorumlanmaktadır.
Açık rıza aranmadan işleme halleri madde 6/3'te düzenlenmiştir. Kanunlarda açıkça öngörülmesi halinde, ilgili hükmün doğrudan özel nitelikli kişisel verilerin işlenmesine izin vermesi veya bunların işlenmesini zorunlu kılması gerekmektedir. İlgili kişinin kendi iradesiyle aleni hale getirdiği veriler de açık rıza aranmaksızın işlenebilmektedir. Bir hakkın tesisi, kullanılması veya korunması kapsamında ise adli ve idari yargı, arabuluculuk ve tahkim süreçlerindeki veri işleme faaliyetleri bu çerçevede değerlendirilmektedir.
7499 sayılı Kanun değişikliği ile özel nitelikli kişisel verilerin işlenmesini meşru kılan sebepler Genel Veri Koruma Tüzüğü ile uyumlu hale getirilmiştir.
GDPR Art. 9(2) özel nitelikli verilerin işlenmesi için on farklı hukuki dayanak öngörmekteyken, KVKK md. 6 daha sınırlı imkânlar tanımaktadır. GDPR'da açık rıza dışında istihdam hukuku, önemli kamu yararı, halk sağlığı, arşiv ve bilimsel-tarihsel araştırma amaçları gibi geniş istisnalar mevcuttur. 7499 sayılı Kanun değişikliği ile KVKK bu açıdan GDPR'a yaklaştırılmıştır.
Doğrudan ve Dolaylı Veriler Meselesi
Avrupa Adalet Divanı, özel nitelikli kişisel veri kavramının geniş yorumlanması gerektiğine ilişkin temel içtihatlar geliştirmiştir.1 Bu içtihada göre, bir bilginin doğrudan özel nitelikli veri niteliği taşımasa dahi, bağlam ve somut olay koşulları çerçevesinde özel nitelikli veriler hakkında çıkarımda bulunmaya elverişli olması halinde, dolaylı bilgi de özel nitelikli kişisel veri olarak nitelendirilmelidir.
AAD'nin Online Eczane kararı bu yaklaşımın somut bir örneğini sunmaktadır.2 Kararda, reçetesiz satılan ilaçların kişinin isim ve adres bilgileriyle birlikte sipariş edilmesi halinde, bu verilerin sağlık durumuna ilişkin çıkarımlara imkân tanıdığı tespit edilmiş ve kişisel sağlık verisi olarak nitelendirilmesi gerektiğine hükmedilmiştir. Mahkeme ayrıca, çevrimiçi sipariş veren kişinin her zaman ilacı kullanacak kişi olmayabileceği itirazının bu sonucu değiştirmeyeceğini vurgulamıştır.
KVKK, özel nitelikli kişisel veriler bakımından doğrudan ve dolaylı veri ayrımı yapmamıştır. Bu nedenle bir verinin özel nitelikli sayılıp sayılmayacağı değerlendirilirken, dolaylı yollarla da olsa özel nitelikli kategorilerle bağlantı kurulup kurulamayacağı incelenmelidir.
İstihdam ve İş Güvenliği
7499 sayılı Kanun değişikliğinin en önemli sonuçlarından biri, istihdam ilişkileri kapsamında özel nitelikli kişisel verilerin işlenmesine ilişkin hükümdür.1 Bu kapsamda işe alım süreçleri ve özlük dosyası yönetimi, iş sağlığı ve güvenliği çerçevesinde risk değerlendirmesi ve sağlık gözetimi, iş ve sosyal güvenlik alanında SGK bildirimleri ve sigorta işlemleri ile sosyal hizmetler ve sosyal yardım programlarının değerlendirmesi bakımından özel nitelikli kişisel veriler işlenebilmektedir.
Ancak bu hüküm başlı başına özel nitelikli kişisel verilerin işlenmesi için bir dayanak oluşturmamaktadır. Aksine, anılan amaçlar doğrultusunda bir yükümlülük aranmakta; veri işleme faaliyetinin ise bu yükümlülüğün yerine getirilmesi için zorunlu olması gerekmektedir.2
Yasal dayanaklar arasında 6356 sayılı Sendikalar ve Toplu İş Sözleşmeleri Kanunu madde 18/2 kapsamında sendika üyelik bilgilerinin işlenmesi ve 4857 sayılı İş Kanunu madde 75 uyarınca özlük dosyası düzenleme yükümlülüğü yer almaktadır.3
GDPR Art. 9(2)(b) istihdam, sosyal güvenlik ve sosyal koruma hukuku alanında özel nitelikli verilerin işlenmesine açıkça müsaade etmektedir. KVKK'da bu istisna 7499 sayılı Kanun değişikliği ile eklenmiştir. Her iki düzenlemede de işlemenin bir yükümlülüğün yerine getirilmesi için zorunlu olması aranmaktadır.
Vakıf, Dernek ve Sivil Toplum Kuruluşları
Vakıf, dernek ya da diğer kâr amacı gütmeyen kuruluşların temel faaliyetleri, özel nitelikli kişisel verilerin işlenmesiyle doğrudan bağlantılıdır. Dernek üyeliği başlı başına özel nitelikli kişisel veri kategorisine girmekte olup üyelerin dini, siyasi veya felsefi görüşleri hakkında çıkarım yapılabilmektedir. Düzenli bağışçılar ve eski üyelere ilişkin veriler de bu kapsama dahildir.
KVKK madde 6/3 kapsamında bu kuruluşların özgür ve demokratik bir toplum açısından taşıdığı önem dikkate alınarak, ilgili hükümde yer alan sınırlamalara uyulmak koşuluyla özel nitelikli kişisel veri işleme faaliyetlerine izin verilmektedir.
Bununla birlikte işleme faaliyetinin yalnızca kuruluşun meşru faaliyetleri kapsamında olması, verilerin kuruluş dışına aktarılmaması ve uygun güvenlik önlemlerinin alınması gerekmektedir.
Temel Haklar ile İlişki
Özel nitelikli kişisel verilerin korunması, temel hak ve özgürlükler sistemiyle doğrudan bağlantılıdır. Bu ilişkinin merkezinde ayrımcılık yasağı yer almakta olup söz konusu yasak, özel nitelikli verilerin işlenmesinin temel sınırını oluşturmaktadır.1
Günümüzde algoritmik karar sistemleri ve yapay zeka uygulamalarında özel nitelikli verilerin işlenmesi, özellikle otomatik karar alma süreçlerinde ciddi ayrımcılık riskleri taşımaktadır. Bu nedenle yüksek riskli olarak nitelendirilen sistemler, özel denetim mekanizmalarına tabi tutulmaktadır.2