Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber Yayımlandı
Kişisel Verileri Koruma Kurumu (Kurum) tarafından hazırlanan Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber (Rehber), 26 Şubat 2025 tarihinde yayımlandı.
12 Mart 2024 tarihinde Resmî Gazete’de yayımlanan Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun (7499 sayılı Kanun) kapsamında, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) Özel Nitelikli Kişisel Verilerin İşlenme Şartlarını düzenleyen 6’ncı maddesinde değişiklik yapılmış ve bu değişiklikler 1 Haziran 2024 tarihinde yürürlüğe girmişti. Bu doğrultuda, özel nitelikli kişisel veriler arasındaki farklılıklar kaldırılmış ve yeni işleme şartları belirlenmişti.
Rehber, Kişisel Verileri Koruma Kurulu’nun özel nitelikli kişisel verilerin işlenme şartlarıyla ilgili yaklaşımını açıklamak, veri sorumlularının mevzuatta belirtilen hukuki dayanaklarla özel nitelikli kişisel verileri işleme süreçlerine ışık tutmak ve bu süreçlerde yerine getirmeleri gereken yükümlülükleri Kanun’a uygun bir şekilde gerçekleştirebilmelerini sağlamak amacıyla hazırlanmıştır.
Rehber üç bölümden oluşmaktadır; (i) birinci bölümünde özel nitelikli kişisel verilerle ilgili bilgiler ve hangi verilerin özel nitelikli olarak değerlendirileceğine dair açıklamalar, (ii) ikinci bölümünde bu nitelikte verilerin işlenme şartları, (iii) üçüncü bölümünde ise 7499 sayılı Kanun ile yapılan değişiklikler sonrasında veri sorumlularının yeni düzenlemelere uyum sağlamak için yapması gerekenler ve diğer öneriler yer almaktadır. Söz konusu bölümlerde yer alan açıklamalardan bazıları aşağıda özet olarak sunulur:
- Özel nitelikli kişisel veriler Kanun’da sınırlı olarak belirlenmiş olup, kapsamı kıyas yoluyla genişletilemez. Kanun maddesinde yer almayan veriler bu kategoride değerlendirilemez. Örneğin, uyruk verisi listede yer almadığı için özel nitelikli kişisel veri kabul edilmez. Siyasi görüş ve dini inanç verileri özel nitelikli kişisel veri kapsamına girerken, herhangi bir dine inanmama ya da apolitik olma bilgisi de aynı şekilde değerlendirilir. Çalışanların sendika üyeliğine dair veriler de özel nitelikli kişisel veri kapsamında olup, eski pasaport ve kimlik kartlarındaki kan grubu bilgisi de sağlık verisi olarak değerlendirilmektedir.
- Eski düzenlemeye kıyasla, yeni düzenlemede sağlık ve cinsel hayata ilişkin veriler ile diğer özel nitelikli veriler arasındaki ayrım kaldırılmış ve özel nitelikli kişisel verilerin açık rızaya gerek olmaksızın işlenebileceği kişisel veri işleme şartları yeniden düzenlenmişti. Yeni düzenleme kapsamında, özel nitelikli kişisel verilerin; kanunlarda açıkça öngörülmesi, hayati tehlike veya beden bütünlüğünün korunması için zorunlu olması, alenileştirme, bir hakkın tesisi veya korunması için zorunluluk, istihdam, iş sağlığı ve güvenliği ile sosyal güvenlik yükümlülüklerinin ifası için zorunlu olması hallerinde ve derneklerin ve kâr amacı gütmeyen kuruluşların amaçlarına uygun faaliyetleri kapsamında işlenebilmesi mümkün hale gelmiştir. Rehber, her bir özel nitelikli kişisel veri işleme şartını detaylı şekilde ele almakta, nasıl yorumlanması gerektiğine dair açıklamalara yer vermekte ve somut örnekler de sunarak uygulamaya ışık tutmaktadır.
Rehber’de son olarak, veri sorumlularının Kanun’un özel nitelikli kişisel veri işlenmesine dair yeni koşullarına uyumu için hangi adımları atması gerektiği de net bir şekilde belirtilmektedir. Bu çerçevede Rehber, kişisel veri işleme envanterinin güncellenmesi, açık rıza süreçlerinin düzenlenmesi, aydınlatma metinlerinde değişiklik yapılması, saklama ve imha politikasını güncellemesi ve veri güvenliği tedbirlerinin güncellenmesi gerektiğine dikkat çekmektedir.
Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.
Diğer İçerikler
15.01.2025 tarihli ve 32783 sayılı Resmî Gazete’de Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun (Kanun) yayımlandı. Kanun ile, 07.05.1987 tarihli ve 3359 sayılı Sağlık Hizmetleri Temel Kanunu’na sağlık verilerinin, sağlık hizmetleri kapsamında sağlık...
Kişisel Verileri Koruma Kurumu (Kurum), Arabuluculuk Faaliyetleri Kapsamında Aydınlatma Yükümlülüğünün Yerine Getirilmesine İlişkin Kamuoyu Duyurusu’nu (Duyuru) yayımladı...
Kişisel Verileri Koruma Kurumu (Kurum) ve Türkiye Bankalar Birliği iş birliği ile hazırlanan Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi (Rehber) güncellendi. Rehber, 12.03.2024 tarih ve 32487 sayılı Resmî Gazete'de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu...
Kişisel Verileri Koruma Kurumu (Kurum) tarafından hazırlanan Kişisel Verilerin Yurt Dışına Aktarılması Rehberi (Rehber), 2 Ocak 2025 tarihinde yayımlandı. Rehber, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) Kişisel Verilerin Yurt Dışına Aktarılması başlıklı 9. maddesinde yapılan kapsamlı...
Kişisel Verileri Koruma Kurumu (Kurum) tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (KVKK) Yapılan 2 Mart 2024 Tarihli Değişiklik Kapsamında Kabahatlerin Zaman Bakımından Uygulanması Bilgi Notu (Bilgi Notu) yayımlandı...
08.11.2024 tarihinde Kişisel Verileri Koruma Kurumu tarafından, Sohbet Robotları (ChatGPT Örneği) Hakkında Bilgi Notu (Bilgi Notu) yayımlandı. Bilgi Notu uyarınca sohbet robotu, kullanıcının bir arayüz aracılığı ile kendisine verdiği görevler ve direktifleri yerine getirmeye çalışan, son kullanıcıyla insan konuşmasını...
6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (Kanun) “Kişisel Verilerin Yurt Dışına Aktarılması” başlıklı 9. maddesinde, 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile önemli değişiklikler yapılmıştı. Bu değişiklikler çerçevesinde, "standart sözleşmeler" kişisel...
26.08.2024 tarihinde Kişisel Verilerin Korunması Kurumu tarafından “Araştırma Şirketlerinin İstatistiksel Araştırma Yapmak Amacıyla ‘Rastgele Numara Çevirme ile Telefon Mülakatı Yöntemi’ Kullanarak Gerçekleştirdikleri Kişisel Veri İşleme Faaliyetleri” Hakkında Kamuoyu Duyurusu yayımlandı...
Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul Ve Esaslar Hakkında Yönetmelik (Yönetmelik) 10.07.2024 tarih ve 32598 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girdi. Öne çıkan düzenlemeler ve değişiklikler aşağıda özetlenir...
17.05.2024 tarihinde Kişisel Verileri Koruma Kurumu (Kurum), 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) değişiklikleri çerçevesinde kişisel verilerin yurt dışına aktarılması bakımından uygun güvence sağlama yöntemleri olarak öngörülen standart sözleşme ve bağlayıcı şirket kurallarına ilişkin taslak...
09.05.2024 tarihinde Kişisel Verileri Koruma Kurumu (Kurum), Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik Taslağı’nı (Taslak) yayımlayarak kamuoyunun görüş ve değerlendirmelerine açtı. Bu kapsamda, Taslak’a ilişkin görüş ve öneriler, 20.05.2024 tarihine kadar Kurum ile...
18.04.2024 tarihinde Kişisel Verilerin Korunması Kurumu ile Kuzey Kıbrıs Türk Cumhuriyeti Kişisel Verileri Koruma Kurulu arasında bir iş birliği protokolü (Protokol) imzalandığı duyuruldu...
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile ilgili değişiklikleri de içeren 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun (Kanun), 12.03.2024 tarih ve 32487 Sayılı Resmî Gazete’de yayımlandı...
