Kişisel Veri ve Özel Nitelikli Kişisel Veri Nedir ?
Bu yazıda kişisel veri ve özel nitelikli kişisel verilerin neler olduğu, VERBİS sisteminde belirtilen bazı kişisel verilerin neler olduğu ve kişisel veri ve özel nitelikli kişisel verilere ilişkin kurul kararları incelenmiştir.
Kişisel Veri Nedir ?
6698 sayılı Kişisel Verileri Koruma Kanunu’nun 3. maddesinde kişisel verinin ne olduğu ifade edilmiştir. Buna göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, ifade etmektedir. Tanımdan da anlaşıldığı gibi tüzel kişilere ait veri istisnalar hariç kanun kapsamında değildir. Bir şirketin ticaret unvanı ya da adresi gibi tüzel kişiliğe ilişkin bilgiler gerçek bir kişiyle ilişkilendiriliyorsa bu durumda veriler kişisel veri sayılmaktadır.
Kişisel veri gerçek kişiye ait veridir. Her türlü bilgi ile anlatılmak istenen sadece kişiyi kesin teşhis edecek ad, soyad, doğum tarihi vb. bilgiler değildir. Her türlü bilgiye, kişiyi belirlenebilir kılacak fiziki, ailevi, ekonomik, sosyal ve buna benzer özelliklere ilişkin bilgiler de girmektedir.
Belirlenebilir olma: Belirlenebilir kişi, doğrudan ve dolaylı tanımlayıcı bir unsur ile tanımlı hale gelecek olan kişidir. Ölen kişiye ait veri, ölen kişi bakımında artık bir kişisel veri niteliği taşımayacaktır. Ancak hayatta olan alt-üst soy ile bağlantısı kapsamında kişisel veri niteliğini koruyacaktır. Nitekim ölen bir kişinin kalıtsal bir hastalığı, onun alt veya üstsoyu hakkında kişisel bir veri niteliği taşıyorsa burada belirlenebilir olma özelliği öne çıkmaktadır.
Belirlenebilir olma ile ilgili bir diğer husus veri eğer tek başına bir kişiyi tespit edemiyorsa ancak başka veriler ile birleştirildiğinde kişiyi belirliyorsa belirlenebilir olmadan bahsedilir. Örneğin Takma isimler, lakaplar tek başına veya başka verilerle birleştirildiğinde kişiyi tanımlıyor ise bu veriler kişisel veri olarak kabul edilecektir.
Bir eşyaya ait veri ile eşyanın kullanıcısı belirlenebilir. Veri herhangi bir kayıt ile ilişkilendirildiğinde kişinin belirlenmesine fayda sağlamış ise belirlenebilir olmadan söz edilir. Bir aracın hız, lokasyon bilgileri tek başına değerlendirildiğinde kişisel veri olmayabilir fakat kullanıcısı hakkında bıraktığı izlenim ile kişi hakkında bir bilgi sağlıyorsa kişisel veri niteliğinde olacaktır.
Kişisel Verileri Koruma Kurumu’nun belirlenebilir olma hakkında verdiği örnekler:
Ad ve soyad tek başına kişisel veridir ve bir gerçek kişiyi belirleyebilir. Ancak ad ve soyad her zaman bir gerçek kişiyi belirlemek için yeterli olmayabilir, bazı durumlarda bir gerçek kişiyi tespit edebilmesi için ad ve soyadı ile birlikte başka bilgilere de gerek duyulabilir.
Yaygın olarak kullanılan ad ve soyadı kombinasyonları bakımından ad ve soyad tek başına bir kişiyi belirli kılmayabilir ama bir gerçek kişiyi belirlenebilir kılma özelliğinden dolayı her zaman kişisel veridir. Ad soyad, bazen tek olması halinde doğrudan ilgili kişiyi belirler bazen de birden çok olması halinde dolaylı olarak ilgili kişiyi belirler. Bu durum, ad ve soyadı kişisel veri olmaktan çıkarmaz. (Örneklerle Kişisel Verilerin Korunması Kvkk Yayınları No: 29 Sf.: 3)
Kişisel veriyi amaç ve sonuç unsuru olarak da ikiye ayırabiliriz. Bir bilgi kişi hakkında karar vermeye veya o kişi hakkında bir kanaate ulaşılmasını sağlıyorsa ya da kişiye karşı bir eylemde bulunmaya hizmet ediyorsa amaç unsuru bakımından kişisel veriden bahsedilir. Bilgi, kişinin hak ve çıkarlarına etki ediyorsa sonuç unsuru bakımından kişisel veriden bahsedilir.
