Özel nitelikli kişisel veriler: Dikkat edilmesi gerekenler

​​

Özel nitelikli kişisel veriler, bireyler hakkında ayrımcılığa yol açabilecek veya daha hassas kabul edilen bilgiler olup, korunmaları için daha sıkı tedbirler öngörülmektedir. 

Kişisel Verilerin Korunması Kanunu'nun (KVKK) 6. maddesi kapsamında, özel nitelikli kişisel veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, kılık kıyafet, dernek, vakıf ve sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler olarak sınırlı şekilde sayılmaktadır.

12.03.2024 tarihinde Resmi Gazetede yayımlanarak KVKK'da yürürlüğe giren 7499 sayılı Kanun ile yapılan değişiklikler, özel nitelikli kişisel verilerin nasıl işleneceğine dair daha net kurallar getirmiş ve özel nitelikli veri işleme sürecini kolaylaştırmıştır. Özellikle sağlık ve cinsel hayata ilişkin veriler, yalnızca sır saklama yükümlülüğü bulunan kişiler (örneğin doktorlar, işyeri hekimleri) veya yetkili kurum ve kuruluşlar tarafından işlenebilir. Ayrıca, bu verilerin işlenmesi yalnızca kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin finansmanının planlanması ve yönetilmesi amacıyla gerçekleştirilebilir. Aynı şekilde ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler (örneğin adli sicil kaydı) ancak yasal mevzuatta açıkça belirtilmiş olması halinde işlenebilecektir.

Özel nitelikli kişisel verilerin işlenmesi, yalnızca ilgili mevzuatta belirtilen amaçlar ve kurallar çerçevesinde gerçekleştirilmeli ve süreç boyunca veri güvenliği önlemlerine en üst düzeyde özen gösterilmelidir. Bu doğrultuda, Kişisel Verileri Koruma Kurumu (Kurum), veri sorumlularının özel nitelikli kişisel verileri işlerken dikkat etmeleri gereken hususları hatırlatmak amacıyla, 20.02.2025 tarihinde 31.01.2018 tarihli ve 2018/10 sayılı Kararını yeniden paylaşmıştır. Bu karar doğrultusunda dikkat edilmesi gereken temel hususlar aşağıda özetlenmiştir:

• Özel nitelikli kişisel veriler için ayrı ve açık bir güvenlik politikası oluşturulmalıdır.
• Çalışanlara düzenli eğitim verilmeli, gizlilik sözleşmeleri imzalatılmalı ve veri erişim yetkileri sınırlandırılarak düzenli kontroller yapılmalıdır. İşten ayrılan veya görev değişikliği yaşayan çalışanların yetkileri derhal kaldırılmalıdır.
• Elektronik ortamlarda tutulan veriler, kriptografik yöntemlerle korunmalı, güvenli loglama sistemleri kullanılmalı ve uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sağlanmalıdır.
• Fiziksel ortamlarda saklanan veriler, yangın, hırsızlık ve su baskını gibi risklere karşı güvenlik önlemleri ile korunmalı, yetkisiz girişler engellenmelidir.
• Veri aktarımında güvenli iletişim yöntemleri kullanılmalıdır. E-posta ile aktarım yapılacaksa şifreleme ve Kayıtlı Elektronik Posta (KEP) tercih edilmeli, taşınabilir bellek, CD veya DVD gibi araçlarla aktarım yapılması halinde veriler şifrelenmeli ve anahtar ayrı tutulmalıdır. Fiziksel belgeler ise gizlilik dereceli belge formatında iletilmelidir.
• Kurum tarafından yayımlanan Kişisel Veri Güvenliği Rehberi kapsamında belirtilen tüm güvenlik önlemleri eksiksiz uygulanmalıdır.

Özel nitelikli kişisel verilerin işlenmesi sürecinde azami hassasiyet gösterilmesi gerektiğini hatırlatır, herhangi bir sorunuz olması halinde sizlere her zaman yardımcı olmaktan memnuniyet duyacağımızı belirtmek isteriz.