Hassas Verilerin İşlenebildiği Durumlar

6698 sayılı yasanın 6.maddesinin ikinci fıkrasındaki anlatımdan anlaşılacağı üzere; yasa koyucu bir kısım kişisel verilerin, diğerlerine göre daha korunaklı olma- sını öngörmüştür. Özel nitelikli kişisel verilerin bir kısım düzenlemelerde farklılık arz ettiği anlaşılmakla birlikte; genel olarak; “kişilerin ırkı, kökeni, siyasal düşüncesi, felsefi inancı, dini, mezhebi, kılık kıyafeti, dernek üyeliği, sağlığı, cinsel hayatı, sabı- ka bilgileri, genetik verileri” nin hassas veri kabul edildiği bilinmektedir. Bu yüzden

özel nitelikteki verilerin işlenmesi, diğer verilerden farklı şartlara tabi tutulmuştur.212

Bu farklılığı belirtmek için de; “ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu” belirtilmiştir. Yasanın 6/3 maddesinde ise; Birinci fıkrada sayılan “sağlık ve cinsel hayat” dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceği, “sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve ba- kım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili ku- rum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği” hü- küm altına alınmıştır.213 _{Buradan da anlaşılıyor ki; Cinsel hayat ve sağlık bilgisi gibi}

özel verilerin korunmasında yasa koyucu daha hassas davranmıştır.

F. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA

ANONİM HALE GETİRİLMESİ

6698 sayılı yasanın 7.maddesinde kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi düzenlenmiştir. Buna göre, kişisel verilerin hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde bu veriler, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmesi, yok edilmesi veya anonim hâle getirilmesi hüküm altına alınmıştır.

212 _{DÜLGER Murat Volkan. age.s:220}

213 _{Özel Nitelikteki Kişisel verilerin işlenme Şartları TABLO-2.Bkz.}

İŞLENME ŞARTLARI KAPSAMI ÖRNEK

İlgili Kişinin Açık Rızası Açık rıza alınmış olması kay-

dıyla işlenebilir. Klinik araştırmada gönüllülerin rızasının alınması Kanun Hükmü (Sağlık ve Cinsel hayat hariç)

kişisel veriler ilgili kişinin açık beyanı aranmadan yasa gereği

işlenebilir.

Çalışana ait sendikalılık bilgi- sinin özlük dosyasında tutulma-

sı, İş K.,TTK, Vergi Kanunları gibi haller

Kamu Sağlığı,koruyucu hekim- lik, tıbbi teşhis, sağlık planlama-

sı vs.

Bu amaçlar doğrultusunda sır saklama yükümlülüğü altında bulunan kişiler veya yetkili

kuruluşlarca işlenebilir.

Doktorun hastası hakkında tuttuğu veriler.

Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değişti- rilmesi veya ilgası,

Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleş- meden dönülmesi,

Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,

Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olduğunun tespit edilmesi, Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleş- tiği hallerde, ilgili kişinin rızasını geri alması,

İlgili kişinin, Kanunun 11. maddesinin 1. fıkrasının (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,

Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın ye- tersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikayette bulunulması ve bu talebin Kurul tarafından uygun bulunması,

Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,

Kanunun 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şart- ların ortadan kalkması gibi hallerde kişisel verilerin silinmesi, yok edilmesi ya da anonim hâle getirilmesi gerekir.

İşlenmesini gerektiren sebeplerin ortadan kalktığı hallerde kişisel verileri silmek, yok etmek veya anonim hale getirmek veri sorumlusunun yükümlülüklerin- dendir. Bunun için ilgili kişinin başvurusu şart değildir. Bununla birlikte, ilgili kişi- nin kişisel verilerinin silinmesini veya yok edilmesini talep etme hakkı bulunmakta- dır. Öte yandan, “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Geti-

rilmesi Hakkında Yönetmelik”214 _{çerçevesinde kişisel veri saklama ve imha politikası}

hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işlemin- de, kişisel verileri siler, yok eder veya anonim hale getirir. Ayrıca; Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir, Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Kişisel veri- lerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 4. maddesinde ilgili kullanıcı; “verilerin teknik olarak depo- lanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler” olarak tanımlanmıştır. Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanı- lamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir

şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle iliş- kilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olma- sı için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri dön- dürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belir- lenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. Veri sorumlusu, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari ted-

birleri almakla yükümlüdür. Belirtmek gerekir ki, işlenmesini gerektiren sebeplerin ortadan kalkması durumunda kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi, kişisel verilerin işlenmesine hâkim olan genel ilkelerin doğal bir sonucudur. Yukarıda belirtildiği üzere, Kanunun 4. maddesinde kişisel verilerin, an- cak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilebileceği öngörülmüştür. Kişisel verilerin muhafazası için herhangi bir meşru amaç kalmadığında bu verilerin silinmesi, yok edilmesi veya anonim hale ge- tirilmesi bir zorunluluktur. Kanunun 7. maddesinin ikinci fıkrasında, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı tutulması öngörülmektedir. Bu kapsamda, örneğin Adli Sicil Kanununda verilerin silinmesini veya yok edilmesini düzenleyen hükümler Kanuna göre öncelikli olarak uygulanacaktır.215 _{Yönetmelik hükümlerinin belli konularda}

Kanuna aykırı olduğu ileri sürülmüştür. "Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik" 28 Ekim 2017 tarihinde Resmi Gazete'de yayınlanmıştır. Kanunun 7.maddesine dayanılarak çıkartılan bu Yönetme- lik’te; ayrıntılı olarak (anonimleştirme) tanımı yapılmakta ise de, “silme ve yok et- me”nin tanımına rastlanmadığı belirtilmiştir. Kanun gerekçesinde silme ve yok etme tanımı gösterilirken, yönetmelikte bunun gösterilmemesi yanlış anlamalara gelebilir. Oysa çıkartılan yönetmelik Kanun'a aykırı olarak silme ve yok etmeyi yeniden ta- nımlamaktadır. İlgili kullanıcıların kişisel verilere erişememesini silme, madde ge- rekçesindeki silmeyi de yok etme olarak tanımlamakta ve gerekçede açıklanan yok etme ise yönetmelikte yer almamaktadır. Açıklanan sebeplerle yönetmeliğin 8. ve 9.

maddeleri Kanun'a aykırıdır.216 _{Her ne kadar Yönetmeliğin ilgili maddelerinin kanu-}

na aykırılığı ileri sürülmüşse de; yasanının açıklanması amacıyla çıkartılan Yönetme- lik hükümlerinin açıkça kanuna aykırılığının ileri sürülmesinin doğru olmayacağı, tartışmalı durumlarda kanun metnini nazara alınması gerektiği açıktır.

215 _{Bkz. Rehber, s:85.}

216 _{TURAN Hasan Selçuk, Yönetmelikteki Kanun’a Aykırılıklar.}

G. KİŞİSEL VERİLERİN AKTARILMASI

6698 sayılı yasanın 8.maddesinde Veri Aktarımına ilişkin hükümler mevcut- tur. Kişisel verinin işlenme türlerinden biri olarak kanunda yer almış bir kavramdır. Veri aktarımının yasada iki türünden söz edilmiştir.