Özel Nitelikli Kişisel Veriler

6698 Sayılı Kanun’un 6. maddesinde tanımlanan özel nitelikli kişisel veriler, içeriklerinin ifşa edilmesi ile kişinin utanç duymasına, kişisel ve sosyal olarak zarar görmesine ve ekonomik açıdan kayıp yaşamasına neden olma ihtimallerine sahip olmaları nedeniyle daha fazla korunması gereken kişisel verilerdir. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik

95_{Aşıkoğlu, s.15}

96_{Hayrünnisa Özdemir, Elektronik Haberleşme Alanında Kişisel Verilerin Özel Hukuk Hükümlerine} Göre Korunması, Seçkin Yay, Ankara, Ekim 2009, s. 247

97_{Madde 29 Çalışma Grubu ‘nun 27 Şubat 2013 tarih ve 02/2013 sayılı “Akıllı Cihaz Uygulamaları”} hakkındaki görüşü, s.8

verilerinin özel nitelikli kişisel veriler olduğu belirtilmiş ve bu verilerin işlenmesi özel şartlara tabi tutulmuştur. GVKT’de yer alan tanımda; dernek ve vakıf üyelikleri, ceza mahkumiyeti, güvenlik tedbirleri ile kılık kıyafet ile ilgili veriler kapsam dışında tutulmuştur.

Biometrik verilere ilişkin GVKT’de ayrı bir tanım yapılmıştır. Buna göre; biyometrik veri, yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir. GVKT’nün giriş bölümünün 51. paragrafında da biyometrik verilere ilişkin açıklamalara yer verilerek, fotoğrafların işlenmesinin biyometrik veri olarak nitelendirilemeyeceği, sadece verinin o kişiyi tanımlayabilme ya da doğrulayabilme özelliğine sahip olduğu ölçüde biyometrik veri olarak kabul edileceğine yer verilmiştir.

6698 Sayılı Kanun’un 6. maddesinin 2. fıkrasında özel nitelikli kişisel verilerin sadece açık rıza ile işlenebileceği düzenlenmiştir. Bu kapsamda veri sahibinin açık rızasının varlığı, özel nitelikli kişisel verilerin sınırsız bir şekilde işlenebileceği anlamına da gelmemektedir. Nitekim Kurul’un spor tesisine giriş esnasında el ve parmak izinin taranması suretiyle kişilerin kimlik doğrulaması yapmasının ölçülülük ilkesi ve veri minimizasyonu ilkelerine aykırı olduğuna ilişkin verdiği kararda; amaç için gerekli olmayan veri işleme faaliyetinden kaçınılması gerektiği, kişinin rızası alınsa dahi rızanın aşırı miktarda veri toplanmasını meşrulaştırmayacağı, benzer şekilde Madde 29 Çalışma Grubu tarafından hazırlanan Biyometrik Teknoloji Geliştirmeleri konulu görüşte yer alan örnekte de spor salonuna sadece üyelerin girişini sağlamak için müşterlerin parmak izinin depolanarak işlenmesi, kulübe erişimi kolaylaştırma ihtiyacı ile orantısız olarak değerlendirildiği bu uygulama yerine daha basit yöntemlerin kullanılarak da aynı ihtiyacın karşılanacağı yer almaktadır98_.

98 _{Spor salonu hizmeti sunan veri sorumlularının, üyelerinin giriş-çıkış kontrolünü biyometrik veri} işleyerek yapması ile ilgili Kişisel Verileri Koruma Kurulunun 25/03/2019 Tarihli ve 2019/81 Sayılı Karar ve 31/05/2019 Tarihli ve 2019/165 sayılı Kararı

Özel nitelikli verilerin açık rıza olmaksızın işlenebileceği haller ise maddenin devamında sınırlı olarak sayılmıştır. Bu kapsamda; sağlık ve cinsel hayat dışındaki özel nitelikteki kişisel veriler sadece kanunlarda öngörülen hallerde açık rıza aranmaksızın işlenebilecekken, sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım

hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilecektir.

Özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önlemler ise Kurul tarafından alınan 31.01.2018 tarih ve 2018/10 sayılı kararda yer almıştır99_.

