Birleşik Hukuku Bağlamında ‘Özel Nitelikli Kişisel Veri’

Giriş

Özel nitelikli kişisel veriler (special category personal data), Birleşik Krallık Genel Veri Koruma Tüzüğü (General Data Protection Regulation-GDPR) uyarınca ek korumalar sağlanan bir kişisel veri türüdür. Bu tür korumalar, veri sahiplerine (kişisel verilerin ait olduğu kişiler) ilave haklar tanır ve veri denetleyici otoritelerine (kişisel verileri kendi amaçları için işleyen kuruluşlar) ek yükümlülükler getirir.

Bu nedenle, özel kategori kişisel verilerinin ne olduğunu ve kuruluşlar özel kategori kişisel verileri işlediğinde hangi hak ve yükümlülüklerin geçerli olduğunu bilmek önemlidir. Bu yazıda temeller ele alınmakta olup veri koruma yasası hakkında daha fazla bilgi burada bulunabilir.

1. Özel Nitelikli Kişisel Verilerin Tanımlanması

1.1. Kişisel veri

Kişisel veri, (personal data) Birleşik Krallık Genel Veri Koruma Tüzüğü’nde ‘belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi’ olarak tanımlanmaktadır.

Bunlar akla gelebilecek her türlü bilgiyi içerir: bireylerin görüntüleri, videolar, ses kayıtları, kredi raporları, kitap veya haber özetleri, adresler, telefon numaraları vb. Bu bilgilerin herhangi biri bir kişiyle ilgiliyse, kişisel veridir.

Bu bilgiler arasında özel nitelikli kişisel veriler de yer alabilir; ancak bir kişisel verinin özel nitelikli kişisel veri olarak nitelendirilebilmesi için, ilgili kişinin belirli niteliklerini ilgilendiren veya ortaya koyan bilgiler olması gerekir.

Bu nitelikler şunlardır:

  • Irk veya etnik köken;
  • Siyasi görüş;
  • Dini veya felsefi inanç;
  • Sendika üyeliği;
  • Genetik veriler;
  • Biyometrik veriler (kimlik belirleme amacıyla kullanıldığında);
  • Sağlık;
  • Cinsel yaşam veya
  • Cinsel yönelim.

1.2. Özel kategori kişisel verilerin örnekleri

Temel düzeyde, bir doktorun elektronik hasta kaydına grip olduğunuzu not etmesi özel kategori kişisel veri olacaktır. Ancak, kişisel verilerde olduğu gibi, özel kategori kişisel verilere bağlı hak ve yükümlülüklerin yalnızca denetleyici otoritenin kişisel verilerin ilişkili olduğu kişiyi tanımlayabildiği durumlarda geçerli olduğunu unutmamak önemlidir. Birleşik Krallık’ta grip olan kişilerin sayısını ayrıntılı olarak açıklayan ve daha sonra bir ilaç şirketi tarafından indirilip kullanılan hükümet istatistikleri, özel kategori kişisel veri olmayacaktır.

İlgili veya ifşa edici terimleri önemli bir noktadır. Bilginin kendisi olmasa bile, örneğin, bir siyasi görüş hakkında bilgi, özel kategori kişisel veri olarak nitelendirilebilir. Bunun nedeni, başka bir kişinin bilgiyi (veya bu bilginin ve kişinin erişebildiği diğer bilgilerin bir kombinasyonunu) kullanarak veri sahibi hakkında bu niteliği makul bir şekilde çıkarabilmesidir.

Bu hukuki durumun veri sahipleri ve veri sorumluları açısından iki temel sonucu vardır ki; bunları bir örnekle daha basit bir şekilde açıklamak gerekirse: Bir siyasi mitinge katıldığınızı gösteren bir fotoğrafı sosyal medya sitesine yüklüyorsunuz. O mitinge katılmanız, siyasi görüşleriniz hakkında bilgi anlamına gelir. Ya fotoğraf belirsizse veya sadece büyük bir toplantıya (mutlaka siyasi bir toplantı olmayabilir) katılıyormuşsunuz gibi görünüyorsa? Örneğin, sosyal medya şirketi, fotoğrafın mitingde olduğunuzu açıkça belirten başlığı da okuyabilir. Bu nedenle hem fotoğraf hem de başlık özel kategori kişisel veri olacaktır.

2. Özel Nitelikli Kişisel Verilerin İşlenmesi

Özel nitelikli kişisel verilerin hukuka uygun olarak işlenmesi konusunda veri sorumlularına yönelik ek yükümlülükler bulunmaktadır. Bu yükümlülükler, veri sorumlularının kişisel verileri hukuka uygun şekilde işlemek için yapmaları gerekenlere ek olduğundan, temelleri belirleyerek başlamak faydalı olacaktır.

2.1. Yasal dayanak

Kişisel verileri yasal olarak işlemek için, bir veri denetleyicisinin yasal bir dayanağı olması gerekir. Altı yasal dayanak vardır:

  • Onay/Rıza (consent): Veri sahibinin, veri sorumlusuna, veri sorumlusunun kişisel verilerini belirli bir amaç veya amaçlar doğrultusunda işlemesine onay vermesi durumudur.
  • Sözleşme (contract): Bir denetleyici, denetleyicinin veri sahibiyle yaptığı bir sözleşmeyi yerine getirmek (veya bir sözleşme yapmak için gerekli adımları atmak) için gerekli olması durumunda kişisel verileri işlemek için yasal bir temele sahip olacaktır.
  • Yasal yükümlülük (legal obligation): Denetleyici otoritenin yasal bir yükümlülüğe uymak için kişisel verileri işlemesi gerektiğinde (örneğin, mahkeme denetleyiciden kendisine bir veri sahibi hakkında bilgi sağlamasını istediğinde), bu işleme yasal bir temele sahip olacaktır.
  • Hayati çıkarlar (vital interests): İşlemenin bir veri sahibinin veya başka bir bireyin hayati çıkarlarını korumak için gerekli olmasıdır (örneğin tıbbi tedavi sunmak).
  • Kamu yararı (public interest): Bu yasal dayanak esas itibarıyla kanuni işlevleri yerine getiren kamu otoritelerinin veya özel kuruluşların faaliyetlerini kapsar.
  • Meşru menfaatler (legitimate interests): Veri sorumlusu, bunu yapmada meşru bir menfaate sahip olması halinde (üçüncü tarafların menfaatleri de dâhil olmak üzere) kişisel verileri işlemek için yasal bir temele sahip olacaktır; ancak bu menfaat(ler) veri sahibinin haklarından daha ağır basmamalıdır.

Bir denetleyici özel kategori kişisel verileri veya sadece kişisel verileri işliyor olsun, bunu yapmak için yasal bir temele ihtiyacı olacaktır. Uyulması gereken bir dizi ilgili yükümlülük de vardır. Örneğin, denetleyici otoriteler veri sahiplerine hangi yasal temellere dayandıklarını bildirmelidir.

2.2. Özel koşullar

Özel kategori kişisel verilerin işlenmesinin gerektirdiği şey, işleme için yasal bir temele ek olarak, veri sorumlusunun bunu yapmak için on ‘özel koşuldan’ birine dayanmış olmasıdır. Özel bir koşul yoksa denetleyici özel kategori kişisel verileri işleyemez.

Özel koşullar şu şekildedir:

  • Açık rıza (explicit consent): Açık rıza, yasal bir temel olarak rıza için gereken standarttan daha yüksek bir rıza standardıdır. Rızanın kendisi sözlü olarak (yazılı veya sözlü) teyit edilmeli ve özellikle sınırlı bir işleme faaliyeti ile ilgili olmalıdır.
  • İstihdam, sosyal güvenlik ve sosyal koruma (employment, social security and social protection): Bu koşul genellikle işverenler tarafından istihdam amaçlı belirli kontrolleri gerçekleştirmek için kullanılır.
  • Hayati çıkarlar (vital interests): Yukarıda belirtilen hayati çıkarların yasal dayanağına çok benzemektedir.
  • Kâr amacı gütmeyen kuruluşlar (not-for-profit bodies): Bu koşul, müseccel hayır kurumları tarafından yürütülen hayır faaliyetleri bağlamında geçerli olacaktır.
  • Veri sahibi tarafından kamuya açık hale getirilmesi (made public by the data subject): Bu koşul, veri sahibinin daha önce özel kategori kişisel verilerini kamuya açık hale getirdiği senaryolar için geçerlidir. Bu, birinin sağlığı hakkında çevrimiçi paylaşım yaptığı bir senaryo için geçerli olacaktır.
  • Yasal/Hukuki talepler veya yargısal işlemler (legal claims or judicial acts): Avukatların veya mahkemelerin, hukuki talepleri oluşturma, kullanma veya savunma bağlamında özel kategorideki kişisel verileri işlediği durumlarda geçerlidir.
  • Önemli kamu yararı nedenleri (reasons of substantial public interest): Bu koşulun geçerli olması için başka yerlerde tanımlanmış belirli kamu yararları vardır (aşağıya bakınız).
  • Sağlık ve sosyal bakım (health and social care): Bu koşul, doktorların veya sosyal hizmet görevlilerinin teşhis veya diğer formlar veya bakım amacıyla özel kategori kişisel verileri işlediği durumlarda geçerli olacaktır. Sonuç olarak, bir hastanedeki idari personel tarafından işlenen kişisel veriler için geçerli olmayacaktır.
  • Halk sağlığı (public health): Bu koşul, kuruluşların kamu sağlığını iyileştirmek amacıyla özel kategorideki kişisel verileri işlemesi durumunda geçerlidir (örneğin bir pandemi durumunda).
  • Arşivleme, araştırma veya istatistik (archiving, research or statistics): Hem kamu hem de özel sektör kuruluşları, kâr amacı gütmeyen araştırmalar yürütebilir ve bu araştırmanın kamu yararına olması koşuluyla özel kategorideki kişisel verileri işlemek için bu koşula güvenebilirler.

Tekrar belirtmek gerekir ki, bu özel koşullar yukarıda belirtilen kişisel verilerin işlenmesine ilişkin yasal dayanağa ilave olarak uygulanır; özel kategorideki kişisel veriler için her ikisine de sahip olmanız gerekir.

Buna göre, bazı özel koşullar bazı yasal dayanaklarla (örneğin rıza, hayati çıkarlar) iyi eşleşecektir ancak diğerleriyle eşleşmeyecektir. Gerçekten de, yaygın bir yanlış anlama, bir veri denetleyicisinin kişisel verileri işlemek için meşru çıkarlara güvenemeyeceğidir. Güvenebilir ancak bu özel kategori kişisel verilerini işlemek için özel bir koşul da tanımlaması gerekir. Bu nedenle, örneğin, bir kuruluş meşru çıkarların ve açık rızanın yasal dayanaklar olduğunu ve özel koşulun uygulanabilir olduğunu düşünüyorsa, rızaya ve açık rızaya güvenmek daha mantıklı olabilir. Ancak bu katı bir kural değildir, kuruluşlar en uygun yaklaşımın ne olduğuna kendileri karar vermelidir.

2.3. Ek 1 koşulları

Bir kuruluş belirli özel koşullardan yararlanıyorsa, 2018 tarihli Veri Koruma Yasası’nın 1 no.lu ekinde belirtilen ek koşulları karşılamalıdır. Bunun geçerli olduğu özel koşullar şunlardır:

  • İstihdam, sosyal güvenlik ve sosyal koruma (employment, social security and social protection);
  • Önemli kamu çıkarları (substantial public interests);
  • Sağlık veya sosyal bakım (health or social care);
  • Halk sağlığı (public health),
  • Arşivleme, araştırma veya istatistik (archiving, research or statistics).

Ek 1 koşulları esas itibarıyla özel koşullara uygulanacak yükümlülükleri ortaya koymaktadır.

Örneğin, sağlık veya sosyal bakımla ilgili olarak Ek 1 koşulu aşağıdaki gibidir:

  • “Bu koşul, işlemenin sağlık veya sosyal bakım amaçları için gerekli olması halinde karşılanır.
  • Bu fıkradaki ‘sağlık veya sosyal bakım amaçları’ aşağıdaki amaçlar anlamına gelir:
  • (a) önleyici veya mesleki tıp,
  • (b) bir çalışanın çalışma kapasitesinin değerlendirilmesi,
  • (c) tıbbi teşhis,
  • (d) sağlık hizmeti veya tedavisinin sağlanması,
  • (e) sosyal bakım sağlanması veya
  • (f) sağlık bakım sistemlerinin veya hizmetlerinin ya da sosyal bakım sistemlerinin veya hizmetlerinin yönetimi.”

Bu nedenle veri sorumluları, bazı durumlarda özel nitelikli kişisel verileri işleyebilmek için kapsamlı bir dizi koşula ve hukuki gerekçeye başvurmak durumunda kalmaktadır.

3. Özel Nitelikli Kişisel Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlar

Özel kategori kişisel verilerine ilişkin günlük değerlendirmeler, Birleşik Krallık Genel Veri Koruma Tüzüğü kapsamında önemli ölçüde farklı değildir. Birleşik Krallık Genel Veri Koruma Tüzüğü, özel kategori kişisel verileri ve sıradan kişisel veriler açısından neredeyse eşit şekilde uygulanır.

Ancak, özel kategori kişisel verilerinin veri sahipleri için daha önemli olması (ve dolayısıyla özel kategori kişisel verilerinin hukuka aykırı, kazara veya yetkisiz işlenmesi ile ilişkili daha önemli riskler bulunması) nedeniyle, Birleşik Krallık Genel Veri Koruma Tüzüğü, veri sorumlularının kişisel verileri koruma konusundaki mevcut yükümlülüklerini değiştirebilir ve artırabilir.

Aşağıda, Birleşik Krallık Genel Veri Koruma Tüzüğü veri denetleyici otoritelerinin özel kategori kişisel verileri işlerken dikkate almak isteyecekleri hususlara ilişkin birkaç örnek verilmiştir:

3.1. Geliştirilmiş teknik ve organizasyonel önlemler

Birleşik Krallık Genel Veri Koruma Tüzüğü, veri denetleyici otoritelerinin kişisel verileri korumak için teknik ve organizasyonel önlemler almasını gerektirir. Bu önlemler, işlenen kişisel veri türü(türleri) dikkate alındığında yeterli olmalıdır. Bir veri denetleyicisi özel kategori kişisel verileri işliyorsa, bu daha riskli olabilir. Bu nedenle güvenlik önlemleri, söz konusu risk düzeyini karşılamalıdır.

Bu bir ikili durum değildir; özel kategorideki kişisel verilerin bazı biçimleri doğası gereği diğerlerinden daha az riskli olacaktır.

  • Veri Koruma Görevlisi: Veri sorumlularının (veya veri işleyicilerinin) Veri Koruma Görevlisi (Data Protection Officer) atamasını gerektiren tetikleyicilerden biri, kuruluşun temel faaliyetlerinin büyük ölçekte özel kategori kişisel verilerinin işlenmesinden oluşmasıdır. Temel faaliyet, kuruluşun amacının ne olduğu değil, özel nitelikli kişisel verilerin işlenmesinin faaliyetlerinin bir parçası olup olmadığıdır.
  • Veri Koruma Etki Değerlendirmeleri: Veri sorumlularının, kişisel verilerinin işlenmesinin veri sahipleri açısından yüksek risk oluşturması muhtemel ise Veri Koruma Etki Değerlendirmeleri (Data Protection Impact Assessments) yapmaları gerekmektedir. Yukarıda da belirtildiği üzere, özel nitelikli kişisel verilerin normal kişisel verilere kıyasla daha fazla risk taşıması muhtemel olduğundan, özel nitelikli kişisel verilerin işlenmesinden önce Veri Koruma Etki Değerlendirmesi kapsamında bir değerlendirme yapılması gerekmesi daha olasıdır.

3.2. Veri sahiplerinin gelişmiş hakları ve çıkarları

Veri sahiplerinin, Birleşik Krallık Genel Veri Koruma Tüzüğü kapsamında ve özellikle meşru menfaatin hukuki temeli ve kişisel verilerinin işlenmesine ilişkin çıkarları bağlamında bir dizi hakkı bulunmaktadır.

Birçok durumda, Birleşik Krallık Genel Veri Koruma Tüzüğü veri denetleyici otoritelerinin çıkarlarını veri sahiplerinin çıkarlarıyla dengelemesini gerektirir. Veri sahibi hakları özel kategori kişisel verilerle ilgili olarak kullanıldığında veya veri denetleyicisi meşru çıkarların yasal temeline güvenmeye çalıştığında, bir veri denetleyicisinin çıkarlarının bir veri sahibinin çıkarlarını geçersiz kılmasının daha zor olması muhtemeldir.

Sonuç

Özel kategori kişisel verilerin işlenmesi, Birleşik Krallık Genel Veri Koruma Tüzüğü kapsamında ek yükümlülükler ve değerlendirmeler getirmektedir. Bu, bir şeylerin ters gitmesi durumunda ortaya çıkabilecek zarar göz önünde bulundurulduğunda gereklidir; örneğin, tıbbi kayıtlar çevrimiçi olarak sızdırılırsa herkes önemli zararlar görür.

1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024), Hukuka Giriş (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bin 500’ü aşan Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.