ÖZ

2016’da yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda m.3/1- d’de “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”1 şeklinde tanımlanan kişisel veriler, günümüzde devamlı gelişim halinde olan teknolojinin ve içinde bulunduğumuz internet çağının da etkisiyle her gün farklı platformlarda işlenmekte ve aktarılmaktadır. Özellikle 1990’lı yıllardan itibaren internetin yaygınlaşması ve mobil teknolojilerin gelişmeye başlaması ile birlikte günümüzde artık verilerin ortaya çıkması, toplanması, saklanması, paylaşılması ve bu verilerden anlamlı sonuçlar ortaya çıkarılması oldukça kolaylaşmıştır2.

Veri işleme süreçlerinin artması ile kişilik hakları ihlalleri, kişisel verilerin korunmasına duyulan ihtiyacı da beraberinde getirmektedir. Ülkemizde 2016 yılına dek yalnızca Anayasal düzlemde güvence altında olan kişisel veri koruması 07.04.2016 tarihinde yürürlüğe giren Kişisel Verilerin Korunması Kanunu ile daha geniş bir güvence altına alınmıştır.

Kanun, kişisel verilerin işlenmesine ilişkin usul ve esasları düzenleyerek, veri işlenmesi ile meydana gelebilecek kişilik ihlallerinin önüne geçmeyi amaçlamaktadır.

İş bu çalışmamız kapsamında, kısaca kişisel veri kavramına ve işlenme şartlarına değinilerek, esasen hassas (özel nitelikli) kişisel verilerin işlenmesi, Kişisel Verilerin Korunması Kanunu kapsamında örnekler ile açıklanmaya çalışılacaktır.

GİRİŞ

Günlük hayatımızın neredeyse her aşamasında bir kişisel veri işlemesi ile karşı karşıya kalmaktayız. Sabah evimizden çıkarken site çıkışında okutulan kartlar, aracımızda trafikte ilerlerken alınan mobese kayıt görüntüleri, işyerlerine girişlerde ve çıkışlarda okutulan personel kartları, elektronik ortamda yapılan alışverişlerde paylaşılan bilgiler, sağlık kuruluşlarında tutulan hasta kayıtları ve daha nicesi günlük hayatımızın bir parçası haline gelmiş bulunmaktadır. Gelişen teknoloji ve sürekli artan ihtiyaçlar neticesinde, kişisel verilerin korunması konusu da güncel konular arasında yerini almıştır. Özel hayatın gizliliği ve kişilik hakkı kapsamında geniş olarak değerlendirilebilecek kişisel verilerin korunması, KVKK ile mağduriyetlerin en aza indirgenebilmesi için belirli temellere oturtulmaya çalışılmıştır.

Çalışmamız kapsamında öncelikle kişisel veri ve işleme kavramları ve bu verilerin korunmasının öneminden kısaca bahsedilerek, kişisel veri işlenme şartları açıklanmaya çalışılacaktır. Çalışmanın esas konusu bakımından hassas (özel) nitelikteki kişisel verilerden ve bunların işlenme şartları açıklanarak değerlendirilecektir.

HASSAS (ÖZEL NİTELİKLİ) KİŞİSEL VERİLERİN İŞLENMESİ

1. KİŞİSEL VERİ KAVRAMI VE KİŞİSEL VERİLERİN KORUNMASI

1.1. KİŞİSEL VERİ:

Medeni Kanun’a göre kişi; haklara ve borçlara sahip olabilen, haklardan yararlanabilen varlığı ifade etmektedir3. Kişilerin kendilerine özgü verileri bulunmaktadır. Bu veriler, bireyler ile ilgili her türlü bilgiyi ifade eder. Kişinin mesleği, yaşı, telefon numarası gibi bilgiler kişisel veri olduğu gibi, kişinin genetik bilgileri, sağlık bilgileri de birer kişisel veridir. Bu örneklerin sayısı sonsuzdur ancak kişisel veri kavramını anlayabilmek bakımından KVKK’da düzenlenen tanıma da yer vermek gerekir. Şöyle ki; KVKK madde m. 3/1-d kişisel veriyi, “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlamıştır. O halde bir verinin kişisel veri olabilmesi için gerçek kişiye ilişkin olması, bu gerçek kişinin kimliğini belirli veya belirlenebilir kılması ve her türlü bilgiyi içermesi gerekir.

