Özel Nitelikli Kişisel Veriler

1.  Özel Nitelikli Kişisel Veriler Nelerdir Başkaları tarafından öğrenilmesi durumunda kişi hakkında ayrımcılık yapılmasına veya mağduriyete sebep olabilecek nitelikteki verilere özel nitelikli kişisel veriler denmektedir. Özel nitelikli kişisel veriler, Kişisel Verilerin Korunması Kanununda (Kanun) sınırlı sayma yoluyla düzenlenmiş olup kıyas yoluyla genişletilemez.

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi, kılık-kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirlerine ilişkin verileri ve son olarak biyometrik ve genetik verileri bu kategori altında incelenmektedir. Kanunda bu verilere özel bir önem atfedilmektedir ve diğer verilere göre daha sıkı bir korumaya tabi tutulmuştur.

2. Hangi Durumlarda İşlenebilir Kanunda sağlık ve cinsel hayata ilişkin veriler ile diğer özel nitelikli kişisel veriler arasında da bir ayrıma gidilmiştir. Buna göre, ikinci gruba giren kişisel veriler ilgilinin açık rızası dışında kanunlarda öngörülmesi durumunda da işlenebilir. Sağlık ve cinsel hayatı ilgilendiren veriler ise ancak kamu sağlığının korunması, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, koruyucu hekimlik, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla yetkili kamu kurum ve kuruluşları veya sır saklama yükümlülüğü altında bulunan kişiler tarafından ilgilisinin açık rızası aranmaksızın işlenebilmektedir.

3. Veri Sorumluları Tarafından Alınacak Yeterli Önlemler Özel nitelikli kişisel verilerin işlenmesi için alınması gereken yeterli önlemleri belirlemekle yetkili kılınan Kişisel Verileri Koruma Kurul’u 31.01.2018 tarihinde vermiş olduğu kararla bu verilerin işlenmesi sırasında veri sorumluları tarafından alınması gereken yeterli önlemleri belirlemiştir. Bu doğrultuda veri sorumluları uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin yanı sıra bu verilerin işlenmesine yönelik politika ve prosedürleri oluşturmalı, bu süreçlerde yer alan çalışanlarına yönelik belirtilen tedbirleri almalı, bu verilerin işlendiği-muhafaza edildiği-erişildiği elektronik ve fiziksel ortamların güvenliğini sağlamalı ve aktarmaya ilişkin gerekli tedbirleri almalıdırlar.

4. Ana Faaliyet Konusunun Özel Nitelikli Kişisel Veri Olması ve Bu Durumun Tespiti Kurul 27.12.2019 tarihinde vermiş olduğu kararıyla yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmasına rağmen ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları için VERBİS kayıt tarihini 30.09.2020 tarihine uzatmıştır. Bir veri sorumlusunun ana faaliyet konusunun özel nitelikli kişisel veri olup olmadığının tespitinde en çok katma değer üretilen faaliyetlere ve yürütülen temel iş ve görevlere dikkat edilmelidir. Ayrıca Kurum veri sorumlularının faaliyet konularının tespitinde NACE Rev.2 faaliyet kodlarından yararlanmaktadır.

5. Sonuç Özel nitelikli kişisel verilere ilişkin yazı dizimizin bu ilk bölümünde verilerin işlenmesine ilişkin genel bilgilere yer verilmiştir. İlerleyen yazılarda ise yoğunluklu olarak sağlık verisi işleyen özel sağlık kuruluşları ve bu kuruluşların Kanun uyarınca yürütmeleri gereken uyum süreçleri hakkında bilgilendirmelerde bulunulacaktır.