TR EN DE

Özel Nitelikli Kişisel Verilerin İşlenmesi

KVKK Madde 6 kapsamında özel nitelikli (hassas) kişisel veriler, sağlık ve cinsel hayat verileri, biyometrik ve genetik veriler, işlenme şartları, Kurul tarafından belirlenen yeterli önlemler ve pratik uygulamalar.

Summary in English

Overview

This article examines special categories of personal data under Turkish Personal Data Protection Law No. 6698 (KVKK) Article 6. These sensitive data categories require stricter processing conditions and additional safeguards.

Key Points

  • Definition: Special categories include race, ethnicity, political opinions, religious beliefs, health data, sexual life, biometric and genetic data, criminal convictions, and union membership.
  • Processing Prohibition: Processing of special categories is prohibited without explicit consent, with limited exceptions provided by law.
  • Health Data Exception: Health and sexual life data may be processed without consent only by persons under professional secrecy obligation for public health, preventive medicine, or medical treatment purposes.
  • Adequate Safeguards: The Board has determined mandatory technical and organizational measures for processing special categories, including encryption, access controls, and staff training.
  • Biometric Data: Fingerprints, facial recognition, and iris scans are subject to strict proportionality requirements; alternative methods should be preferred where available.
Full article in Turkish below

Überblick

Dieser Artikel untersucht besondere Kategorien personenbezogener Daten nach dem türkischen Datenschutzgesetz Nr. 6698 (KVKK) Artikel 6. Diese sensiblen Datenkategorien erfordern strengere Verarbeitungsbedingungen und zusätzliche Schutzmaßnahmen.

Kernpunkte

  • Definition: Besondere Kategorien umfassen Rasse, Ethnie, politische Meinungen, religiöse Überzeugungen, Gesundheitsdaten, Sexualleben, biometrische und genetische Daten, strafrechtliche Verurteilungen und Gewerkschaftsmitgliedschaft.
  • Verarbeitungsverbot: Die Verarbeitung besonderer Kategorien ist ohne ausdrückliche Einwilligung verboten, mit begrenzten gesetzlich vorgesehenen Ausnahmen.
  • Ausnahme für Gesundheitsdaten: Gesundheits- und Sexuallebendaten dürfen nur von Personen unter Berufsgeheimnispflicht für öffentliche Gesundheit, Präventivmedizin oder medizinische Behandlung ohne Einwilligung verarbeitet werden.
  • Angemessene Schutzmaßnahmen: Die Behörde hat verbindliche technische und organisatorische Maßnahmen für die Verarbeitung besonderer Kategorien festgelegt, einschließlich Verschlüsselung, Zugriffskontrollen und Mitarbeiterschulungen.
  • Biometrische Daten: Fingerabdrücke, Gesichtserkennung und Iris-Scans unterliegen strengen Verhältnismäßigkeitsanforderungen; alternative Methoden sollten bevorzugt werden, wo verfügbar.
Vollständiger Artikel auf Türkisch unten

1. Giriş

Özel nitelikli kişisel veriler, işlenmeleri halinde ilgili kişinin ayrımcılığa maruz kalmasına veya mağdur olmasına yol açabilecek hassas verilerdir. Bu verilerin korunması, veri koruma hukukunun temel önceliklerinden birini oluşturur. KVKK, özel nitelikli kişisel verilerin işlenmesini daha sıkı kurallara bağlamış ve Kurul tarafından belirlenen yeterli önlemlerin alınmasını zorunlu kılmıştır.

Karşılaştırmalı Hukuk
AB (GDPR Madde 9): "Special categories of personal data" olarak adlandırılır. Genel kural olarak işlenmesi yasaktır; on adet istisna öngörülmüştür. Üye devletlere ek koruma getirme yetkisi tanınmıştır.

ABD: Federal düzeyde özel kategori tanımı yoktur. HIPAA (sağlık), FERPA (eğitim) gibi sektörel düzenlemeler mevcuttur. California CPRA'da "sensitive personal information" kavramı benimsenmiştir.

Almanya (BDSG § 22): GDPR'ı tamamlayıcı düzenlemeler içerir. Özellikle iş hukuku bağlamında sağlık verilerinin işlenmesi detaylı düzenlenmiştir.

