TR EN DE

Özel Nitelikli Kişisel Verilerin İşlenmesi

KVKK Madde 6 kapsamında özel nitelikli (hassas) kişisel veriler, sağlık ve cinsel hayat verileri, biyometrik ve genetik veriler, işlenme şartları, Kurul tarafından belirlenen yeterli önlemler ve pratik uygulamalar.

Summary in English

Overview

This article examines special categories of personal data under Turkish Personal Data Protection Law No. 6698 (KVKK) Article 6. These sensitive data categories require stricter processing conditions and additional safeguards.

Key Points

  • Definition: Special categories include race, ethnicity, political opinions, religious beliefs, health data, sexual life, biometric and genetic data, criminal convictions, and union membership.
  • Processing Prohibition: Processing of special categories is prohibited without explicit consent, with limited exceptions provided by law.
  • Health Data Exception: Health and sexual life data may be processed without consent only by persons under professional secrecy obligation for public health, preventive medicine, or medical treatment purposes.
  • Adequate Safeguards: The Board has determined mandatory technical and organizational measures for processing special categories, including encryption, access controls, and staff training.
  • Biometric Data: Fingerprints, facial recognition, and iris scans are subject to strict proportionality requirements; alternative methods should be preferred where available.

Überblick

Dieser Artikel untersucht besondere Kategorien personenbezogener Daten nach dem türkischen Datenschutzgesetz Nr. 6698 (KVKK) Artikel 6. Diese sensiblen Datenkategorien erfordern strengere Verarbeitungsbedingungen und zusätzliche Schutzmaßnahmen.

Kernpunkte

  • Definition: Besondere Kategorien umfassen Rasse, Ethnie, politische Meinungen, religiöse Überzeugungen, Gesundheitsdaten, Sexualleben, biometrische und genetische Daten, strafrechtliche Verurteilungen und Gewerkschaftsmitgliedschaft.
  • Verarbeitungsverbot: Die Verarbeitung besonderer Kategorien ist ohne ausdrückliche Einwilligung verboten, mit begrenzten gesetzlich vorgesehenen Ausnahmen.
  • Ausnahme für Gesundheitsdaten: Gesundheits- und Sexuallebendaten dürfen nur von Personen unter Berufsgeheimnispflicht für öffentliche Gesundheit, Präventivmedizin oder medizinische Behandlung ohne Einwilligung verarbeitet werden.
  • Angemessene Schutzmaßnahmen: Die Behörde hat verbindliche technische und organisatorische Maßnahmen für die Verarbeitung besonderer Kategorien festgelegt, einschließlich Verschlüsselung, Zugriffskontrollen und Mitarbeiterschulungen.
  • Biometrische Daten: Fingerabdrücke, Gesichtserkennung und Iris-Scans unterliegen strengen Verhältnismäßigkeitsanforderungen; alternative Methoden sollten bevorzugt werden, wo verfügbar.

1. Giriş

Özel nitelikli kişisel veriler, işlenmeleri halinde ilgili kişinin ayrımcılığa maruz kalmasına veya mağdur olmasına yol açabilecek hassas verilerdir. Bu verilerin korunması, veri koruma hukukunun temel önceliklerinden birini oluşturur. KVKK, özel nitelikli kişisel verilerin işlenmesini daha sıkı kurallara bağlamış ve Kurul tarafından belirlenen yeterli önlemlerin alınmasını zorunlu kılmıştır.

Karşılaştırmalı Hukuk
AB (GDPR Madde 9): "Special categories of personal data" olarak adlandırılır. Genel kural olarak işlenmesi yasaktır; on adet istisna öngörülmüştür. Üye devletlere ek koruma getirme yetkisi tanınmıştır.

ABD: Federal düzeyde özel kategori tanımı yoktur. HIPAA (sağlık), FERPA (eğitim) gibi sektörel düzenlemeler mevcuttur. California CPRA'da "sensitive personal information" kavramı benimsenmiştir.

Almanya (BDSG § 22): GDPR'ı tamamlayıcı düzenlemeler içerir. Özellikle iş hukuku bağlamında sağlık verilerinin işlenmesi detaylı düzenlenmiştir.

