ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN REHBER HAKKINDA BİLGİ NOTU

Bu bilgi notu, kişisel verilerin korunması alanında çalışan değerli meslektaşlarım ve sevgili öğrenciler için, güncel mevzuat çerçevesinde hazırlanan rehberin bilgi notu formatına uyarlanmış halidir. Kişisel verilerin korunmasına yönelik farkındalığın artırılmasında eğitim temel bir unsur olmakla birlikte, güvenilir bilgi paylaşımı da bu sürece önemli katkılar sunmaktadır.

Bu doğrultuda, not içerisinde yer alan bilgiler ilgili rehberden derlenmiş olup, okuyucuların konu hakkında bilinçlenmesini ve doğru uygulamaları hayata geçirmesini amaçlamaktadır. Daha ayrıntılı bilgilere rehberden ulaşabilirsiniz. Konuyla ilgili katkı sağlamak veya görüşlerinizi paylaşmak isterseniz aşağıya yorumlara ekleyebilirsiniz.

A. REHBER

Kişisel Verileri Koruma Kurumu’nun (“Kurum”) özel nitelikli kişisel veriler ve işlenme şartlarına ilişkin bakış açısının gerek veri sorumluları gerek de ilgili kişilerin dikkatine sunulması amacıyla Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber (“Rehber”) hazırlanmıştır.

1. Rehberin İçeriği nedir?

Rehberin, birinci bölümünde özel nitelikli kişisel verilere ilişkin bilgilere, ikinci bölümünde özel nitelikli kişisel verilerin işlenme şartlarına, üçüncü bölümünde 7499 sayılı Kanun ile gerçekleştirilen kanun değişikliği akabinde veri sorumlularınca yeni duruma uyum sağlanabilmesi adına yapılması gerekenler ile diğer önerilere yer verilmiştir.

2. Madde 6’nın değişme nedeni nedir?

6698 Sayılı Kişisel Verileri Koruma Kanunu (“Kanun”) madde 6’da özel nitelikli kişisel veriler düzenlenmektedir. 12.03.2024 tarihli Resmî Gazete’de yayımlanan Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun (7499 sayılı Kanun) ile anılan maddede değişiklik yapılmış olup bu değişiklik 01.06.2024 tarihinde yürürlüğe girmiştir.

Uygulamada yaşanan sorunlar dikkate alınarak kişisel verilerin korunması alanında Avrupa Birliği (AB) müktesebatına uyum sağlanması, kamu kurum ve kuruluşları ile özel sektör temsilcilerinin talepleri, gelişen teknolojinin getirdiği yeniliklere ve uluslararası platformlarda benimsenen yeni yaklaşımlara adaptasyonun sağlanması değişiklik yapılmış olup bu değişiklik 01.06.2024 tarihinde yürürlüğe girmiştir.

3. Kanun değişikliğinin sonuçları neler olmuştur?

- Sağlık ve cinsel hayata ile ilgili veriler ve diğer hassas veriler olarak yapılan ayrım kaldırılmıştır.

- Hassas verilere yeni işleme şartları ihdas edilmiştir.

- Özel nitelikli kişisel verilerin işlenmesinin kural olarak yasak olduğu hükmü muhafaza edilmiştir.

- Tüm özel nitelikli kişisel veriler için geçerli olacak şekilde işleme şartları yeniden düzenlenmiş ve yeni işleme şartları öngörülerek sayıları arttırılmıştır.

- Açık rıza ile diğer işleme şartları arasında hiyerarşik bir farkın mevcut olmadığı kabul edilmiştir.

- Özel nitelikli kişisel verilerin açık rıza olmaksızın işlenemeyeceği hükmü kaldırılmıştır.

