Özet
Hukukumuzda 6698 sayılı Kişisel Verilerin Korunması Kanunu ile düzenlenen özel nitelikli kişisel veriler tahdidi olarak belirlenmiş ve işlenmeleri ile aktarılmaları birtakım sınırlamalara tabi tutulmuştur. Genel olarak kişisel verilerin işlenmesi ilkelerine tabi olan nitelikli kişisel verilerin işlenmesi Kanun’da ayrı bir düzenleme konusu teşkil etmektedir. Nitekim özel nitelikli kişisel verilerin ayrı bir düzenleme konusu olması çalışmamızın esas konusunu teşkil etmektedir. Açıklamalarımızı yaparken Genel Veri Koruma Tüzüğü düzenlemelerine de değinecek, milli hukukumuz ile karşılaştırmalar yapmaya çalışacağız.
Anahtar Kelimeler: Özel nitelikli kişisel veri, veri işleme, veri işleme şartları
Abstract
In Turkish Law, sensitive personal data, which is regulated by the Law on The Protection of Personal Data No. 6698, is determined as numerus clausus and their processing and transfer are subject to certain limitations. In general, the processing of sensitive personal data, which is subject to the general principles of prossessing personal data, is a subject of a different article in the Law. Hence, the fact that sensitive personal data is subject to a separate regulation constitutes the main subject of our study. While making or explanations, we will also touch on the General Data Protection Regulation and try to make comparisons with our national law.
Keywords: Sensitive personal data, processing data, terms of data processing
Giriş
Kişisel verilerin korunması öncelikle 07/05/2010 tarihli ve 5982 sayılı Kanunun 2. Maddesiyle Anayasa’mıza eklenen 20/3. maddesinde “herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir” şeklinde ifade edilerek hüküm altına alınmıştır. Hükmün devam eden metninde vatandaşlara verilen hakkın kapsamı “kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar” şeklinde belirlenmiştir. Nitekim detayların kanunlarla düzenleneceği hususu da maddenin son cümlesinde hüküm altına alınmıştır. Maddenin üçüncü cümlesi kişisel verilerin hangi şartlarda işlenebileceği hususunda düzenleme getirdiğinden konumuz açısından önem arz etmektedir. Nitekim “kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir.” Bu hükme istinaden 24/03/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) yürürlüğe girmiştir.
Özel nitelikli kişisel verilerin işlenmesi konusu KVKK’nın 6. maddesinde düzenlenmiştir. Maddede hangi tür verilerin özel nitelikli kişisel veri olduğu, söz konusu verilerin hangi şartlarda işlenebileceği ve son olarak özel nitelikte kişisel verilerin işlenilmesinde alınacak yeterli önlemlerin Kurul tarafından belirleneceği hüküm altına alınmıştır.
Genel Veri Koruma Tüzüğü’nde (Tüzük) ise özel nitelikli kişisel veriler 9. ve 10. maddelerde düzenlenmiştir. Tüzük’ün 9. maddesinde hassas verilerin işlenmesinin kural olarak yasak olduğu ve hangi şartlarda işlenebileceği bentler halinde öngörülmüştür. Çalışmamız kapsamında bu düzenlemeye de değinilecektir.
1 – Özel Nitelikli Kişisel Veriler
1.1 – Terim Sorunu
Kanunumuzun tercih ettiği terime istinaden “özel nitelikli kişisel veriler”in, doktrinde pek çok farklı şekilde adlandırıldığı görülmektedir. Özel nitelikli kişisel veriler öncelikle Tüzük’te “özel kategorideki kişisel veriler” olarak karşımıza çıkmaktadır. KVKK’nın 6. maddesinin gerekçesinde ise özel nitelikli kişisel veriler ile hassas veri kavramı birlikte kullanılmıştır. Ayrıca doktrinde “özel kişisel veriler”, “özel korumaya layık olan veriler” kavramları da kullanılmaktadır.2 Biz çalışmamız boyunca kural olarak Kanunumuzun tercih etmiş olduğu “özel nitelikli kişisel veriler” kavramını kullanacağız. Genel Veri Koruma Tüzüğü’nden bahsederken ise “hassas veriler” kavramını kullanacağız.
1.2 – Tanımı
Özel nitelikli kişisel veri, Kanunumuzun 6. maddesinin gerekçesinde “burada, sayılan kişisel verilerin, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikte veriler olmaları dikkate alınmakta ve bu sebeple bu türden veriler özel nitelikli (hassas) veri olarak kabul edilmektedir” şeklinde ifade edilmiştir.3 Bu noktadan hareketle özel nitelikli kişisel verilerin başkaları tarafından öğrenildiğinde ilgilisinin mağduriyetine veya ayrımcılığa tabi tutulmasına yol açabilecek nitelikteki veri olarak tanımlanabileceği kanaatindeyiz. Keza, Voigt ve Bussche’ye göre4 de özel nitelikli kişisel veriler, bir birey hakkında temel hak ve özgürlükleriyle ilgili olarak, işlenmesi halinde yüksek riskler doğurabilecek veriler olup, bu nedenle özel bir korumayı hak eder. Yine Yosif de bizimle aynı doğrultuda bir açıklama yaparak “özel nitelikli kişisel veriler, öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir” şeklinde tanımlamada bulunmuştur. Buna karşılık Kişisel Verileri Koruma Kurulu tarafından yayımlanan sözlükte özel nitelikli kişisel veri, Kanun’da sınırlı sayıda sayılan tüm özel nitelikli kişisel verileri göstermekle yetinilmiş, başkaca bir açıklamaya yer verilmemiştir.