Kanunda, kişisel veriler sınırlı olarak sayılmamıştır. Yani bir verinin kişisel veri olup olmadığı her somut olayın durumuna göre değişiklik gösterebilir. Gerçek bir kişinin fotoğrafı, e-posta adresi, çalışma saatler (puantaj) motorlu taşıt plakası, mülakat sonuçları, kullandığı elektronik cihazların IP adresleri, ses ve görüntü kayıtları, konum bilgisi, adli sicil kaydı, kredi kartı ekstreleri, sosyal medya beğenileri, parmak izleri kişisel veri niteliğindedir.
Kişisel Verileri Koruma Kurumu da kişisel veriye ilişkin örnekler vermiştir.
Bir video gözetim sistemi tarafından yakalanan bireylerin görüntüleri bireylerin tanınabilir olması halinde kişisel veri kapsamında sayılabilir.
Telefon bankacılığı sisteminde, müşterinin bankaya talimat verdiği ses kaydı kişisel veri olarak kabul edilebilir.
Bir velayet davasında ailesine ilişkin çocuğa yaptırılan çizim, çocuğun ailesine karşı duygularını göstereceği için kişisel veri kapsamındadır. Diğer yandan, bu çizim aracılığıyla anne ve babanın aile içindeki davranışları da anlaşılabiliyorsa, çizim aynı zamanda anne ve babanın da kişisel verisi sayılır. Kanuna göre bir bilginin kişisel veri sayılması için öncelikle bir gerçek kişiye ait olması gerekmekte olup tüzel kişilere ilişkin veriler kişisel verinin tanımı dışında tutulmaktadır. (Örneklerle Kişisel Verilerin Korunması Kvkk Yayınları No: 29 Sf.: 2)
VERBİS sistemindeki bazı kategorilere göre kişisel veriler
Kişisel Verileri Koruma Kurumu tarafından veri kategorileri oluşturulmuştur. Veri sorumlusu işleyeceği veriler VERBİS sisteminden bildirir. Veri sorumlusunun işleyeceği veriler kategoriler olarak ayrılmıştır. Örneğin IP adresi gibi veriler kayıt altına alınıyorsa işlem güvenliğine ilişkin veri tutulduğuna dair bildirimde bulunulur. Bu kategorilere göre bazı kişisel veriler:
| Kimlik Bilgileri | · Ad-Soyad · Doğum Tarihi/Yeri · Anne Kızlık Soyadı · Medeni Durumu · Ana/Baba adı · Cinsiyet |
| Özlük | · Özgeçmiş · Mesleki Bilgiler · S.G.K. Bilgileri · Disiplin Cezaları · Askerlik Bilgisi · Adli Sicil Bilgisi |
| İletişim | · Telefon Adres · E-Posta · KEP Adresi |
| Finans | · Kazanç · Harcama/Vergi · Malvarlığı/Yatırım · Sigorta/Banka/Kart Bilgileri veya Hareketleri · Kredi Oranları, Kredibilite |
| İşlem Güvenliği | · IP Adres · SSID · IMEI · BLUETOOTH ID · MAC Adresi |
| Lokasyon | · GPS · HGS/OGS Geçişleri · Taşıt Tanımı · Yemek Kartından Konum Bilgisi |
| Haberleşme Kayıtları | · Kurumsal Telefon Görüşmesi Kayıtları (Tek Başına K.V.K.K.’den izin alınarak yapılan bir şey değil K.V.K.K. dışında bazı izinlerin de alınması gerekmektedir.) · Kurumsal E-Posta Yazışmaları · İnternet Erişim Logları |
| Pazarlama Bilgileri | · Alışveriş Geçmişi · Alışkanlık Raporları, Kampanya Bilgileri · İstatistiki Analizler · Pazarlama Anketleri · Çerez Kayıtları (Kişinin İnternet Sitesi Üzerindeki Trafiği) |
| Görsel ve İşitsel Kayıtlar | · Fotoğraf · Ses Kaydı · Kamera Kaydı (Mülakat, Etkinlik gibi) |
| Fiziksel Mekân Güvenliği | · Güvenlik Kamerası · İşe Giriş Çıkış Kayıtları · Araç Plakası |
Özel Nitelikli Kişisel Veri Nedir ?
Özel nitelikli kişisel veri diğer bir ifade ile hassas veri, başkaları tarafından öğrenildiğinde ilgili kişiyi mağdur eden, ayrımcılığa maruz kalmasına ya da şeref ve onurunun zedelenmesine sebep olan nitelikteki verilerdir. Önemi sebebiyle nelerin özel nitelikli veri olduğu kanun ile belirlenmiştir. Bu yüzden özel nitelikli kişisel verilerin kıyas yoluyla genişletilmesi mümkün değildir. Kıyas yasağı vardır.