B. ÖZEL NİTELİKLİ KİŞİSEL VERİLER

1. Kurum’un Bakış Açısına İlişkin Örnekler

Rehber aracılığıyla Kurum’un özel nitelikli verilere ilişkin bakış açısını gördüğümüz bazı örnekler ise aşağıda yer verilmiştir.

i. Irk ve etnik köken:

Kanun’da özel nitelikli kişisel verilerin sınırlı sayma yoluyla belirlenmesi ve kıyas yoluyla genişletilememeleri sebebiyle kimlik kartında uyruk bilgisine yer verilmesi nedeniyle bir veri sorumlusu tarafından “yabancı uyruklu”, “T.C. vatandaşı değil”, “diğer” gibi verilerin işlenmesi durumunda özel nitelikli kişisel veri işlenmiş olmayacaktır. Bu nedenle, eski tip pasaport, sürücü belgesi, nüfus cüzdanı veya öğrenci kimliği, işyeri kimliği gibi belgelerde yer alan “ülke kodu” “uyruğu” “tabiiyeti” gibi alanlarda işlenmiş olan kişisel veriler özel nitelikli kişisel veri olarak nitelendirilemeyecektir. Bu verilerin işlenmesi hususunda veri sorumluları tarafından Kanun’un 5’inci maddesinde yer alan işleme şartları göz önünde bulundurulmalıdır.

ii. Siyasi düşünce:

Bir kişinin siyasi parti üyeliği ya da apolitik olduğuna dair bilgiler, siyasi düşünce verisi niteliğindedir. Bununla birlikte bir kişinin sosyo-politik davranış ve tutumları da siyasi düşüncesini yansıtan hususlar olduğundan siyasi düşünce verisi kapsamındadır.

Milletvekili seçimlerinde kamuoyu araştırması yapan anket şirketlerinin hazırladığı ankette; “Hangi partiyi destekliyorsunuz?” -X Partisi -Y Partisi -Hiçbiri sorusuna verilen cevap, siyasi düşünceye ilişkin özel nitelikli kişisel verinin işlenmesi olarak değerlendirilebilmektedir.

iii. Felsefi inancı, dini, mezhebi veya diğer inançları:

İşveren ile eski çalışanı arasında görülmekte olan davada, işveren tarafından işçinin ibadet ettiği görüntülerin dava dosyasında sunulması halinde, işveren tarafından özel nitelikli kişisel veri işleme faaliyetinde bulunulduğu söylenebilecektir.

iv. Kılık ve kıyafet:

Danıştay 12. Dairesinin “Kamu Kurum ve Kuruluşlarında Çalışan Personelin Kılık ve Kıyafetine Dair Yönetmelik”in 5’inci maddesinin birinci fıkrasının (b) bendinde yer alan “Her gün sakal tıraşı olunur ve sakal bırakılmaz.” hükmünün iptaline ilişkin 20.04.2022 tarihli ve E. 2021/7000, K. 2022/2247 sayılı kararı incelendiğinde davacının “kot pantolon giydiği ve sakal tıraşı olmadığı” gerekçesiyle hakkında verilen disiplin cezası üzerine yukarıda belirtilen Yönetmelik’in ilgili hükmünün iptali istemine yönelik Kararında; “… İnsan hakları, bireylerin doğuştan sahip oldukları haklar oldukları için bireylerin dış görünüşleri, fiziksel özellikleri, hayat tarzı ve benzeri özellikleri nedeniyle ihlal edilmemelidir. Doğuştan, yaratılıştan gelen ya da sonradan edinilen, insanları ayırt edici bu özelliklerden dolayı diğer kişilerden daha aşağı oldukları yönünde bir algıya neden olabilecek yaptırımlar öngören her türlü hukuki uygulama, eşitsizliği ve ayrımcılığı meşrulaştıracağı” şeklinde bir değerlendirmede bulunmuş, ayrıca; … bireylerin kendilerini sakallarının uzun veya kısa olmasıyla ifade edebilecekleri ...” ifadelerine yer verilmiştir.

v. Dernek, vakıf ya da sendika üyeliği:

Bir işveren tarafından çalışanın sendikaya üye olduğu yönündeki bilgisinin işlenmesi halinde Kanun’un 6’ncı maddesi kapsamında özel nitelikli kişisel veri işleme faaliyetinde bulunulmuş olacaktır.

vi. Sağlık ve cinsel hayatı:

Kişinin randevu aldığı ya da acil durumlarda başvurduğu hastane, klinik ya da birim bilgisi (05.09.2024 tarihinde saat 10.00’da A***** A***** adına oluşturulmuş psikiyatri polikliniği randevusu gibi), hekim tarafından konulan ön teşhis ve bu teşhis doğrultusunda talep edilen tetkikler ile bu tetkiklerin sonuçları, tetkikler neticesinde konulan teşhisler (kişinin sağlıklı olduğu ya da epilepsi hastası olduğu bilgisi gibi), teşhisler neticesinde uygulanacak tedavi bilgileri (reçete edilen ilaçlar ya da uygulanacak fizik tedavi işlemleri) gibi veriler sağlık verileri kapsamında değerlendirilecektir.

