Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Özel nitelikli kişisel verilerinKVKK çerçevesinde açıklanmış ve işlenme koşulları belirtilmiştir. Bununla birlikte, “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.” Özel nitelikli veriler, KVKK çerçevesinde sınırlı bir şekilde belirtilmiştir. Bu sebeple, karşılaştırmayla genişletilemez.

Özel nitelikli kişisel veriler, ilgili kişilerle ilgili büyük önem taşıyan verilerdir. Aynı zamanda, bu kişisel verilerin üçüncü kişiler aracılığıyla tespit edilmesi, ilgili kişinin kayırılmasına ya da haksızlığa uğramasına neden olabilir. Bu sebeple, özel nitelikli kişisel verilerin daha hassas bir biçimde korunması ve bahsi geçen verilerin işlenmesi ile koşulların biraz daha sıkı olması şarttır. Bununla birlikte, KVKK çerçevesinde bu husus dikkate alınarak özel nitelikli kişisel veriler hakkında özel bir düzenleme yapılmıştır. Bununla beraber, özel nitelikli kişisel veriler sadece ilgili kişinin onayı ile veya KVKK’nın 6. maddesinde bahsi geçen sınırlı durumlarda işlenebilir. Aynı zamanda, özel nitelikli kişisel verilerin, ilgilinin açık rızası olmadan işlenmesi belirgin bir şekilde yasaklanmıştır.

KVKK çerçevesinde, özel nitelikli kişisel veriler içinde bir ayrım söz konusudur. Bununla beraber, sağlık ve cinsel hayatla ilgili kişisel veriler, diğer özel nitelikli kişisel verilerden ayırılmış, sağlık ve cinsel hayata ilişkin kişisel veriler ilgili kişi açık rızasını belirtmeden işlenebileceği durumlar ifade edilmiştir. Sağlık ve cinsel hayatla ilgili olarak özel nitelikli kişisel veriler, sır saklama sorumluluğu içinde bulunan kişiler veya yetkili kurum ve kuruluşlar aracılığıyla aşağıda belirtilen amaçlarla ilgilinin onayı olmadan işlenebilir:

• Kamu sağlığının korunması
• Koruyucu hekimlik
• Tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi
• Sağlık hizmetleri ile finansmanının planlanması ve yönetimi

Veri sorumluları, özel nitelikli kişisel verileri işleyebilmek için, KVK Kurulu aracılığıyla saptanan yeterli tedbirleri almakla sorumludur. KVKK’nın 8. maddesinin 2. fıkrası gereğince, sağlık ve cinsel hayata ilişkin kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Özel nitelikli kişisel verilerin işlenmesinde veri sorumluları tarafından alınması gereken yeterli tedbirler, KVK Kurulu aracılığıyla31/01/2018 tarihli ve 2018/10 sayılı kararile belirtilmiştir. Belirlenen karara dayanarak alınması gereken önlemler aşağıda belirtilmiştir:

1. Özel nitelikli kişisel verilerin güvenliğine yönelik; sistemli, kuralları net bir şekilde belirtilen yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedür belirlenmelidir.
2. Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,
   1. KVKK ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği hususlarında sistemli olarak eğitimler verilmelidir.
   2. Çalışanlarla ve üçüncü kişilerle gizlilik sözleşmeleri yapılmalıdır.
   3. Verilere erişim yetkisine sahip kullanıcıların yetki kapsamları ve süreleri net bir şekilde tanımlanmalıdır. Bunula birlikte periyodik bir şekilde yetki kontrolleri yapılmalıdır. Aynı zamanda, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal ortadan kaldırılması ve veri sorumlusu tarafından tahsis edilen envanterin iade alınması gerekmektedir.
3. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar elektronik ortam ise:
   1. Veriler kriptografik yöntemler kullanılarak saklanmalıdır.
   2. Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmalıdır.
   3. Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmalıdır.
   4. Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli olarak takip edilmeli, gerekli güvenlik testleri periyodik olarak yaptırılmalı ve test sonuçları kaydedilmelidir.
   5. Verilere uzaktan erişim gerekiyorsa, en az iki kademeli kimlik doğrulama sistemi sağlanmalıdır.
4. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar fiziksel ortam ise:
   1. Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunmalıdır.
   2. Bu ortamların fiziksel güvenliği sağlanarak, yetkisiz giriş çıkışlar engellenmelidir.
5. Özel nitelikli kişisel veriler aktarılacak ise:
   1. Veriler e-posta yoluyla aktarılacak ise, şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmalıdır.
   2. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılacak ise, kriptografik yöntemlerle şifrelenmeli ve kriptografik anahtarlar farklı ortamlarda tutulmalıdır.
   3. Verilerin farklı fiziksel ortamlardaki sunucular arasında aktarımı gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmelidir.
   4. Verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa; evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrak gizli dereceli belge şeklinde gönderilmelidir.