Özel Nitelikli Kişisel Verilerin İşlenmesi

Kanun’da özel nitelikli kişisel veriler kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler olarak sınırlı şekilde tanımlanmıştır.  

Değişiklik Kanunu’nun yürürlüğe girmesinden önceki dönemde Kanun kapsamında özel nitelikli kişisel verilerin işlenmesi temel olarak veri sahibinin açık rızasının alınmasına şart koşulmuş ve açık rıza dışında işlenmesi neredeyse kanunen mümkün kılınmamıştı ve uygulamada açık rıza alınmasının mümkün olmadığı veyahut pratik ve elverişli olmadığı hallerde özel nitelikli kişisel verilerin işlenmesi problemli bir alan teşkil etmekteydi. Kaldı ki açık rıza hukuki sebebinin gidilmesi gereken son hukuki neden olması gereği de dikkate alındığında hukuken son derece sağlıksız bir durum mevcuttu. Değişiklik öncesi dönemde özel nitelikli kişisel verilerin işlenmesinde oldukça kısıtlayıcı olan işleme şartlarının genişletilmesi ve sağlık veya cinsel hayata ilişkin kişisel veriler ile diğer özel nitelikli kişisel veriler arasında bulunan ayrımın kaldırılması ihtiyacı uygulamada gündem konusuydu.

Hem uygulamada yaşanmakta olan dar boğazın giderilmesi hem de Avrupa standartlarına ve GDPR standartlarına yakınlaşma amacıyla yürürlüğe giren Değişiklik Kanunu ile birlikte özel nitelikli kişisel verilere ilişkin olarak özel nitelikli kişisel verilerin işleme şartları genişletilmiş ve sağlık veya cinsel hayata ilişkin kişisel veriler ile diğer özel nitelikli kişisel veriler arasında bulunan ayrım kaldırılmıştır.

Böylelikle tüm özel nitelikli kişisel verilere uygulanabilir olmak üzere belirlenen ek hukuki nedenler kapsamında özel nitelikli kişisel verilerin ilgili kişilerin açık rızaları aranmaksızın işlenmesi mümkün hale gelmiştir.

Buna göre, (sağlık verileri ve cinsel hayata ilişkin kişisel veriler de dahil) tüm özel nitelikteki kişisel veriler, aşağıdaki hukuki nedenlerin bulunması durumunda işlenebilecektir:

• İlgili kişinin açık rızasının olması,
• Kanunlarda açıkça öngörülmüş olması,
• Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
• İstihdam, iş ve sosyal güvenlik veya sosyal hizmetler alanındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
• Siyasi parti, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kar amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.

Değişiklik öncesi dönemde özel nitelikli kişisel verilerin işlendiği çoğu durumda açık rıza hukuki sebebine dayanmak durumunda kalmış olan veri sorumlularının değişiklik ile birlikte çoğu işleme faaliyeti kapsamında farklı hukuki nedenlere dayanmaları mümkün hale gelmiştir. Özellikle kanunlarda açıkça öngörülmüş olma, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, istihdam iş ve sosyal güvenlik veya sosyal hizmetler alanındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması gibi hukuki sebepler veri sorumlularının uygulamada yaşadığı zorlukları aşmalarını sağlayabilecek yenilikler olarak ortaya çıkmaktadır.

İşçi-işveren ilişkileri çerçevesinde çoğu zaman bir gereklilik nedeniyle işçilerin özel nitelikli kişisel verilerinin işlenmesinin, yasa değişikliği öncesi ancak açık rıza ile mümkün olabilmesi, bunun yarattığı operasyonel güçlükler ve işçinin işverene bağlı olduğu bir ilişkide rızanın özgür iradeyle verilmesi yönünden geçerliliğine ilişkin tartışmalar değişiklik ile birlikte çözüme kavuşturulmuştur. Böylece, iş sağlığı ve yükümlülükleri kapsamında işçilerinin sağlık verilerini elde eden ve işleyen işverenler, artık “istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olduğu” hukuki sebebine dayanabilecek ve açık rızaya ihtiyaç duymayacaktır.

Dolayısıyla veri sorumlularının özel nitelikli kişisel verilerin işlenmesinde güncel düzene uyum sağlamak adına mevcut uyum pratiklerinde ve özellikle kişisel verilerin işlenmesine ilişkin politikalarında, aydınlatma metinlerinde ve açık rıza uygulamalarında güncellemeler yapması ve ayrıca yeni tanımlanan hukuki sebepleri her bir işleme süreci özelinde değerlendirmesi önem taşımaktadır.