Bu hususta belirtmek gerekir ki; eski tip pasaport, sürücü belgesi, nüfus cüzdanı, işyeri kimliği gibi belgelerde yer alan kan grubu bilgisi bir sağlık verisi olması sebebiyle özel nitelikli kişisel veri niteliğini haiz olduğundan bahse konu kişisel verinin işlenmesi faaliyetinde de Kanun’un 6’ncı maddesinde yer alan işleme şartlarına riayet edilmesi gerekmektedir.

vii. Ceza mahkûmiyeti ve güvenlik tedbirleri:

Adli sicil kaydında yer alan hapis cezasına ilişkin mahkûmiyet kararı, koşullu salıverilme kararı, adli para cezasına ilişkin mahkûmiyet hükmü, sürücü belgesinin geri alınması gibi kararların veri sorumlusu tarafından işlenmesi durumunda özel nitelikli kişisel veri işleme faaliyetinden söz edilebilecektir.

viii. Biyometrik veri:

Kurumların yüksek güvenlik gerektiren odalarına giriş ve çıkışlarda parmak izi doğrulama sisteminin kullanılması suretiyle elde edilen parmak izi verisinin işlenmesi özel nitelikli kişisel veri işleme faaliyeti olarak değerlendirilmektedir.

ix. Genetik veri:

On yıl önce alınmış olan bir genetik numunenin, günümüz teknolojisi ile çalışılarak söz konusu numune sahibinin doğacak çocuklarının belli hastalıklara sahip olabileceğinin tespit edilmesinde, analiz sonucu ile tespit edilen bilgilerin genetik veri niteliğini haiz olduğu söylenebilecektir.

C. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Tüm özel nitelikli kişisel veriler için geçerli olacak şekilde işleme şartları yeniden düzenlenmiş ve yeni işleme şartları öngörülerek sayıları arttırılmıştır. İşleme şartı sayısının azlığı daha çok koruma anlamına gelmemekle birlikte işleme şartlarının arttırılması da özel nitelikli kişisel verilerin gelişigüzel işlenebileceği anlamına gelmeyecektir. Aksine, daha açık ve anlaşılır, sınırları daha net bir şekilde belirlenen işleme şartları hem ilgili kişiler açısından hem de veri sorumluları açısından kolaylık sağlayarak kişisel verilerin daha iyi korunmasına hizmet edecektir. Buna göre, özel nitelikli kişisel veriler, aşağıdaki şartlardan birinin varlığı halinde işlenmeleri mümkündür.

i. İlgili kişinin açık rızasının olması,

ii. Kanunlarda açıkça öngörülmesi,

iii. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

iv. İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,

v. Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,

vi. Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,

vii. İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,

viii. Siyasi, felsefî, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması,

1. Zorunlu ve gerekli ifadeleri

Bentlerde “zorunlu” ve “gerekli” ifadelerinin bilinçli olarak tercih edildiği görülmektedir. İfadelerin ne anlama geldiği aşağıda açıklanmıştır.

Gerekli (necessary) ifadesi için AB müktesebatındaki genel gereklilik ilkesine yapılan bir atıfla, objektif kanıtlara dayalı olarak kişisel verilerin kullanımının gerekçelendirilmesinin sağlanması, başka bir ifadeyle işleme amacına ulaşmanın makul ve orantılı olması ve amaca hizmet edecek özel nitelikli kişisel veri haricinde veri işlenmemesi, amacı gerçekleştirecek makul bir alternatifin bulunması halinde bu yöntemlerin tercih edilmesi ve işleme ile somut olay bağlamında işlenen veriler ile işleme amacı arasında önemli bir bağlantının bulunması gerektiği anlaşılmaktadır. Öte yandan, “gerekli” ifadesi Kanun’un 4’üncü maddesi kapsamındaki genel ilkelerden, “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile de bağlantılıdır. Bu kapsamda “gerekli” ifadesinin her somut olay özelinde değerlendirilmesi gereken oldukça soyut bir kavram olduğunu söylemek mümkündür.