99_{Kurul’un 31.01.2018 tarih ve 2018/10 sayılı kararı ile Kanunun 22 nci maddesinin (1) numaralı} fıkrasının (ç) ve (e) bentleri uyarınca özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken yeterli önlemler Kişisel Verileri Koruma Kurulu tarafından aşağıdaki şekilde belirlenmiştir: 1- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi, 2- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik, a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi, b) Gizlilik sözleşmelerinin yapılması, c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması, ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi, d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması, 3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi, b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması, c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması, ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması, 4- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması, b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi, 5- Özel nitelikli kişisel veriler aktarılacaksa a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması, b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması, c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi, ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir. 6- Yukarıda belirtilen önlemlerin yanı sıra

3.4.2.1.Sağlık Kategorisindeki Mobil Uygulamalar

Kişilerin sağlık durumuna ilişkin bilgi veren veriler, sağlık verisi olarak kabul edilirken kişinin beslenme ve egzersiz alışkanlıkları tek başına sağlık verisi değildir100_{. Ancak bu veriler, belirli bir periyotta ya da kişinin sağlık durumuna}

ilişkin bir sonuç çıkartmak amacıyla işlendiği takdirde sağlık verisi olarak kabul edilecektir101_.

App Store’da, sağlık kategorisinde yer alan ve sağlıklı yaşam ile ilgili uygulamalara yönelik ek kurallar düzenlenmiştir. Örneğin, uygulamaların, klinik sağlık kayıtları arayüzü, sağlık kiti arayüzü, hareket ve egzersiz, hareket bozukluğu arayüzleri veya sağlıkla ilgili insan denek araştırmaları dahil olmak üzere sağlık ve tıbbi araştırma bağlamında toplanan verileri, veri sahibinin açık rızası alınmak kaydıyla sağlık yönetimini iyileştirme ve sağlık araştırması amacı ile işlenebilirken verilerin bu amaçlar dışında reklam, pazarlama, kullanıcı temelli veri madenciliği amacıyla kullanılması veya üçüncü taraflarla paylaşılması yasaklanmıştır. Bununla birlikte, App Store, bu tarz uygulamalarda sadece kullanıcının kendisine yarar sağlamak için uygulamanın avantaj sağlayan kuruluş tarafından sunulması ve verilerin başka bir üçüncü tarafla paylaşılmaması koşuluyla işlenmesine izin vermiştir. Sigorta şirketinin, kendisi tarafından sunulan mobil uygulamasında kullanıcıya indirimli sigorta primi sağlamak amacıyla kullanıcının sağlık veya egzersiz verilerini işlemesi buna örnek olarak verilebilir. Her halükarda veri sorumlusu uygulama geliştirici, kişisel sağlık bilgilerini iCloud'da saklamayacağı kurallar arasındadır.

App Store’da sağlıkla ilgili denek araştırması yapan uygulamalara ilişkin ayrı kısıtlamalar yer almakta mağaza, uygulama geliştiriciye bu araştırmaya katılan katılımcılara veya reşit olmayanların ebeveyn veya vasilerinden alınacak rızanın

Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.

100_{Dülger, Murat Volkan, Kişisel Verilerin Korunması Hukuku, Hukuk Akademisi Yay, İstanbul} 2019 s.111

öncesinde kişilere araştırmanın niteliği, amacı ve süresi; risk ve faydaları; verilerin gizliliği ve işlenmesi hakkında bilgiler, üçüncü taraflarla herhangi bir paylaşım dahil; katılımcı soruları için bir irtibat noktası; ve rızanın geri alınma sürecine ilişkin bilgilendirilme yapmasını şart koşmaktadır. Bu tarz uygulamaların, bağımsız bir etik inceleme kurulundan onay alması gerektiği de ayrıca belirtilmiştir.

Sağlık uygulamaları ile biometrik veri toplayan uygulamalar, biometrik veriler ile sağlık verileri gibi özel nitelikte kişisel veriler işlediği gibi birçok uygulama konum verisi gibi işlendiğinde dolaylı olarak din bilgisi gibi özel nitelikli veri elde edilen veriler de işleyebilmektedir. Nitekim bu verilerin bir araya getirilip kullanıcı profili oluşturulması, kişinin temel haklarına zarar verecek riskleri de beraberinde getirebilmektedir. Bu sebeple mobil uygulamalarda özel nitelikli kişisel verilerin işlenmesi durumunda ilgili ulusal ve uluslararası mevzuat kapsamında yeterli önlemlerin alınması gerekmektedir.