Türkiye (KVKK Madde 6): Genel kural olarak işlenmesi yasaktır. İki grup istisna öngörülmüştür: (1) Sağlık ve cinsel hayat dışındaki veriler için kanunda açıkça öngörülme, (2) Sağlık ve cinsel hayat verileri için sır saklama yükümlülüğü altındaki kişiler tarafından işlenme.

2. Özel Nitelikli Kişisel Veri Tanımı

KVKK'nın 6. maddesi, özel nitelikli kişisel verileri sınırlı sayıda (numerus clausus) belirlemiştir. Bu liste genişletilemez; ancak Kanun'da sayılan kategoriler geniş yorumlanabilir.

2.1. Özel Nitelikli Veri Kategorileri

Kategori Örnekler Risk
Irk ve etnik köken Milliyet, etnik grup, kabile aidiyeti Ayrımcılık
Siyasi düşünce Parti üyeliği, siyasi görüş, oy tercihi Siyasi baskı
Felsefi inanç Ateizm, agnostisizm, veganizm İnanca dayalı ayrımcılık
Din, mezhep, diğer inançlar İslam, Hristiyanlık, mezhep aidiyeti Dini ayrımcılık
Kılık ve kıyafet Başörtüsü, kipa, dini semboller Görünüme dayalı ayrımcılık
Dernek, vakıf, sendika üyeliği Üyelik bilgileri, aktivizm Örgütlenme özgürlüğü ihlali
Sağlık verileri Hastalık, tedavi, ilaç, engellilik Sağlık ayrımcılığı
Cinsel hayat Cinsel yönelim, cinsel tercihler Mahremiyet ihlali
Ceza mahkumiyeti Sabıka kaydı, mahkumiyet bilgileri Sosyal dışlanma
Güvenlik tedbirleri Adli kontrol, denetimli serbestlik Stigmatizasyon
Biyometrik veriler Parmak izi, yüz tanıma, iris tarama Kimlik hırsızlığı
Genetik veriler DNA, genetik hastalık yatkınlığı Genetik ayrımcılık

2.2. KVKK ve GDPR Karşılaştırması

KVKK Madde 6 GDPR Madde 9 Fark
Irk, etnik köken Racial or ethnic origin Aynı
Siyasi düşünce Political opinions Aynı
Felsefi inanç, din, mezhep Religious or philosophical beliefs Aynı
Sendika üyeliği Trade union membership KVKK'da dernek/vakıf da dahil
Sağlık verileri Health data Aynı
Cinsel hayat Sex life or sexual orientation GDPR'da cinsel yönelim ayrı belirtilmiş
Genetik ve biyometrik veriler Genetic and biometric data Aynı
Ceza mahkumiyeti Madde 10'da ayrı düzenleme GDPR'da özel kategori değil
Kılık ve kıyafet Açık düzenleme yok KVKK'ya özgü

3. İşlenme Yasağı ve İstisnaları

KVKK'nın 6. maddesinin 3. fıkrası uyarınca, özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak Kanun, bu yasağa belirli istisnalar getirmiştir.

3.1. İşleme Yasağının İstisnaları

7499 sayılı Kanun (2 Mart 2024) ile yapılan değişiklik sonrasında, KVKK m.6/3 özel nitelikli kişisel veriler bakımından tek bir istisna listesi öngörmektedir. Eski düzenlemedeki "sağlık ve cinsel hayat verileri / diğer veriler" ayrımı kaldırılmıştır:

İstisna Bendi (m.6/3) Açıklama Örnek
a) Açık rıza İlgili kişinin açık rızasının bulunması Çalışanın sağlık verisini paylaşmaya rıza göstermesi
b) Kanunda açıkça öngörülme Kanunlarda açıkça düzenlenmiş olması Adli sicil sorgulaması, Dernekler Kanunu bildirimleri
c) Fiili imkânsızlık Rızasını açıklayamayacak kişinin hayat veya beden bütünlüğünün korunması Bilinci kapalı hastanın acil tedavisi
ç) Alenileştirme İlgili kişinin kendisinin alenileştirdiği veriler Kişinin sendika üyeliğini kamuya açıklaması
d) Hakkın korunması Bir hakkın tesisi, kullanılması veya korunması için zorunluluk Dava sürecinde ceza mahkumiyeti bilgisinin sunulması
e) Sağlık amaçlı işleme Sır saklama yükümlülüğü altındaki kişilerce sağlık hizmetleri kapsamında işleme Hastane kayıtları, koruyucu hekimlik uygulamaları
f) İstihdam ve sosyal güvenlik İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik alanındaki hukuki yükümlülükler İşverenin engelli çalışan verilerini SGK'ya bildirmesi

3.2. Sır Saklama Yükümlülüğü

KVKK m.6/3(e) bendi uyarınca, sağlık amaçlı veri işlemenin açık rıza olmaksızın yapılabilmesi için, işlemeyi yapan kişinin "sır saklama yükümlülüğü" altında bulunması veya yetkili kurum ya da kuruluş olması gerekir. Bu yükümlülük, mesleki düzenlemelerden veya sözleşmeden kaynaklanabilir.

Sır Saklama Yükümlülüğü Altındaki Kişiler
Mesleki Sır Saklama: Hekimler (Tıbbi Deontoloji Nizamnamesi), avukatlar (Avukatlık Kanunu), eczacılar, psikologlar, diş hekimleri.

Sözleşmesel Sır Saklama: Veri işleyen kuruluşlarla yapılan sözleşmelerde gizlilik hükümleri.

Yetkili Kurum ve Kuruluşlar: Sağlık Bakanlığı, SGK, özel hastaneler, sigorta şirketleri (sağlık sigortası kapsamında).
Kurul Uygulaması - Sır Saklama Yükümlülüğü
Kurul uygulamasında, ilaç firmalarının pazarlama amacıyla hasta verilerini işlemesinin sır saklama yükümlülüğü kapsamında değerlendirilemeyeceği kabul edilmektedir. İlaç firmaları sağlık hizmeti sunucusu olmadığından KVKK m.6/3 istisnasından yararlanamamaktadır.

4. Biyometrik ve Genetik Veriler

4.1. Biyometrik Veri Tanımı

Biyometrik veriler, bir gerçek kişinin fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin teknik işlemeden kaynaklanan, kimliğin benzersiz bir biçimde tespitine olanak sağlayan kişisel verilerdir.

Biyometrik Veri Türü Örnekler Kullanım Alanı
Fiziksel biyometri Parmak izi, yüz geometrisi, iris, retina Kimlik doğrulama, erişim kontrolü
Fizyolojik biyometri DNA, damar örüntüsü, el geometrisi Adli tıp, kimlik tespiti
Davranışsal biyometri İmza, yürüyüş, klavye ritmi, ses Sürekli kimlik doğrulama
Kurul Uygulaması - İşyerinde Biyometrik Veri
Kurul uygulamasında, alternatif yöntemlerin (kart, şifre) mevcut olduğu durumlarda işyeri giriş-çıkış kontrolünde biyometrik veri işlenmesinin orantılılık ilkesine aykırı olduğu kabul edilmektedir. Biyometrik veri kullanımının zorunlu ve ölçülü olması gerekmektedir.

4.2. Genetik Veri Tanımı

Genetik veriler, bir kişinin genetik özelliklerini ortaya koyan ve özellikle ilgili kişinin biyolojik örneklerinin analizi sonucunda elde edilen kişisel verilerdir. DNA analizi, genetik hastalık taraması, genetik yatkınlık testleri bu kapsamda değerlendirilir.

5. Yeterli Önlemler

KVKK'nın 6. maddesinin 4. fıkrası uyarınca, özel nitelikli kişisel verilerin işlenmesinde, Kurul tarafından belirlenen yeterli önlemlerin alınması zorunludur. Kurul, 31.01.2018 tarihli ve 2018/10 sayılı kararıyla bu önlemleri belirlemiştir.