Zorunluluk kavramı ise kaçınılmazlığı ifade etmekte ve bu yönüyle öznel bir değerlendirmeye dayanmayıp özel nitelikli kişisel veri işleme faaliyetini mecbur bırakan kamusal ve toplumsal şartların arandığı bir duruma karşılık gelmektedir. Bu çerçevede, özel nitelikli kişisel verilerin işlenmesi açısından zorunluluk kavramı ile; herhangi bir alternatif yöntemin bulunmaması, dolayısıyla işleme faaliyetinin söz konusu amaç dahilinde kaçınılmaz olmasının kastedildiği değerlendirilmektedir.

2. Kurum’un Bakış Açısına İlişkin Örnekler

Rehber aracılığıyla Kurum’un özel nitelikli verilerin işlenme şartına ilişkin bakış açısını gördüğümüz bazı örnekler ise aşağıda yer verilmiştir.

i. Açık rıza

Açık rıza dışında bir işleme şartı varsa kişisel veri işleme şartı olarak diğer şartla açık rızanın birlikte kullanılmaması gerekmektedir. Zira başka bir veri işleme şartı mevcut iken açık rızaya başvurulmuş ise bu hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil edebilecektir.

ii. Kanunlarda açıkça öngörülme

Özel nitelikli kişisel verinin işlenmesiyle ilgili herhangi bir kanunda açık bir hüküm varsa veya ikincil mevzuata açıkça yönlendirme yapılmışsa, bu durumda özel nitelikli kişisel verilerin işlenmesi mümkün olabilecektir. Bununla birlikte hangi kişisel verilerin nasıl işleneceğine ilişkin usul ve esaslar; Kanun’un özel nitelikli kişisel verinin işlenmesi hususunda açıkça verdiği yetkiye dayanılarak çıkarılan yönetmelik, tebliğ ve genelge gibi düzenlemelerle ayrıntılı olarak düzenlenmiş ise bu durum, söz konusu özel nitelikli kişisel verilerin “Kanunlarda açıkça öngörülmesi” şartı uyarınca işlenmesine engel teşkil etmeyecektir.

5490 sayılı Nüfus Hizmetleri Kanunu gereği, ilgili kişiye pasaport ya da sürücü belgesi tahsis edilmesi esnasında nüfus müdürlüklerince ilgili kişinin parmak izinin alınması ile gerçekleştirilen kişisel veri işleme faaliyeti, kanunlarda açıkça öngörülme hukuka uygunluk nedeni kapsamındadır.

6458 sayılı Yabancılar ve Uluslararası Koruma Kanunu’nun 121'inci maddesinde, bu Kanunun uygulanmasına ilişkin usul ve esasların yönetmeliklerle belirleneceği düzenlenmiştir. Bu kapsamda çıkarılan Yabancılar ve Uluslararası Koruma Kanununun Uygulanmasına İlişkin Yönetmelik'in "Kişisel verilerin alınması ve saklanması" başlıklı 124'üncü maddesinde "parmak izi, avuç içi izi, retina, ses taraması" gibi biyometrik verilerin Göç İdaresi Başkanlığı tarafından nasıl işleneceğine ilişkin usul ve esaslar düzenlenmiştir. Bu kapsamda işlenen özel nitelikli kişisel verilerin, “kanunlarda açıkça öngörülme” işleme şartına uygun olarak işlenmiş olduğu değerlendirilebilecektir.

iii. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması

Deprem nedeniyle enkaz altında kalan ve bilinci yerinde olmayan bir kişinin daha önce geçirmiş olduğu hastalıklar ve kan grubuna ilişkin bilginin, kişinin yakınları tarafından sağlık görevlisi olmayan kurtarma ve ilk yardım ekipleri ile paylaşılması Kanun’a uygun bir işleme faaliyeti olarak değerlendirilebilecektir.

iv. İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması

Kanun’da yapılan değişiklikle, özel nitelikli kişisel verilerin işlenmesi için yeni bir hukuka uygunluk nedeni öngörülmüştür. Buna göre ilgili kişi tarafından alenileştirilen özel nitelikli kişisel veriler, alenileştirme iradesine uygun olmak koşuluyla işlenebilecektir.

