Kişisel Veri Nedir? Türleri Nelerdir?
Gerçek kişiye ait olan ve bireyi tanımlanabilir kılan tüm bilgilere kişisel veri adı verilir. Bireyin adı, soyadı, doğum yeri ve tarihi gibi teşhisini sağlayan bilgilerin yanı sıra ekonomik, sosyal ve ailevi özelliklerine ilişkin veriler de kişiseldir. Bu bağlamda kullanılan kişisel kavramı kanunda “kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Kişisel veriler hem kişinin fiziksel ve psikolojik kimliğini ifade eden somut bir içerik taşıyan hem de herhangi bir kayıtla ilişkilendirilerek teşhis sağlayan tüm bilgileri kapsar.
Kısaltması VERBİS olarak bilinen Veri Sorumluları Sicil Bilgi Sistemi, 2018 Ekim ayından itibaren kullanılmaya başlanmıştır. Kişisel veriler, VERBİS sisteminde kategorilere ayrılarak işlenir. Sisteme işlenen veriler şu başlıklara ayrılır:
- • Kimlik
- • İletişim
- • Lokasyon
- • Özlük
- • Hukuki işlem
- • Müşteri işlem
- • Fiziksel mekân güvenliği
- • İşlem güvenliği
- • Risk yönetimi
- • Finans
- • Mesleki deneyim
- • Pazarlama
- • Görsel ve işitsel kayıtlar
- • Irk ve etnik köken
- • Siyasi düşünce
- • Felsefi inanç, din, mezhep ve diğer inançlar
- • Kılık ve kıyafet
- • Dernek üyeliği
- • Vakıf üyeliği
- • Sendika üyeliği
- • Sağlık bilgileri
- • Cinsel hayat
- • Ceza mahkûmiyeti ve güvenlik tedbirleri
- • Biyometrik veri
- • Genetik veri
- • Diğer bilgiler
Bu veriler; isim, soyisim, doğum tarihi ve sosyal güvenlik numarası gibi bilgilerin yanı sıra kişiyi tanımlayan diğer özelliklerdir. Telefon, pasaport numarası, adres ve parmak izi gibi bilgiler de kişisel veri olarak kabul edilir.
Özel Nitelikli Kişisel Veri Nedir? Hangi Kişisel Bilgileri Kapsamaktadır?
Kişiye ait bazı bilgileri başkalarının öğrendiği takdirde birtakım sorunların meydana gelmesi söz konusu olabilir. Özel nitelikli kişisel veriler ifşa olduğunda ilgili birey hakkında ayrımcılık yapılabilir; mağduriyet oluşabilir. Dolayısıyla bu bilgilerin diğer verilere oranla çok daha sıkı şekilde korunmaları gerekir. Yasal haklarını ve sorumluluklarını bilen her Türkiye Cumhuriyeti vatandaşı özel nitelikli kişisel verilerin kapsamını olmalıdır.
Hassas (özel nitelikli) kişisel veriler, sınırlı sayma yoluyla belirlenmiştir ve kıyas yoluyla genişletilmesi mümkün değildir.
Bu veriler, kişinin açık rızası ile ya da kanunda geçen sınırlı durumlarda işlenebilir. Özel nitelikli kişisel veriler şu bilgileri kapsamaktadır:
- • Irk
- • Etnik köken
- • Siyasi ve felsefi görüş
- • Dini inanç
- • Dernek, vakıf ya da sendika üyeliği
- • Sağlık ve cinsel hayat
- • Adli sicil
Bu biyometrik ve genetik veriler kanun hükmüyle koruma altına alınmıştır. Söz konusu kanun ile verilerin çağdaş standartlarda işlenmesi ve koruma altına alınması amaçlanır.
Kişinin özlük haklarının korunması, kişisel verilerinin muhafazasından geçer. Yani bu sayede korunan, veriden öte ilgili gerçek kişinin kendisidir.
Özel Nitelikli Kişisel Veri ve Kişisel Veri Arasındaki Fark Nedir?
Kişisel veri, kimliği belirli kişiye ilişkin tüm bilgileri kapsamaktadır. Özel nitelikli veriler ise kişinin herhangi bir mağduriyete uğramaması ya da kötü muameleyle karşılaşmaması için gizli tutulması gereken bilgilerdir. Kişisel verilerin büyük bir kısmı başkaları tarafından bilinebilir. Örneğin; e-posta adresi ya da telefon numarası gibi verilerin pek çok kişi tarafından bilinmesi mümkündür.
Ancak dini inanç ya da mezhep gibi bilgiler tamamıyla kişilerin özel hayatı kapsamına giren verilerdir.