1.2. KİŞİSEL VERİLERİN KORUNMASI:

Önceki dönemlerde kişilere ait bilgilerin sadece yazılı belgeler dâhilinde saklanması, sadece güvenlik sebebiyle değil, bir daha değerlendirme açısından da çok farklı sorunlar ortaya çıkartırken, dijital ortamla tanışılmasıyla beraber bu konuda farklı kolaylıklar ortaya çıkmıştır. Ancak bu kolaylıkların yanında getirmiş olduğu durum, çok açık bir sıkıntıyı da gözler gönüne getirmiştir. Bu içerisinde bulunulan sıkıntılı süreç, kişisel verilerin dijital ortamlardan çalınması, dağıtımı ve tahribi sorunlarıyla ortaya çıkmakta ve kişisel verilerin korunması çalışmalarının temelini oluşturmaktadır4. Aslında neredeyse kişinin hayatındaki tüm konuların kişisel verilerin korunması sürecine dâhil olduğunu görmekteyiz. Günümüzde teknolojinin hayatımızda kapladığı yeri göz önüne aldığımızda, kişisel verilerin işlenmesinden kaynaklı istismarların kolaylıkla arttığını söylemek mümkündür. Kişisel veri olarak her türlü platformda paylaşılan bilgiler hem çok kıymetli hem de kişileri mahrum etme riski yoğun bilgilerdir.

2010 yılında yapılan Anayasa değişikliği ile, Anayasanın 20 nci maddesine eklenen fıkra ile kişisel verilerin korunması Anayasal güvence altına alınmıştır 5 . Buna göre; “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” Kişisel verilerin korunmasına ilişkin usul ve esasların kanun ile düzenleneceğini öngören bu düzenleme kapsamında 07.04.2016 tarihinde KVKK yürürlüğe girmiştir.

Kanun kişisel verilerin işlenmesini sınırlamamakta, tam tersine veri temelli ekonomide daha rekabetçi bir noktada olabilmek adına kişisel verilerin işlenmesine ilişkin usul ve esasları düzenlemektedir. Diğer bir ifadeyle, Kanunda kişisel verilerin korunması hakkı ile veri temelli ekonomi arasında bir denge tesis edilmesi gözetilmektedir6.

Nitekim Anayasa Mahkemesinin 9 Nisan 2014 tarih ve E:2013/122, K:2014/74 sayılı kararında da; “Kişisel verilerin korunması hakkı, kişinin insan onurunun korunmasının ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı […]” amaçladığı tespit edilerek, “kişisel verilerin ticari işletmeler için kıymetli bir varlık niteliği kazanması neticesinde, özel sektör unsurlarınca yaratılan risklerin daha yaygın ve önemli boyutlara ulaşması ve terör ve suç örgütlerinin kişisel verileri ele geçirme yönündeki faaliyetlerinin artması gibi etkenler” sebebiyle kişisel verilerin geçmişte olduğundan çok daha fazla korunmaya muhtaç olduğu ifade edilmiştir7

Kişisel verilerin korunması, kişilerin sosyal yaşam faaliyetlerini güvenli şekilde devam ettirebilmesi ve verilerini paylaşırken güvence altına alınması bakımından önem arz etmektedir.

2. KİŞİSEL VERİLERİN İŞLENMESİ

2.1. İŞLEME KAVRAMI ve ŞARTLARI

KVKK’NIN Tanımlar başlıklı 3 üncü maddesinde kişisel verilerin işlenmesi tanımına yer verilmiştir. Buna göre; “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” kişisel veri işlenmesi olarak tanımlanmıştır.

Kanun’un gerekçesinde de, kişisel verilerin işlenmesi kavramının geniş bir alanı karşıladığı, verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen her türlü işlem türünün kişisel verilerin işlenmesi olarak kabul edildiği ifade edilmiştir8. Kanun lafzında otomatik olarak işlenme ile kast edilen, verilerin bilgisayar, server gibi ortamlarda dijital olarak işlenmesi kastedilmekte ve otomatik olarak işlenen tüm veriler Kanun kapsamına dahil edilmektedir. Otomatik olmayan ortam kavramı ise, verilerin basılı kâğıt gibi fiziki ortamlarda saklanmasını ifade etmektedir. Örneğin, bir okul kütüphanesinden kitap alan öğrencilerin kayıtlarının manuel olarak elle tutulması, her ne kadar otomatik vasıtalar kullanılmasa da bir veri kayıt sisteminin parçası olduğundan işleme kabul edilecektir9.

KVKK kapsamında kişisel verilerin işlenmesi belirli şartlara bağlanmıştır. Bu şartlar açık rıza ve hukuka uygunluk halleri şeklinde düzenlenmiş ise de hukuka, ahlaka ve iyi niyete aykırı işlemenin engellenmesi maksadı ile bazı temel ilkeler de benimsenmiştir. Bu

temel ilkeler KVKK’nın 4 üncü maddesinde; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayılmıştır. Bu düzenlemeye göre, kişisel veri işleme şartları yanında bu ilkelere de riayet edilmelidir. Kişisel verinin işlenmesi hukuka ve dürüstlük kurallarına uygun olmalı, doğru ve gerektiğinde güncel olmalı, belirli, açık ve meşru amaçlar için işlenmeli, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalı ve gerekli olan süre kadar muhafaza edilmelidir.

Temel ilkelerin yanı sıra KVKK’nın 5 inci maddesinde kişisel verilerin işlenme şartları düzenlenmiştir. Maddeye göre; “Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez”. O halde kişisel veri işlemesi için ilgili kişinin açık rızasının mevcudiyeti esas kuraldır. Ancak, madde devamında, sayılan belirli hallerden en az birinin bulunması durumunda kişisel verilerin işlenmesinin meşru olacağı düzenlenerek istisnai haller getirilmiştir.

A. AÇIK RIZA

Rıza kavramı, sözlükte “razı olma, isteme, istek” anlamına gelmektedir10. Doktrinde ise rıza, objektif şartlarda verilerin işlenmesine rıza verme anlamı taşıyan ve yöneltilen kişi tarafından rıza olarak kabul edilebilen dışa yönelik her türlü eylem olarak tanımlanmaktadır11

Kişisel verilerin işlenmesi için yukarıda bahsedildiği üzere, kural olarak ilgili kişinin açık rızasının varlığı gerekmektedir. Açık rıza, KVKK’nın 3 üncü maddesinde, tanımlar başlığı altında “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmıştır. Açık rızanın unsurları bu tanımdan yola çıkarak belirlenebilir. O halde, açık rıza;

1- Belirli bir konuya ilişkin olmalı,

2- Bilgilendirmeye dayanmalı

3- Özgür irade ile açıklanmalıdır.

Açık rıza beyanı herhangi bir şekil şartına tabi değildir. Önemli olan açık rızanın Kanundaki unsurları taşıması ve ispatlanabilir olmasıdır. Dolayısı ile sözlü, yazılı, elektronik ortam vb. yöntemlerle açık rıza alınması mümkündür.

Kişisel verilerin işlenmesine yönelik verilecek açık rızanın geçerli olması için veri sorumlusu tarafından yerine getirilmesi gereken bilgilendirme şartının ne şekilde yapılacağı, birçok hukuki metinde belirli kural ve yöntemlere tabi kılınmış ve özellikle açık rızanın geçerlilik şartı olmasının yanında veri sorumlusu için de ayrıca bir yükümlülük olarak tanınmıştır. Bu şart aydınlatma yükümlülüğüdür. Aydınlatma yükümlülüğü, 6698 sayılı Kanun’un 10.maddesinde düzenlenmiştir. Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; Veri sorumlusunun ve varsa temsilcisinin kimliği, Kişisel verilerin hangi amaçla işleneceği, İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, Kişisel veri toplamanın yöntemi ve hukuki sebebi, 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür. Kanun’un 11.maddesinde sayılan ilgili kişinin hakları ise; kişisel veri işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, Kanun’un 7 nci maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, kişisel verilerin düzeltilmesine veya silinmesi ya da yok edilmesine ilişkin yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarıdır.