Bir gerçek kişi tarafından acil durumlarda kullanılmak üzere, “kan grubu” bilgisinin sürücüsü olduğu motorlu taşıtın ya da bisikletinin herkes tarafından görülebilir bir bölümüne yazdırılması halinde, bu kişisel veri ancak ilgili kişinin alenileştirme iradesi ve amacı doğrultusunda acil durumların varlığı halinde işlenebilecektir. İlgili kişinin alenileştirme iradesi ve amacına aykırı olarak verisinin işlenmesi hukuka uygun kabul edilmeyecektir.

v. Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması

Kanun’un gerekçesine bakıldığında; iş sözleşmesinin sona ermesinden sonra açılması muhtemel davalarda savunma hakkının kullanılması bakımından işverenin eski işçisine ait sağlık verilerini saklamaya devam etmesinin bu kapsamda değerlendirileceği, yine engelli bir kişinin özel tüketim vergisinden muaf özel donanımlı araç almak hakkından yararlanabilmesi için engelliliğine ilişkin sağlık raporlarının vergi dairesi tarafından edinilmesi ve bu belgelerde yer alan özel nitelikli kişisel verilerin işlenmesinin de bu bent kapsamında değerlendirileceği şeklindeki örneklerin verildiği görülmektedir.

Bir avukatın müvekkilinin hakkını başka bir biçimde tesis etmesinin mümkün olmadığı durumlarda hukuka uygun olarak elde edilmiş özel nitelikli kişisel verileri dava dosyası kapsamında mahkemeye sunması somut olay bazında hukuka uygun bir işleme sebebi olarak değerlendirilebilecektir.

Çalışanların maaş ödemelerinde eş ve çocuklarına ait engellilik veya sağlık bilgileri gibi özel nitelikli kişisel verilerin işlenmesinin zorunluluk arz ettiği durumlarda, işveren tarafından bu verilerin işlenmesi de bir hakkın tesisi kapsamında değerlendirilebilecektir.

vi. Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması

Anayasa Mahkemesi’nin, 2016/125 E. 2017/143 K. sayılı ve 28.09.2017 tarihli Kararında 5237 sayılı Türk Ceza Kanunu ve 6698 sayılı Kanun birlikte değerlendirilerek ilgili hükmün kişisel verilerin korunması hakkına sınırlama getirirken; sınırlama aracının sınırlama amacına uygun ve orantılı şekilde kullanılmasını sağlayacak yasal güvenceleri de ihtiva ettiği, böylece hem özel hayatın gizliliği ve kişisel verilerin korunması haklarının özünün zedelenmesinin önlendiği hem de bu haklar ile toplum sağlığının korunmasına yönelik önlemler arasındaki makul dengenin kurulduğu tespitinde bulunulmuş olup ilgili hükmün kişisel verilerin korunmasını isteme hakkının özüne dokunan ya da bu hakkı ölçüsüz şekilde sınırlandıran bir kriter içermediği ve kuralın demokratik toplum düzeninin gereklerine aykırılık teşkil ettiğinin de söylenemeyeceğinin belirtildiği görülmektedir.

Öte yandan Kanun’un gerekçesine baktığımız zaman Sağlık Bakanlığı ile her türlü sağlık kuruluşu ve Sosyal Güvenlik Kurumunun belirtilen yazılı amaçlarla tuttukları veriler ve kayıtların bu kapsamda değerlendirilebileceği anlaşılmaktadır.

Yetkili kurum ve kuruluşları ifadesinin, yalnızca kamu kurum ve kuruluşlarını değil, bunun yanında sağlık hizmeti sunan gerçek kişiler ile özel hukuk tüzel kişilerini de kapsayacağının belirtilmesinde fayda görülmektedir.

Sır saklama yükümlülüğü altında bulunan kişiler açısından, Hasta Hakları Yönetmeliği uyarınca;

- Personel kavramı, hizmetin, resmî veya özel sağlık kurumlarında ve kuruluşlarında veya serbest olarak sunulmasına bakılmaksızın, sağlık hizmetinin verilmesine iştirak eden bütün sağlık meslekleri mensuplarını ve sağlık meslekleri mensubu olmasa bile sağlık hizmetinin verilmesine sorumlu olarak iştirak eden kimseleri ifade etmektedir.