Türkiye (KVKK Madde 6): Genel kural olarak işlenmesi yasaktır. İki grup istisna öngörülmüştür: (1) Sağlık ve cinsel hayat dışındaki veriler için kanunda açıkça öngörülme, (2) Sağlık ve cinsel hayat verileri için sır saklama yükümlülüğü altındaki kişiler tarafından işlenme.

2. Özel Nitelikli Kişisel Veri Tanımı

KVKK'nın 6. maddesi, özel nitelikli kişisel verileri sınırlı sayıda (numerus clausus) belirlemiştir. Bu liste genişletilemez; ancak Kanun'da sayılan kategoriler geniş yorumlanabilir.

KVKK Madde 6/1 - Özel Nitelikli Kişisel Veri Tanımı
"Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir."

2.1. Özel Nitelikli Veri Kategorileri

Kategori Örnekler Risk
Irk ve etnik köken Milliyet, etnik grup, kabile aidiyeti Ayrımcılık
Siyasi düşünce Parti üyeliği, siyasi görüş, oy tercihi Siyasi baskı
Felsefi inanç Ateizm, agnostisizm, veganizm İnanca dayalı ayrımcılık
Din, mezhep, diğer inançlar İslam, Hristiyanlık, mezhep aidiyeti Dini ayrımcılık
Kılık ve kıyafet Başörtüsü, kipa, dini semboller Görünüme dayalı ayrımcılık
Dernek, vakıf, sendika üyeliği Üyelik bilgileri, aktivizm Örgütlenme özgürlüğü ihlali
Sağlık verileri Hastalık, tedavi, ilaç, engellilik Sağlık ayrımcılığı
Cinsel hayat Cinsel yönelim, cinsel tercihler Mahremiyet ihlali
Ceza mahkumiyeti Sabıka kaydı, mahkumiyet bilgileri Sosyal dışlanma
Güvenlik tedbirleri Adli kontrol, denetimli serbestlik Stigmatizasyon
Biyometrik veriler Parmak izi, yüz tanıma, iris tarama Kimlik hırsızlığı
Genetik veriler DNA, genetik hastalık yatkınlığı Genetik ayrımcılık

2.2. KVKK ve GDPR Karşılaştırması

KVKK Madde 6 GDPR Madde 9 Fark
Irk, etnik köken Racial or ethnic origin Aynı
Siyasi düşünce Political opinions Aynı
Felsefi inanç, din, mezhep Religious or philosophical beliefs Aynı
Sendika üyeliği Trade union membership KVKK'da dernek/vakıf da dahil
Sağlık verileri Health data Aynı
Cinsel hayat Sex life or sexual orientation GDPR'da cinsel yönelim ayrı belirtilmiş
Genetik ve biyometrik veriler Genetic and biometric data Aynı
Ceza mahkumiyeti Madde 10'da ayrı düzenleme GDPR'da özel kategori değil
Kılık ve kıyafet Açık düzenleme yok KVKK'ya özgü

3. İşlenme Yasağı ve İstisnaları

KVKK'nın 6. maddesinin 2. fıkrası uyarınca, özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesi yasaktır. Ancak Kanun, bu yasağa belirli istisnalar getirmiştir.

KVKK Madde 6/2 - Genel Kural
"Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır."

3.1. Açık Rıza Dışındaki İşleme Şartları

KVKK, özel nitelikli kişisel verileri iki gruba ayırarak farklı işleme şartları öngörmüştür:

KVKK Madde 6/3 - Sağlık ve Cinsel Hayat Dışındaki Veriler
"Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir."
KVKK Madde 6/3 - Sağlık ve Cinsel Hayat Verileri
"Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir."
Veri Kategorisi Açık Rıza Dışı İşleme Şartı Örnek
Irk, etnik köken, siyasi düşünce vb. Kanunlarda öngörülme Seçim kanunu kapsamında parti üyeliği
Dernek, vakıf, sendika üyeliği Kanunlarda öngörülme Dernekler Kanunu bildirimleri
Ceza mahkumiyeti Kanunlarda öngörülme Adli sicil sorgulaması
Biyometrik veriler Kanunlarda öngörülme Nüfus hizmetleri için parmak izi
Sağlık verileri Sır saklama yükümlülüğü altındaki kişiler Hastane kayıtları
Cinsel hayat verileri Sır saklama yükümlülüğü altındaki kişiler Cinsel yolla bulaşan hastalık tedavisi