Bilgilendirmenin yerine getirilmesi sayesinde ilgili kişiler veri işleme sürecinden haberdar olabilmekte ve başvurabilecekleri hukuki korumaları devreye sokabilmektedirler bu sebeple ilgili kişilerin bilgilendirilme hakkı, kişisel verilerin Magna Carta’sıdır12

Açık rıza metinlerinin açık, anlaşılır ve yalın olması gerekmektedir. Kişisel verisinin işlenmesine açık rıza veren tarafın olumlu beyanını içeren ve şüpheye yer vermeyen ifadeleri açık rıza kapsamında değerlendirilir. Diğer bir anlatımla kesin ve açık şekilde verilecek rızanın, ancak iradenin gönüllü, özgür, iradi ve bilinçli şekilde açıklanması ile ortaya çıkabileceği söylenebilecektir 13 Açık rızanın alındığı konusundaki ispat yükünün veri sorumlusuna ait olmasından dolayı bu hususa özellikle dikkat edilmelidir.

Açık rıza verildiği gibi her zaman geri alınabilir, zira açık rıza verilmesi kişiye sıkı sıkıya bağlı bir haktır. Kişisel verilerinin geleceğini belirleme hakkı ilgili kişinin kendisine ait olduğundan, kişi dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabilecektir.

B. İSTİSNALAR

Kişisel verilerin işlenmesi için kural olarak ilgili kişinin açık rızası gerekmektedir ancak, KVKK’da sayılan bazı istisnai şartların varlığı halinde açık rıza olmaksızın kişisel verilerin işlenmesi hukuka uygun kabul edilmiştir. KVKK’nın 5/2 maddesinde hukuka uygunluk halleri düzenlenmiştir.

Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

- Kanunlarda açıkça öngörülmesi.

- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

- İlgili kişinin kendisi tarafından alenileştirilmiş olması.

- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kişisel Verilerin İşlenme Şartları İstisnalar

Kanun Hükmü

Vergi       Kanunları,       İş

Kanunu, TTK vb.

Çalışana        ait        özlük

bilgilerinin kanun gereği tutulması

Sözleşmenin İfası

İş Akdi, Satış Sözleşmesi, Taşıma Sözleşmesi, Eser

Sözleşmesi vb.

Teslimat     yapılması     için şirketin    adres    bilgilerinin

kaydedilmesi

Fiili İmkânsızlık

Fiili    imkânsızlık   nedeniyle

rıza veremeyecek olan ya da

ayırt etme gücü olmayan kişi

Bilinci kapalı kişinin kişisel

sağlık bilgisi. Kaçırılan ya da kayıp kişinin konum bilgisi

Veri            Sorumlusunun

Hukuki Sorumluluğu

Mali  Denetimler, Güvenlik

Mevzuatı,     Sektör     Odaklı

Regülâsyonlarla Uyum.

Bankacılık, enerji, sermaye

piyasaları gibi alanlara özel denetimlerde  bilgi paylaşımı

yapılması.

Aleniyet Kazandırma

İlgili   kişinin   kendisine ait

bilgileri  kamunun bilgisine

sunması.

Evini satmak isteyen kişinin,

satış       ilanında       iletişim

bilgisine yer vermesi

Hakkın Tesisi, Korunması,

Kullanılması

Dava       açılması,        tescil

işlemleri,    her    türlü    tapu işlemi vb. işlerde kullanılması

zorunlu veriler

İşten ayrılan bir çalışana ait

gerekli bilgilerin dava zaman

aşımı boyunca saklanması.

Meşru Menfaat

İlgili kişinin temel haklarına

zarar vermemek kaydıyla, veri sorumlusunun meşru menfaati için zorunlu olması

halinde veri işlenmesi

Çalışan    bağlılığını     artıran

ödül ve prim uygulanması amacıyla veri işlenmesi.

C. HASSAS (ÖZEL NİTELİKLİ) KİŞİSEL VERİLERİN İŞLENMESİ

C.1. HASSAS (ÖZEL NİTELİKLİ) KİŞİSEL VERİ KAVRAMI

Kişisel verilerin korunmasına ilişkin yasal düzenlemelerde, bazı veriler önem ve hassasiyeti nedeniyle diğer kişisel verilerden daha özel bir korumaya tabi tutulmuştur. Bu verilerin daha özel bir korumaya tabi tutulmasının nedeni, ihlal edilmesi veya kötü niyetli kişilerin eline geçmesi halinde ilgili kişi açısından çok daha büyük zararlara yol açabilecek olmasıdır. KVKK’nın 6 ncı maddesinde; Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veriler olarak sınırlı sayıda sayılmıştır. KVKK’nın gerekçesinde, bu verilerin başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikte olmaları dikkate alınarak özel nitelikli veri olarak kabul edildiği belirtilmiştir14.

Bazı kişisel verilerin daha özel bir korumaya tabi tutulmasının temelinde bu verilerin ihlali halinde daha çok zarar görme riski bulunsa da, bu görüş doktrinde pek kabul görmemektedir. Doktrinde bazı yazarlar her kişisel verinin önem derecesinin olayın özel şartlarına bakılarak değerlendirilmesi gerektiğini belirtmişlerdir15. Kanaatimce; her kişisel veri bir özel nitelikli kişisel veri olup, tümü somut olay bakımından değerlendirilmeli ve yüksek derecede korumaya tabi tutulmalıdır.

C.2. HASSAS (ÖZEL NİTELİKLİ) KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

KVKK’nın 6 ncı maddesinde özel nitelikli kişisel verilerin işlenme şartları düzenlenmiştir. Kural olarak özel nitelikli kişisel veriler, ilgilinin açık rızası ile işlenebilir (KVKK 6/2).

Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşla tarafından ilgilinin açık rızası aranmaksızın işlenebilir (KVKK 6/3). Sağlık ve cinsel hayata ilişkin kişisel veriler ancak yukarıda sayılan belirli hallerde işlenebilecekken, bunun dışında kalan özel nitelikli kişisel veriler kanunlarda öngörülen hallerde işlenebilecektir. Örneğin, çalışana ait sendikalılık bilgisinin özlük dosyasında mevzuat gereği tutulması İş Kanunu gereğidir. O halde kanunun öngördüğü hal kapsamında işlenebilecektir. Aynı şekilde doktorun hastası hakkında işlediği sağlık verileri, kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla işlenebilir.

O halde hassas nitelikli kişisel verilerin işlenmesinde ikili bir ayrım yapmak gerekir. Esas kural açık rıza olmakla birlikte, sağlık ve cinsel hayat dışında kalan kişisel verilerin işlenmesi için kanunda öngörülen bir halin varlığı da yeterlidir. Örneğin, Çalışana ait sendikalılık bilgisinin özlük dosyasında mevzuat gereği tutulması gerekir. Bu durumda kanuni bir düzenleme olduğundan, sendikalılık bilgisi bir hassas nitelikteki kişisel veri olarak işlenebilecektir.

Bir örnek daha vermek gerekir ise; İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği16, İŞVERENE işyerinde yürütülen iş sağlığı ve güvenliği faaliyetlerine ilişkin her türlü kaydı ve işten ayrılma tarihinden itibaren en az 15 yıl süreyle çalışanların kişisel sağlık dosyalarını saklama yükümlülüğü getirmiştir. O halde, işverenin çalışanlarının kişisel sağlık dosyalarını saklaması kanunda öngörülen bir halin varlığına örnek olabilecektir. Ancak bu hüküm KVKK lafzı ile çelişmektedir; KVKK yalnızca sağlık ve cinsel hayat dışındaki kişisel verilerin kanunda öngörülen hallerde açık rıza aranmaksızın işlenebileceğini düzenlemişken, İSGHK işçinin sağlık verilerinin saklanmasına ilişkin bir düzenleme yapmaktadır. KVKK uyarınca, işveren çalışanın sağlık verilerini saklayamayacaktır ancak İSGHK uyarınca saklamasına imkan verilmiştir. Kanunun kendi içerisinde bu şekilde nasıl uygulanacağı belirsiz düzenlemeleri mevcuttur 17.