- Sağlık kurum ve kuruluşu kavramı ise sağlık hizmeti verilen kamu veya özel bütün kurum ve kuruluşları ile tababet icra edilen bütün yerler olarak tanımlanmıştır.

Bu kapsamda, bütün sağlık meslekleri mensupları ve sağlık meslekleri mensubu olmasa bile sağlık hizmetinin verilmesine sorumlu olarak iştirak eden kimseler ile sağlık kurum ve kuruluşları mahremiyet ve gizlilik esaslarına uymakla yükümlü tutulmuştur.

Devlet politikası gereği yapılması zorunlu tutulan çocukluk çağı aşılarının aile hekimleri tarafından takip edilmesi, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması amacıyla özel nitelikli kişisel veri niteliğini haiz sağlık verilerinin işlenmesi kapsamında değerlendirilebilecektir.

Bir doktorun, kliniğinde çok sayıda hastayla ilgilendiği, ziyareti, hastanın adı/soyadı, özel nitelikli kişisel veri niteliğini haiz semptomların tanımı ve reçete edilen ilaçların yer aldığı bir veri tabanına kaydettiği, bu kapsamda özel nitelikli kişisel verilerin klinik tarafından işlenmesinin, kişiyi tedavi etmek için gerekli olması ve mesleki sır yükümlülüğüne tabi bir doktorun sorumluluğu altında gerçekleştirilmesi nedeniyle GVKT kapsamında izin verileceği belirtilmiştir.

vii. İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması

Adalet Bakanlığı Hukuk Sözlüğü uyarınca, istihdam iş başvurusu ile başlamakta olup çalışmanın sonlanmasına dek devam etmektedir. İş sağlığı ve güvenliği ise, işyerinde işin yürütülmesi sırasında çeşitli nedenlerden kaynaklanan sağlığa zarar verebilecek koşullardan korunmak ve mevcut sağlık ve güvenlik şartlarının iyileştirilmesi için yapılan sistemli ve bilimsel çalışmalardır. İSG, çalışanların sağlık ve güvenliğinin en üst seviyede tutulmasını, üretimin veya hizmetin devamlılığını ve işletmenin acil durumlara karşı hazırlıklı olmasını hedeflemekte ve odağına en önemli değer olan insanı koymaktadır. Sosyal güvenlik ise, insanların gelirlerine bakılmaksızın toplum huzurunu ve refahını bozan sosyal tehlikelerin verdiği zararlardan “insan hakkı” ve esas itibariyle de “devlet görevi” olarak primli ya da primsiz sistemlerin kullanılması, kişilerin sosyal tehlikelerin zararlarından kurtarılma güvencesi anlamına gelmektedir. Sosyal hizmetler ise, kişi ve ailelerin kendi bünye ve çevre şartlarından doğan veya kontrolleri dışında oluşan maddi, manevi ve sosyal yoksunluklarının giderilmesine ve ihtiyaçlarının karşılanmasına, sosyal sorunlarının önlenmesi ve çözümlenmesine yardımcı olunmasını ve hayat standartlarının iyileştirilmesi ve yükseltilmesini amaçlayan sistemli ve programlı hizmetler bütünü şeklinde tanımlanmıştır. Sosyal yardım ise ihtiyaç sahibi hanelere ve kişilere; muhtaçlıkları nedeniyle tek taraflı karşılıksız olarak ve/veya kamu hizmetlerine katılım, geri ödeme gibi bir edimi yerine getirme şartına/şartlarına dayalı olarak yapılan ayni ve nakdi yardımlar şeklinde tanımlanmıştır

Belirtmek gerekir ki bu zorunluluğun şekli olarak kanundan kaynaklanması gibi bir durum söz konusu değildir. Kanunlarda açıkça öngörülen bir yükümlülükten ya da bir yönetmelik, yönerge, tebliğ ve hatta sözleşmeden kaynaklanabilecektir.