3.2. Sır Saklama Yükümlülüğü

Sağlık ve cinsel hayat verilerinin açık rıza olmaksızın işlenebilmesi için, işlemeyi yapan kişinin "sır saklama yükümlülüğü" altında bulunması gerekir. Bu yükümlülük, mesleki düzenlemelerden veya sözleşmeden kaynaklanabilir.

Sır Saklama Yükümlülüğü Altındaki Kişiler
Mesleki Sır Saklama: Hekimler (Tıbbi Deontoloji Nizamnamesi), avukatlar (Avukatlık Kanunu), eczacılar, psikologlar, diş hekimleri.

Sözleşmesel Sır Saklama: Veri işleyen kuruluşlarla yapılan sözleşmelerde gizlilik hükümleri.

Yetkili Kurum ve Kuruluşlar: Sağlık Bakanlığı, SGK, özel hastaneler, sigorta şirketleri (sağlık sigortası kapsamında).
Kurul Kararı - Sır Saklama Yükümlülüğü
Kurul'un 2019/297 sayılı kararında, bir ilaç firmasının pazarlama amacıyla hasta verilerini işlemesinin sır saklama yükümlülüğü kapsamında değerlendirilemeyeceği belirtilmiştir. Kurul, ilaç firmalarının sağlık hizmeti sunucusu olmadığını ve bu nedenle KVKK m.6/3 istisnasından yararlanamayacağını vurgulamıştır.

4. Biyometrik ve Genetik Veriler

4.1. Biyometrik Veri Tanımı

Biyometrik veriler, bir gerçek kişinin fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin teknik işlemeden kaynaklanan, kimliğin benzersiz bir biçimde tespitine olanak sağlayan kişisel verilerdir.

Biyometrik Veri Türü Örnekler Kullanım Alanı
Fiziksel biyometri Parmak izi, yüz geometrisi, iris, retina Kimlik doğrulama, erişim kontrolü
Fizyolojik biyometri DNA, damar örüntüsü, el geometrisi Adli tıp, kimlik tespiti
Davranışsal biyometri İmza, yürüyüş, klavye ritmi, ses Sürekli kimlik doğrulama
Kurul Kararı - İşyerinde Biyometrik Veri
Kurul'un 2020/173 sayılı kararında, bir şirketin işyeri giriş-çıkış kontrolünde parmak izi sistemi kullanmasının hukuka aykırı olduğuna karar verilmiştir. Kurul, alternatif yöntemlerin (kart, şifre) mevcut olduğu durumlarda biyometrik veri işlenmesinin orantılılık ilkesine aykırı olacağını belirtmiştir.

4.2. Genetik Veri Tanımı

Genetik veriler, bir kişinin genetik özelliklerini ortaya koyan ve özellikle ilgili kişinin biyolojik örneklerinin analizi sonucunda elde edilen kişisel verilerdir. DNA analizi, genetik hastalık taraması, genetik yatkınlık testleri bu kapsamda değerlendirilir.

Önemli Not - Genetik Ayrımcılık
Genetik veriler, ilgili kişinin yanı sıra biyolojik akrabalarını da ilgilendirir. Bu nedenle genetik verilerin işlenmesi, yalnızca ilgili kişiyi değil, aile bireylerini de etkileyebilir. Genetik ayrımcılık riski özellikle sigorta ve istihdam alanlarında yoğun olarak tartışılmaktadır.

5. Yeterli Önlemler

KVKK'nın 6. maddesinin 4. fıkrası uyarınca, özel nitelikli kişisel verilerin işlenmesinde, Kurul tarafından belirlenen yeterli önlemlerin alınması zorunludur. Kurul, 31.01.2018 tarihli ve 2018/10 sayılı kararıyla bu önlemleri belirlemiştir.

KVKK Madde 6/4 - Yeterli Önlemler
"Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır."