Kanunda sınırlı hâller olarak tanımlanan, sağlık ve cinsel hayatı kapsayan özel nitelikli kişisel veriler, yalnızca sır saklama yükümlülüğüne sahip olan kurum ve kuruluşlar vasıtasıyla işlenebilmektedir. Çünkü bu kapsamdaki veriler kamu sağlığını ilgilendirebilir; bilgilere hizmet yönetimi için ihtiyaç duyulabilir. Kişisel veri ve özel nitelikli kişisel veri farkı, bu bilgilerin işlenme koşullarıdır.
Özel Nitelikli Kişisel Veri İşleme Koşulları Nelerdir?
Özel nitelikli kişisel veri işleme, ilgili kişinin açık rızası ile ya da Kişisel Verileri Koruma Kurumu (KVKK) tarafından belirlenen sınırlı durumlarda gerçekleştirilebilir. KVKK’nın 5. maddesinde kişisel verilerin işlenme şartları düzenlenmiştir. Kurum, özel nitelikli kişisel verilere ayrı bir önem atfederek bu bilgilerin işlenme şartlarını farklı esaslara bağlamaktadır. Bu veriler, yalnızca ilgili kişinin açık rızasıyla işlenebilir.
Bunun yanı sıra özel nitelikli kişisel verilerin işlenebileceği durumlardan bir diğeri ise uygulamanın kanunlarda açıkça zorunlu tutulduğu istisnalardır. Özel nitelikli kişisel verilerin işleme koşulları şu şekildedir:
- • Kanunda öngörülen durumlarda sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin işlenmesi mümkündür.
- • Sağlık ve cinsel hayata ilişkin veriler; kamu sağlığının korunması, tıbbi teşhis, tedavi ve bakım hizmetleri gibi amaçlarla ilgili kişinin açık rızası aranmaksızın işlenebilir.
Sır saklama yükümlülüğü bulunan kurum ve kuruluşlar, çeşitli hizmetler kapsamında özel nitelikli kişisel verileri işleyebilir. Bu durumda veri işleme amaçlarının diğer alanlara kıyasla daha detaylı olarak sunulması oldukça önemlidir.
Özel Nitelikte Olmayan Kişisel Verilerin İşlenmesine İlişkin Şartlar Nelerdir?
Özel nitelikte olmayan kişisel verilerin işlenmesine ilişkin bazı şartlar mevcuttur. Bu veriler de tıpkı diğer alanlarda olduğu gibi özgür iradeyle bildirilen açık rıza ile işlenebilmektedir.
Bunun yanı sıra üstün özel ve kamusal yarar söz konusu olduğunda özel nitelikte olmayan verilerin işlenmesi mümkündür. Fiilî imkânsızlık sebebiyle açık rıza veremeyecek durumda olan kişilerin bilgileri üstün özel yarar kapsamında işlenebilir. Kanun koruyucu, millî güvenlik ya da kamu düzeni gibi hususlarda toplum menfaatini ön planda tutarak kişisel verilerin işlenmesini uygun görebilir.
Açık Rıza Olmadan İşlenebilen Özel Nitelikli Kişisel Veriler Nelerdir?
Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler bireyin açık rızası olmaksızın da işlenebilir. Örneğin; bazı veri sorumluların ana faaliyeti özel nitelikli kişisel bilgileri işlemektir. Doktorlar, eczaneler, tıp merkezleri ve sağlık sektöründe faaliyet gösteren yetkili kişi ve kuruluşlar açık rıza olmadan özel nitelikli kişisel verileri işleyebilir.
Özel Nitelikli Kişisel Veri Aktarımı Prosedürü Nedir?
Özel nitelikli kişisel veri aktarımı, yetkili kişi veya kuruluşlar tarafından gerçekleştirilir. Bu bilgilerin veri sorumlusu ya da işleyici tarafından başka bir yetkiliye iletilmesi hâlinde aktarım gerçekleştirilir.
Veriler, e-posta yoluyla aktarılacaksa işlem şifreli olarak kurumsal adres üzerinde veya Kayıtlı Elektronik Posta (KEP) hesabı ile yapılmalıdır. Farklı fiziksel ortamlardaki sunucular vasıtasıyla yapılan aktarımlarda VPN ya da sFTP yöntemiyle işlem tamamlanabilir. Kâğıt yoluyla özel nitelikli veri aktarımı yapılırken evrak “gizlilik dereceli belgeler” ibaresiyle gönderilmelidir. Bu sayede evrakın yetkisiz kişiler tarafından görülmesi ihtimaline karşı önlem alınmış olacaktır.