5.1. Kurul Kararı ile Belirlenen Önlemler

Yeterli Önlemler (Kurul Kararı 2018/10)
1. Politika ve Prosedürler:
  • Özel nitelikli kişisel verilerin işlenmesi için ayrı politika belirlenmesi
  • Bu politikanın çalışanlara duyurulması ve uygulanmasının takibi
2. Personel Güvenliği:
  • Özel nitelikli veri işleyen personelin belirlenmesi
  • Bu personelin gizlilik sözleşmesi imzalaması
  • Yetki kapsamının ve süresinin belirlenmesi
  • Periyodik eğitim ve farkındalık çalışmaları
3. Fiziksel Güvenlik:
  • Özel nitelikli verilerin işlendiği ortamların güvenliği
  • Yetkisiz erişimin engellenmesi
4. Teknik Güvenlik:
  • Şifreleme (encryption)
  • Güvenli iletim protokolleri
  • Erişim loglarının tutulması
  • Güvenlik açıklarının düzenli kontrolü

5.2. Sektörel Uygulamalar

Sektör Özel Nitelikli Veri Alınması Gereken Önlemler
Sağlık Hasta kayıtları, teşhis, tedavi HBYS güvenliği, şifreleme, erişim kontrolü
İnsan Kaynakları Engellilik, sağlık raporu, sabıka Kısıtlı erişim, ayrı dosyalama
Finans/Sigorta Sağlık sigortası verileri Veri minimizasyonu, amaç sınırlılığı
Eğitim Öğrenci sağlık, engellilik bilgileri Öğretmen/personel erişim sınırlaması
Spor Sporcu sağlık verileri, doping Federasyon düzeyinde koruma

6. İhlal ve Yaptırımlar

Özel nitelikli kişisel verilerin hukuka aykırı işlenmesi, KVKK'nın 18. maddesi kapsamında idari para cezası ve TCK kapsamında hapis cezası ile yaptırıma bağlanmıştır.

İhlal Türü İdari Para Cezası (2026) Ceza Hukuku
Yeterli önlem almama (m.12) 256.357 TL - 17.092.242 TL -
Hukuka aykırı işleme 256.357 TL - 17.092.242 TL TCK m.135-140
Veri güvenliği ihlali (m.12) 256.357 TL - 17.092.242 TL -
Kurul Uygulaması - İdari Para Cezası
Kurul uygulamasında, özel nitelikli kişisel verileri yeterli güvenlik önlemi almaksızın işleyen veri sorumlularına yüksek tutarlarda idari para cezası uygulandığı görülmektedir. Şifreleme eksikliği, yetersiz erişim kontrolü ve log tutulmaması başlıca ihlal gerekçeleri arasındadır.

7. Sonuç

Özel nitelikli kişisel veriler, veri koruma hukukunun en hassas alanını oluşturur. Bu verilerin işlenmesi, yalnızca KVKK'da öngörülen sınırlı hallerde ve Kurul tarafından belirlenen yeterli önlemlerin alınması koşuluyla mümkündür. KVKK m. 6/4 uyarınca Kurul tarafından belirlenen yeterli önlemler, özel nitelikli verilerin işlenmesinin ön koşulunu oluşturmaktadır.

Özellikle sağlık sektörü, insan kaynakları uygulamaları ve biyometrik sistemler kullanan kuruluşların, KVKK m.6 kapsamındaki yükümlülüklerini titizlikle yerine getirmesi gerekmektedir. Kurul kararları incelendiğinde, yeterli önlem eksikliğinin ve hukuka aykırı işlemenin ciddi idari para cezalarına yol açtığı görülmektedir.

Bu çalışma yalnızca bilgilendirme amacıyla hazırlanmış olup hukuki tavsiye niteliği taşımaz. Mevzuat ve içtihatlarda meydana gelebilecek değişiklikler nedeniyle içerik zamanla geçerliliğini yitirebilir. İçeriğin somut olaylara uygulanması veya bu içeriğe dayanılarak alınan kararlar nedeniyle doğabilecek sonuçlardan sorumluluk kabul edilmez.