Sağlık ve cinsel hatata ilişkin verilerin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşla tarafından ilgilinin açık rızası aranmaksızın işlenebileceği düzenlemesi ile ilgili de birkaç örneğe değinmek yerinde olacaktır.

KVKK’da son olarak, m.6/4 ile özel nitelikli kişisel verilerin işlenmesi için Kurul tarafından belirlenecek yeterli önlemlerin alınmasının şart olduğu düzenlenmiştir.

SONUÇ

Gelişen teknolojinin ve bununla birlikte ihtiyaçların sürekli artması ve değişmesi sonucu, günümüzde kişisel verilerimizin işlenmediği tek bir saniye bulunmamaktadır. Kişinin üzerinde hak sahibi olduğu bu verilerin işlenmesi, akıllara hem temel hak ve özgürlüklerin kötüye kullanılması ihtimalini hem de korunma ihtiyacını getirmektedir.

Ülkemizde 2016 yılında yürürlüğe giren Kişisel Verilerin Korunması Kanunu ile uluslararası düzenlemeler de dikkate alınarak, kişisel verilerin işlenmesine ilişkin hükümler getirilmiştir. Kanun kişisel veri tanımını, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlamış bununla birlikte bir de hassas (özel nitelikli) kişisel veri kavramından bahsetmiştir.

Çalışmamızın konusu itibari ile hassas kişisel verilerin kapsamı ve işleme şartlarının daha sıkı hükümlere bağlandığını görmekteyiz. Hassas kişisel verilerin bu şekilde ayrı bir korumaya alınmasının temelinde, bu verilerin başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikte olmaları dikkate alınmıştır ve bu veriler tahdidi olarak sayılmıştır. Bu noktada kanunun ayrımına ufak bir eleştiri getirmek mümkündür. Kanunda tahdidi olarak sayılan bu hassas kişisel veriler dışında, üçüncü kişiler tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikte olan başkaca veriler olamaz mı? Bir kişisel verinin hassas nitelikte olup olmadığının, somut olaylar nezdinde ayrıca değerlendirilmesi gerekirken, kanunda sınırlı sayıda sayılmış olmasının doğru olmadığı kanaatindeyiz. Yine de KVKK, yeni bir düzenleme olarak zamanla şekillenecek ve mağduriyetleri en aza indirgeyecek şekilde reform edilecektir.

----------------------

1 Kanun metni için bkz. RG, 07 .04.2016, Sayı 29677 , Bu çalışmada “KVKK” olarak anılacaktır.

2 İstanbul Bilgi Üniversitesi/Türkiye Ekonomi Politikaları Araştırma Vakfı, “Türkiye’de Kişisel Verilerin Korunmasının Hukuki ve Ekonomik Analizi”, 21.5.2014, (Çevrimiçi) http://www.tepav.org.tr/upload/files/14218531309.Turkiyede_Kisisel_Verilerin_Korunmasinin_Ekon omik_ve_Hukuki_Analizi.pdf 11 Mart 2018, s.2


3 RG, 08.12.2011, Sayı 24607, Türk Medeni Kanunu md. 8/ “Her insanın hak ehliyeti vardır. Buna göre bütün insanlar, hukuk düzeninin sınırları içinde, haklara ve borçlara ehil olmada eşittirler.”

4 Tekin, N. (2014). Kişisel Verilerin Korunması İle İlgili Türkiye’deki Kanun Tasarısının Avrupa Birliği Veri Koruma Direktifi Işığında Değerlendirilmesi. Uyuşmazlık Mahkemesi Dergisi, (4), s. 223.