5.1. Kurul Kararı ile Belirlenen Önlemler

Yeterli Önlemler (Kurul Kararı 2018/10)
1. Politika ve Prosedürler:
  • Özel nitelikli kişisel verilerin işlenmesi için ayrı politika belirlenmesi
  • Bu politikanın çalışanlara duyurulması ve uygulanmasının takibi
2. Personel Güvenliği:
  • Özel nitelikli veri işleyen personelin belirlenmesi
  • Bu personelin gizlilik sözleşmesi imzalaması
  • Yetki kapsamının ve süresinin belirlenmesi
  • Periyodik eğitim ve farkındalık çalışmaları
3. Fiziksel Güvenlik:
  • Özel nitelikli verilerin işlendiği ortamların güvenliği
  • Yetkisiz erişimin engellenmesi
4. Teknik Güvenlik:
  • Şifreleme (encryption)
  • Güvenli iletim protokolleri
  • Erişim loglarının tutulması
  • Güvenlik açıklarının düzenli kontrolü

5.2. Sektörel Uygulamalar

Sektör Özel Nitelikli Veri Alınması Gereken Önlemler
Sağlık Hasta kayıtları, teşhis, tedavi HBYS güvenliği, şifreleme, erişim kontrolü
İnsan Kaynakları Engellilik, sağlık raporu, sabıka Kısıtlı erişim, ayrı dosyalama
Finans/Sigorta Sağlık sigortası verileri Veri minimizasyonu, amaç sınırlılığı
Eğitim Öğrenci sağlık, engellilik bilgileri Öğretmen/personel erişim sınırlaması
Spor Sporcu sağlık verileri, doping Federasyon düzeyinde koruma

6. İhlal ve Yaptırımlar

Özel nitelikli kişisel verilerin hukuka aykırı işlenmesi, KVKK'nın 18. maddesi kapsamında idari para cezası ve TCK kapsamında hapis cezası ile yaptırıma bağlanmıştır.

İhlal Türü İdari Para Cezası (2024) Ceza Hukuku
Yeterli önlem almama 119.561 TL - 5.978.084 TL -
Hukuka aykırı işleme 239.123 TL - 5.978.084 TL TCK m.135-140
Veri güvenliği ihlali 59.781 TL - 5.978.084 TL -
Kurul Kararı - İdari Para Cezası
Kurul'un 2021/1180 sayılı kararında, bir hastane grubunun hasta verilerini yeterli güvenlik önlemi almaksızın işlemesi nedeniyle 1.750.000 TL idari para cezası uygulanmıştır. Kurul, şifreleme eksikliği, yetersiz erişim kontrolü ve log tutulmamasını ihlal gerekçesi olarak saymıştır.

7. Sonuç

Özel nitelikli kişisel veriler, veri koruma hukukunun en hassas alanını oluşturur. Bu verilerin işlenmesi, yalnızca KVKK'da öngörülen sınırlı hallerde ve Kurul tarafından belirlenen yeterli önlemlerin alınması koşuluyla mümkündür. Veri sorumlularının, özel nitelikli veri işleme faaliyetlerinde azami dikkat göstermesi, hem hukuki yaptırımlardan korunmak hem de ilgili kişilerin temel haklarını güvence altına almak açısından kritik öneme sahiptir.

Özellikle sağlık sektörü, insan kaynakları uygulamaları ve biyometrik sistemler kullanan kuruluşların, KVKK m.6 kapsamındaki yükümlülüklerini titizlikle yerine getirmesi gerekmektedir. Kurul kararları incelendiğinde, yeterli önlem eksikliğinin ve hukuka aykırı işlemenin ciddi idari para cezalarına yol açtığı görülmektedir.

KVKK Makale Serisi 3 / 15
İşlenme Şartları Aydınlatma Yükümlülüğü

Bu çalışma yalnızca bilgilendirme amacıyla hazırlanmış olup hukuki tavsiye niteliği taşımaz. Mevzuat ve içtihatlarda meydana gelebilecek değişiklikler nedeniyle içerik zamanla geçerliliğini yitirebilir. İçeriğin somut olaylara uygulanması veya bu içeriğe dayanılarak alınan kararlar nedeniyle doğabilecek sonuçlardan sorumluluk kabul edilmez.