Özel nitelikli kişisel verilerin korunması mutlak değildir. Hiçbir şekilde özel nitelikli veri işlenemez diye bir şey yoktur. Diğer temel hak ve özgürlükler nasıl Anayasa’nın 13. Maddesinde belirtilen esaslara göre sınırlandırılıyorsa özel nitelikli kişisel verilerin korunması da aynı madde ile sınırlandırılabilir. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6. maddesinde özel nitelikteki kişisel verilerin neler olduğu sayılmıştır.
MADDE 6- Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Kan grubu bilgisinin özel nitelikli kişisel veri olduğuna ilişkin kurul kararı
Diğer yandan sözleşmenin ilk sayfasında ilgili kişinin kimlik verilerinin yanı sıra sağlık verisi olan kan grubu bilgisinin de yer aldığı, özel nitelikli kişisel veri olarak sağlık verisi kategorisinde yer alan kan grubu bilgisinin spor salonu tarafından işlenmesi Kanun’un 6’ncı maddesinin (2) numaralı fıkrası uyarınca ilgili kişilerin açık rızası ile mümkün olmakla birlikte buna ilişkin bir açık rıza metninin sunulmadığı görüldüğünden veri sorumlusunun Kanun’da yer alan işleme şartına dayanmaksızın kişisel veri işlediğinin anlaşıldığı, (Kişisel Verileri Koruma Kurulunun 23/12/2022 tarih ve 2022/1357 sayılı kararı.)
Bağımlılık yapıcı madde testinin sonuçlarının özel nitelikli veri olduğuna ilişkin kurul kararı
Kanun’un “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6’ncı maddesinin
(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verdir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. şeklinde düzenlendiği,
Şikâyete konu iddialara ilişkin olarak, veri sorumlusundan ve işverenden alınan cevap yazılarının incelenmesi neticesinde, “<em>ilgili tarihte anılan üçüncü kişinin herhangi bir yetkisinin bulunmadığı, mağaza çalışanı olarak görev yaptığı” şeklindeki açıklamadan anlaşıldığı üzere veri sorumlusu tarafından ilgili kişiye ait özel nitelikli kişisel veri niteliğindeki test sonuçlarının gönderildiği üçüncü kişinin, Kanun’un 6’ncı maddesi kapsamında işveren bünyesinde çalışanların kişisel sağlık verilerini ilgili kişilerin açık rızası olmaksızın işleyebilecek sır saklama yükümlülüğü altında bulunan iş yeri hekimi olmadığı,
Öte yandan, veri sorumlusu sağlık kuruluşu tarafından Kuruma intikal ettirilen cevabî yazıda belirtildiği üzere anılan üçüncü kişinin işveren olduğu düşünülerek söz konusu özel nitelikli kişisel verilerin bahsi geçen kişinin e-posta adresine gönderildiği dikkate alındığında veri sorumlusunun ilgili kişilere ait özel nitelikli kişisel verileri göndereceği e-posta adresinin Kanun kapsamında sır saklama yükümlülüğü altında bulunan iş yeri hekimine ait olup olmadığını tespit etmeden gönderdiğinin anlaşıldığı, her ne kadar veri sorumlusu tarafından ilgili kişilerin özel nitelikli kişisel verilerinin söz konusu e-posta adresine iletilmesi konusunda açık beyanlarının bulunduğu ifade edilse de Kuruma söz konusu hususu kanıtlayıcı mahiyette herhangi bir bilgi ya da belge iletilmediği,…. değerlendirmelerinden hareketle ilgili veri işleme faaliyetinde kişilerin özel nitelikli kişisel veri niteliğini haiz sağlık verilerinin işlendiği, veri sorumlusunun yaklaşık 600’e yakın çalışan ile birçok ilde sağlık hizmetleri verdiği hususları da dikkate alınarak, Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu hakkında 75.000 TL idari para cezası uygulanmasına karar verilmiştir. (Kişisel Verileri Koruma Kurulu’nun 22/06/2022 tarihli ve 2022/594 sayılı kararı) https://www.kvkk.gov.tr/Icerik/7566/2022-594
Ceza Hukuku Hakkında Daha Fazla Bilgi Edinmek İsterseniz ↗
Vekalet Ücreti, Faiz, Serbest Meslek Makbuzu Hesaplamak İçin↗
Kişisel Verilerin Korunması Hakkında Daha Fazla Bilgi Edinmek İsterseniz ↗
Bir yanıt yazın