5 RG, 09.11.1982, Sayı 17863, (Ek fıkra: 7/5/2010-5982/2 md

6 Kişisel Verilerin Korunması Kurulu Rehberleri (Çevrimiçi) https://www.kvkk.gov.tr/Icerik/2030/Rehberler 100 Soruda Kişisel Verilerin Korunması Kanunu, s.7

7 Anayasa Mahkemesi, 09.040.2014 T. 2013/122 E. 2014/74 K. sayılı kararı, https://www.sinerjimevzuat.com.tr

8 TBMM Komisyon Raporu, a.g.e., s.7

9 Develioğlu, 6698 sayılı Kişisel Verilerin Korunması Kanunu ile Karşılaştırmalı Olarak Avrupa Birliği Genel Veri Koruma Tüzüğü uyarınca Kişisel Verilerin Korunması Hukuku, İstanbul, Oniki Levha Yayıncılık, 2017, s.40-41

10 Türk Dil Kurumu Türkçe Sözlük, (Çevrimiçi) http://www.tdk.gov.tr/index.php?option=com_gts&arama=gts&guid=TDK.GTS.5acddf38ed4cb7.319 49611

11 Başalp, Nilgün: Kişisel Verilerin Korunması ve Saklanması. Ankara, Yetkin Yayınları, 2004. S.39

12 Ayözger, Çiğdem: Kişisel Verilerin Korunması:Elektronik Haberleşme Sektörüne İlişkin Özel Düzenlemeler Dahil, İstanbul, Beta Yayınları , 2016. S.139

13 Ayözger, a.g.e., s.22

14 TBMM Komisyon Raporu, a.g.e., s.9

15 Küzeci, Elif: Kişisel Verilerin Korunması, 2.bs., Ankara, Turhan Yayınevi, 2018 s.233

16RG, 29.12.2012 , 28512

17 ANI/ NEVZAT ALİ, Kişisel Verilerin İşlenmesi Ve Açık Rıza, Yüksek Lisans Tezi, İstanbul, 2018, s. 122

KAYNAKÇA

ANI, N. A. (2018). Kişisel Verilerin İşlenmesi ve Açık Rıza. İstanbul: Yüksek Lisans Tezi.

AYÖZGER, Ç. (2016). Kişisel Verilerin Korunması: Elektronik Haberleşme Sektörüne İlişkin Özel Düzenlemeler Dahil. İstanbul: Beta Yayınları.

BAŞALP, N. (2004). Kişisel Verilerin Korunması ve Saklanması. Ankara: Yetkin Yayınları.

DEVELİOĞLU, H. M. (2017). 6698 sayılı Kişisel Verilerin Korunması Kanunu ile Karşılaştırmalı Olarak Avrupa Birliği Genel Veri Koruma Tüzüğü uyarınca Kişisel Verilerin Korunması Hukuku. İstanbul: Oniki Levha Yayıncılık. A.Y.M. Kararı https://www.sinerjimevzuat.com.tr adresinden alınmıştır

Kişisel Verilerin Korunması Kurulu Rehberler, 100 Soruda Kişisel Verilerin Korunması Kanunu: https://www.kvkk.gov.tr/Icerik/2030/Rehberler adresinden alınmıştır

KÜZECİ, E. (2018). KİŞİSEL VERİLERİN KORUNMASI. Ankara: Turhan Yayınevi.

Resmi Gazete http://www.resmigazete.gov.tr adresinden alınmıştır

Türk Dil Kurumu Sözlük, http://www.tdk.gov.tr/index.php?option=com_gts&arama=gts&guid=TDK.GTS.5acd df38ed4cb7.319 adresinden alınmıştır

TEKİN, N. (2014). Kişisel Verilerin Korunması İle İlgili Türkiye’deki Kanun Tasarısının Avrupa Birliği Veri Koruma Direktifi Işığında Değerlendirilmesi. Uyuşmazlık Mahkemesi Dergisi , 223.

KISALTMALAR

AY : Anayasa

E.: Esas

İSGHK : İş Sağlığı ve Güvenliği Hizmetleri Kanunu

K.: Karar

KVKK :Kişisel Verilerin Korunması Kanunu

Md : madde

No : Numara

Vb.: ve benzeri

TANIMLAR:

Açık rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza

Anonim hâle getirme : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

İlgili kişi : Kişisel verisi işlenen gerçek kişi.

Kişisel veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel verilerin işlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Veri işleyen : Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.

Veri kayıt sistemi : Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

Veri sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.

Anahtar Kelimeler: Kişisel Veri, Kişisel Verilerin Korunması, Hassas Veri, Özel Nitelikli Kişisel Veri, Veri İşlenmesi, Kişisel Verilerin İşlenmesi