12.03.2024 tarihli 32487 sayılı Resmî Gazetede yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılması Hakkında Kanun ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun özel nitelikli kişisel verilerin işlenmesini düzenleyen 6. maddesinde değişiklik yapılmış, söz konusu değişiklik ile mevcut olan özel nitelikli kişisel veri işleme şartlarına yeni veri işleme şartları eklenmiştir.
Bu kapsamda, özel nitelikli kişisel verilerin işlendiği durumlarda veri sorumlularının doğru hukuki sebeplere dayalı olarak özel nitelikli kişisel veri işlemeleri ve Kanun’a uygun şekilde yükümlülüklerini yerine getirmeleri için yol gösterici olması amacıyla Kişisel Verilerin Korunması Kurumu tarafından Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber 26.02.2025 tarihinde yayımlanmıştır.
Özel Nitelikli Kişisel Veriler Nelerdir?
6698 sayılı Kişisel Verilerin Korunması Kanununun 6. maddesi uyarınca özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Özel nitelikli kişisel veri kategorileri yasa koyucu tarafından sınırlı sayma yoluyla belirlenmiş olup kıyas yoluyla genişletilebilmeleri mümkün değildir.
Özel Nitelikli Kişisel Verilerin İşlenme Şartları Nelerdir?
7499 sayılı Kanun vasıtasıyla Kanunda yaşanan değişiklikle birlikte;
- Sayma yoluyla belirlenen özel nitelikli kişisel veriler arasında yer alan sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ile sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler arasındaki ayrım kaldırılmıştır.
- Sağlık ve cinsel hayata ilişkin kişisel verilerin diğer özel nitelikli kişisel verilerden farklı işleme şartlarına tabi tutulması durumu ortadan kaldırılmıştır.
- Özel nitelikli kişisel verilerin işlenmesinin kural olarak yasak olduğu hükmü muhafaza edilerek tüm özel nitelikli kişisel veriler için geçerli olacak şekilde işleme şartları yeniden düzenlenmiş ve yeni işleme şartları öngörülerek sayıları arttırılmıştır.
Buna göre, özel nitelikli kişisel verilerin;
a) İlgili kişinin açık rızasının olması,
b) Kanunlarda açıkça öngörülmesi,
c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin,
ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
g) Siyasi, felsefî, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması,
halinde işlenmeleri mümkündür.
Özel Nitelikli Kişisel Verilere İlişkin Değişiklik Sonrası Veri Sorumluları Tarafından Neler Yapılmalıdır?
- Kişisel veri işleme envanterinin güncellenmesi
Özel nitelikli kişisel verilerin işlenme şartlarında yaşanan değişiklik sebebi ile oluşturulan envanterlerde verilerin işlenmesine ilişkin hukuki sebeplerin güncellenmesi ve işleme süreçlerinde değişiklik yapılması gerektiği için envanterlerin de güncellenmesi gerekecektir.
- Açık rıza alınması süreçlerinin düzenlenmesi
Özel nitelikli kişisel verilerin işlenme şartlarında yaşanan değişiklik sebebi ile süreçlerde işlenmesi için açık rıza alınan özel nitelikli kişisel verilerin işlenmesi sebepleri değişmiş olabileceği ve KVKK tarafından gerekli olmayan durumlarda açık rıza alınması hakkın kötüye kullanılması sayıldığı için Şirket içerisinde açık rıza alınan süreçler gözden geçirilmelidir.
- Aydınlatma metinlerinde değişiklik yapılması
Özel nitelikli kişisel verilerin işlenme şartlarında yaşanan değişiklik sebebi ile süreçlerde hazırlanan aydınlatma metinleri içerisinde yer alan hukuki sebepler ve amaçların değişmesi gerekebileceği için Şirket içerisinde aydınlatma metni hazırlanan süreçler gözden geçirilmelidir.
- Saklama ve imha politikasının güncellenmesi
Özel nitelikli kişisel verilerin işlenme şartlarında yaşanan değişiklik sebebi ile Kanun değişikliğine uyum sağlanabilmesi için özel nitelikli kişisel verilerin işleme şartının değişmesi durumunda yeni işleme şartı kapsamında gerekenden daha uzun süre özel nitelikli kişisel verilerin tutulmamasını sağlamak ve politikalarda belirtilen işleme sebeplerini güncellemek için Şirketlerin saklama imha politikaları gözden geçirilmelidir.
- Veri güvenliği tedbirlerinin alınması
Özel nitelikli kişisel verilerin işlenme şartlarında yaşanan değişiklik sebebi ile Kanun değişikliğine uyum sağlayabilmesi için özel nitelikli kişisel verilere ilişkin alınan güvenlik tedbirleri tekrar gözden geçirilmelidir.
Kişisel Verileri Koruma Kurumu tarafından yayımlanan rehbere buradan ulaşabilirsiniz.
Turkish