Bununla birlikte, iş sağlığı ve güvenliği, sosyal hizmetler ve sosyal yardım konularına ilişkin hukuki yükümlülükleri bulunan kurum ve kuruluşların ihtiyaçlarının tespiti, yardımların koordine edilmesi vb. hukuki yükümlülüklerini başka türlü yerine getirebilmelerinin mümkün olmadığı durumlarda özel nitelikli kişisel verilerin işlenmesi hukuka uygun sayılabilecektir.

4857 sayılı İş Kanunu’nun 75’inci maddesi çerçevesinde işverenin çalışana ait özlük dosyası düzenleme yükümlülüğü gereğince özel nitelikli kişisel verilerin işlenmesinin, Kanun’un 6’ncı maddesinin üçüncü fıkrasının (f) bendi kapsamında değerlendirilebilmesi mümkündür.

Karayolu Taşıma Yönetmeliği’nin “Şoförlerde aranacak nitelik ve şartlar” başlıklı 34’üncü maddesine göre; yönetmelik kapsamındaki taşıtları kullanan şoförlerin uyuşturucu, silah, insan ve gümrük kaçakçılığı ile terör suçlarından dolayı hürriyeti bağlayıcı ceza almamış olmaları ve şoförlük mesleği bakımından bedeni ve psiko-teknik açıdan sağlıklı olduklarını gösteren bir sağlık raporunu, yetkili sağlık kuruluşlarından her beş yılda bir almaları şarttır. Dolayısıyla Yönetmelik kapsamındaki araçları kullanacak şoförlerin ceza mahkumiyeti ve sağlık verilerinin işlenmesi bu bent kapsamında değerlendirilebilecektir.

Sosyal Güvenlik Kurumu Sigortalı İşe Giriş Bildirgesinde, “Sigortalı İş Kanunu’nun 30 uncu maddesine göre çalıştırılıyorsa” seçimlik olarak “Eski hükümlü” veya “Engelli” seçeneklerinden birinin işaretlenmesi gerekmekte olup bu kapsamda özel nitelikli kişisel veriler, söz konusu bildirge vasıtasıyla veri sorumlusu işveren tarafından işlenebilecektir.

Sağlık Bakanlığı tarafından 01.03.2019 tarihinde yayımlanan Diyaliz Merkezleri Hakkında Yönetmelik’in 35’inci maddesi gereğince diyaliz hastalarına sunulan sağlık kuruluşuna taşıma hizmetinin yerine getirilebilmesi için kişinin sağlık raporunda yer alan özel nitelikli kişisel verinin, taşıma hizmetini sunan veri sorumlusu tarafından işlenmesi bu bent kapsamında değerlendirilebilecektir.

Bir sosyal yardım derneğinin doğal afet neticesinde uzuvlarını kaybeden kişilerin protez ihtiyaçlarını karşılamak adına bağış kampanyaları açabilmek için kişilerin sağlık raporlarını işlemesi faaliyeti bu bent kapsamında değerlendirilebilecektir.

viii. Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması

Bir siyasi parti tarafından engelli bir üyenin oy kullanabilmesi için, söz konusu kişiye tekerlekli sandalye temin edilmesi amacıyla engellilik durumuna ilişkin sağlık verisi işlenmesi bu madde kapsamında değerlendirilebilecektir.

Çalıştığı üretim işletmesinde iş kazası geçiren kişinin bağlı olduğu sendikanın, üyelerinin iş sağlığı ve güvenliğinin korunması kapsamında sürecin takibi için işçinin sağlık verilerini işlemesi bu bent kapsamında değerlendirilebilecektir.

D. VERİ SORUMLULARINCA KANUN’A UYUM İÇİN YAPILMASI GEREKENLER

Kanun’da yapılan değişiklik sonrasında veri sorumlularının Kanun’a uyum için neler yapması gerektiği hususunda bilgiler verilmektedir. Bu kapsamda yeni düzenlemelere ilişkin veri sorumlularının Kanun’a uyum sağlamak adına aşağıdaki hazırlık çalışmalarını titizlikle ve ivedilikle yürütmesi gerekmektedir.

1. Kişisel veri işleme envanterinin güncellenmesi

2. Açık rıza alınması süreçlerinin düzenlenmesi

3. Aydınlatma metinlerinde değişiklik yapılması

4. Saklama ve imha politikasının güncellenmesi

5. Veri güvenliği tedbirlerinin alınması

Kaynak: ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN REHBER