EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Kişisel Veri, Özel Nitelikli Kişisel Veri ve İlgili Kişi Hakları

Kişisel Veri, Özel Nitelikli Kişisel Veri ve İlgili Kişi Hakları

6698 sayılı Kişisel Verileri Koruma Kanunu (Kanun) kapsamında genel anlamda bir kişisel veri tanımı yapılmakla birlikte daha hassas kabul edilen ve ihlal olması durumunda ilgili kişinin haklarını daha çok zedeleyecek nitelikteki kişisel veriler, özel nitelikli kişisel veri olarak ayrı bir sınıflandırma yapılmıştır. Bu kapsamda özel nitelikli kişisel verilerin, kişisel verilerin işlenme şartları bakımından ayrıştığını görürüz.

Özel nitelikteki kişisel veriler Kanun’da sınırlı sayma yoluyla öngörülmüştür. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Burada sayılanlar dışında bir özel nitelikli kişisel veri tanımlanamaz.  Bu verilerden bir tanesinin işlenmesi söz konusu olduğunda prensip olarak açık rıza alınması şarttır. Ancak bazı istisnai durumlarda açık rıza aranmaksızın işlenebileceği öngörülmüştür. Burada kanun koyucu sağlık ve cinsel hayata ilişkin verileri ayrı tutmuştur. Bunların dışındakiler için kanunda öngörülen bir hal varsa işlenmesi için açık rıza alınması zorunlu değildir. İşlenecek veri sağlık veya cinsel hayata ilişkin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi halleri söz konusu olursa açık rıza aranmayabilir. Örneğin; çalışana ait sendika üyeliğinin özlük dosyasına işlenmesi bir kanun hükmü olduğu için açık rıza aranmaksızın işlenebilir.

Özel nitelikteki kişisel verilerin işlenmesinde bir diğer önemli husus, yeterli önlemlerin alınması şartıdır. Kanun bu önlemlerin Kişisel Verileri Koruma Kurulu (Kurul) tarafından belirleneceğini öngörmüştür. Kurul 2018 yılında “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili bir karar yayınlamıştır. Bu önlemleri 6 ana başlık halinde özetleyebiliriz. Bunlar;

  1. Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,
  2. Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik eğitimler verilmesi, gizlilik sözleşmeleri yapılması, verilere erişim yetkisine sahip olanların yetkilerinin sınırının belirlenmesi, yetki kontrollerinin periyodik şekilde yapılması, görev değişikliği ya da işten ayrılma nedeniyle yetkileri sona erdirilen kişilere tahsis edilen envanterin veri sorumlusu tarafından geri alınması,
  3. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam olmasına bağlı olarak kriptografik yöntemler kullanmak gibi ek birtakım önlemler alınması,
  4. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise bu ortamların güvenliğinin sağlanması,
  5. Özel nitelikli kişisel veriler aktarılacaksa verinin aktarım şekline göre belirlenmiş önlemlerin alınması. Örneğin; veriler e-posta yoluyla aktarılacak ise şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
  6. Belirtilen bu önlemler dışında ayrıca KVKK internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberi‘nde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.

 

Son olarak şunu belirtmek gerekir. Özel nitelikli kişisel verilere ilişkin mutlak surette bir korumadan bahsedemeyiz. Özel nitelikli kişisel veriler de  temel hak ve özgürlüklerin sınırlanmasına ilişkin anayasal ilkelere tabi olacaktır.

İlgili Kişi Hakları

6698 sayılı Kişisel Verileri Koruma Kanunu kapsamında yalnızca gerçek kişilerin kişisel verileri korunmaktadır. Bu nedenle, Kanunda kişisel verisi işlenen gerçek kişiyi ifade etmek için “ilgili kişi” ifadesi kullanılmıştır. İlgili kişilerin Kanunun uygulanmasına ilişkin taleplerini iletebilmeleri ve kişisel verilerine ilişkin haklarını koruyabilmeleri için bir takım hak arama yöntemleri belirlenmiştir. Böylelikle ilgili kişiler, kişisel verilerinin korunmasına ilişkin haklarını kullanmak adına yargı yoluna başvurmanın yanı sıra Kanunla getirilen diğer hak arama yöntemlerini de kullanabileceklerdir. İlgili kişinin hakları Kanunun 11’inci Maddesinde sınırlı olarak sayılmıştır. Buna göre ilgili kişi;

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, 
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, 
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, 
  • Kanunun 7’inci maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme ve kişisel verilerin aktarıldığı üçüncü kişilere bunun bildirilmesini isteme, 
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, 
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.

Unutulma Hakkı

Unutulma hakkı internet ortamında yer alan içeriğin arama motorlarında listelenmemesini talep hakkıdır. Üstün bir kamu yararı olmadığı sürece, dijital hafızada yer alan, geçmişte yaşanan olumsuz olayların bir süre sonra unutulmasını, başkalarının bilmesini istemediği kişisel verilerin silinmesini ve yayılmasının önlenmesini isteme hakkı olarak ifade edilebilir. Burada kişiye, geçmişini kontrol etme, belirli hususların geçmişinden silinmesini ve hatırlanmamayı isteme hakkı verilmektedir. İçeriğe erişimin internet ortamında kaldırılmasını isteme hakkından ise ayrılmaktadır. İçeriğe erişimin engellenmesi durumunda iş bu içeriğe erişimin sınırlandırılarak belirli kişiler veya belirli konumlarda veya belirli sunucular üzerinden girebilme ve içeriğe halen erişebilme imkânları bulunmaktadır. Türk Hukukunda Unutulma hakkında dair net bir düzenleme bulunmamakla birlikte 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) kişisel verilerin işlenmesine ilişkin genel ilkelerin düzenlendiği 4’inci maddesi, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinin düzenlendiği 7’inci maddesi ve kişisel verilerin silinmesini veya yok edilmesini isteme hakkının da yer aldığı ilgili kişinin haklarının düzenlendiği 11’inci maddesi unutulma hakkının yerine getirilmesine ilişkin araçlara dayanak teşkil etmektedir. Ayrıca Kişisel Verileri Koruma Kurulu tarafından verilen 08/12/2020 tarihli ve 2020/927 sayılı kararda “Unutulma hakkı kapsamında ilgili kişinin arama motorunda adı ve soyadı ile bağlantılı sonuçların kaldırılması talebi” ile alakalı inceleme yapılmış olup ilgili kararın özetine https://www.kvkk.gov.tr/Icerik/6871/2020-927 adresinden ulaşabilirsiniz.

 

Kişisel Veri ve Özel Nitelikli Kişisel Veri Ayrımı, İlgili Kişi Hakları ile İlgili Kurul Kararlarına Ulaşın

Kişisel Verilerin Kurulu’nun Kişisel Veri ve Özel Nitelikli Kişisel Veri Ayrımı, İlgili Kişi Hakları ile ilgili verdiği kararlara buradan ulaşabilir; bu kararları sektöre, etiketlere, tarihlere ve ilgili kanun maddelerine göre filtreleyebilirsiniz.

Bu yazıyı paylaşın:

YORUMLAR

Siz de görüşünüzü belirtin

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir