Eczaneler, diş hekimleri, tıp merkezleri, diyaliz merkezleri, özel hastaneler ve optisyenlik müesseseleri, kullandıkları ve işledikleri verilerin niteliğine göre KVKK yükümlülüklerine uymak zorundalardır. Bahsi geçen kurum ve kuruluşların bulundurduğu yahut işlediği veriler niteliği gereğince “özel nitelikli veri” olarak adlandırılmaktadır.

Özel nitelikli kişisel veriler öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Özel nitelikli kişisel veriler ilgili kişinin açık rızası ile ya da Kanunda sayılan sınırlı hallerde işlenebilir.

Kanunda özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiştir. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Özel nitelikli kişisel verilerin kıyas yoluyla genişletilmesi mümkün değildir.

Kanun, özel nitelikli kişisel veriler arasında da bir ayrım yapmıştır. Buna göre sağlık ve cinsel hayata ilişkin kişisel verilerin işlenmesi ile bunlar dışındaki özel nitelikli kişisel verilerin, açık rıza olmaksızın işlenebileceği haller farklı düzenlenmiştir.

Kanuna göre, özel nitelikli kişisel verilerin işlenmesi, ilgili kişinin açık rızası dışında aşağıdaki hallerde mümkündür:

- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hallerde,

- Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.

KVKK Uyum Süreci kapsamında yapılması gereken birtakım işlemler mevcuttur. Kişisel verilerin korunması hukukuna göre, yapılması gerekenler, maddeler halinde aşağıda sayılmıştır.

1. Veri envanterinin oluşturulması,

2. Kurumsal politika ve prosedürlerin oluşturulması (Veri işleme ve saklama politikası, imha politikası, bilgi güvenliği politikası, özel nitelikli veri politikası vs.)

3. Gizlilik sözleşmeleri, taahhütnameler (çalışan, müşteri, tedarikçi vs.),

4. Aydınlatma metni (çalışanlar ve 3. Kişiler için),

5. Açık rıza alınması(çalışan, müşteri, tedarikçi vs.),

6. Risk analizi yapılması,

7. Farkındalık eğitimi,

8. VERBİS kaydının yapılması.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 16. Maddesine göre VERBİS’e (Veri Sorumluları Sicil Bilgi Sistemi) kayıt zorunludur. Yasa, Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan VERBİS sistemine gerçek ve tüzel kişilerin veri işleme faaliyetine başlamadan önce kayıt zorunluluğu getirmiştir. Bu zorunlulukların neler olduğu ayrıca KVKK’da ve Veri Sorumluları Hakkında Yönetmelik’te belirlenmiştir. Bu yönetmelikte tanımlanmış istisnalar dışında gerçek ve tüzel kişilerin usule uygun biçimde eksiksiz olarak sisteme kayıtlarını yapmaları zorunludur.

Kişisel verilerin korunması ağır yaptırımlara bağlanarak koruma altına alınmaya çalışılmaktadır. Maddi ve cezai olarak kanunda birtakım sonuçları belirlenmiştir. Ülkemizde ve dünyada “kişisel veri” kavramı ve “kişisel verilerin korunması hukuku” son derece önem arz etmektedir. Verilerin gerekli şekilde korunabilmesi için ilgili ve sorumlu olan herkesin, yukarıda açıklamaya çalıştığımız hususlarda dikkatli olması gerekmektedir. Aksi halde ağır yaptırımlar kaçınılmaz olacaktır.

Kaynakça:

*Kişisel Verilerin Korunması Hukuku / Murat Volkan Dülger

*KVKK ve İlgili Mevzuat (Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 108 Sayılı Sözleşme)

*https://www.kvkk.gov.tr

Av. Begüm Gürel & Stj. Av. Ayşenur Eroğlan