6698 sayılı Kişisel Verilerin Korunması Kanunu'nda (KVKK) yıllardır beklenen değişikliğe ilişkin teklif (Teklif) 16.02.2024 tarihinde TBMM Adalet Komisyonu önüne geldi. Avrupa Birliği Genel Veri Koruma Tüzüğü (GVKT) ile benzer düzenlemeler getiren Teklif’in, uygulamada özel nitelikli kişisel verilerin işlenmesi ve...
12.02.2024 tarihinde Kanunlarda Öngörülme Kişisel Veri İşleme Şartına İlişkin Bilgi Notu (Bilgi Notu) yayımlandı. Bilgi Notu, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) m. 5/2(a) bendinde yer alan “kanunlarda açıkça öngörülme” kişisel veri işleme şartının kapsam ve anlamını açıklığa kavuşturmayı...
24.01.2024 tarihinde Kişisel Verilerin Korunması Kurumu tarafından Seçim Faaliyetlerinde Kişisel Verilerin Korunması Rehberi (Rehber) yayımlandı. Rehber’in amacı, seçim faaliyetlerinde yer alan kamu idarelerine, siyasi partilere, adaylara ve seçmenlere 6098 sayılı Kişisel Verilerin Korunması Kanunu...
19.01.2024 tarihinde Kişisel Verilerin Korunması Kurumu tarafından Deepfake Bilgi Notu (Bilgi Notu) yayımlandı. Bilgi Notu’nun amacı, derin öğrenme (deep learning) ve sahte (fake) kelimelerinden oluşturulmuş olan Deepfake teknolojisinin ne olduğunun daha iyi anlaşılabilmesidir. Bilgi Notu’nda yer alan önemli...
Köy Tüzel Kişiliklerinin Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulması Hakkında Kişisel Verileri Koruma Kurulu’nun 14/12/2023 Tarihli ve 2023/2135 Sayılı Kararı, (Karar) 12.01.2024 tarihli ve 32427 sayılı Resmî Gazete’de yayımlandı...
Kişisel Verileri Koruma Kurumu, mağaza alışverişlerini takiben kasa işlemleri sırasında ilgili kişilere SMS ile doğrulama kodu gönderilmesi suretiyle işlenen kişisel veriler hakkında 13.11.2023 tarihli kamuoyu duyurusunu yayımladı. Anılan duyuruda öne çıkan değerlendirmeler aşağıdaki gibidir...
Kişisel Verileri Koruma Kurulu’nun (Kurul) 06.07.2023 tarihli ve 2023/1154 sayılı kararı uyarınca Veri Sorumluları Sicili kayıt yükümlülüğüne istisna getirilmesinde kriter olarak kabul edilen “yıllık mali bilanço toplamı” 25 milyon Türk lirasından 100 milyon Türk lirasına çıkarılmıştır. Söz konusu karar...
İrlanda Veri Koruma Otoritesi’nin (Otorite) Meta Platforms Ireland Limited (Meta Ireland) hakkında 12.05.2023 tarihli kararı (Karar) 22.05.2023 tarihinde duyuruldu. Karar ile Meta Ireland hakkında 1.200.000.000 Euro idari para cezası uygulanmasına karar verildi...
Sigortacılık Verilerinin Toplanması, Saklanması ve Paylaşılmasına Dair Yönetmelik (“Yönetmelik”) 18.10.2022 tarihli ve 31987 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girdi. Yönetmelik ile getirilen önemli düzenlemelerden bazıları...
05.08.2022 tarihinde Kişisel Verilerin Korunması Kurumu (“Kurum”), Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi (“Rehber”) yayımladı. Rehber’in amacı bankalar tarafından yürütülen kişisel veri işleme faaliyetlerinin mevzuata uygun gerçekleştirilmesi konusunda veri sorumlusu...
Avrupa Parlamentosu Araştırma Servisi, 14.07.2022 tarihinde Avrupa Parlamentosu ve Avrupa Konseyi’nin verilere adil erişim ve veri kullanımı hakkında olan ve 23.02.2022 tarihinde yayımlanan uyumlaştırılmış düzenlemeye (“Veri Yasası”) ilişkin etki değerlendirmesi (“IA”) hakkında bilgilendirme metni...
Tapu ve Kadastro Genel Müdürlüğü Merkezi Veri Tabanında yer alan verilerin işlenmesine ve elektronik ortamda yapılacak işlemlere ilişkin usul ve esasları düzenleyen Tapu ve Kadastro Verilerinin İşlenmesi ve Elektronik Ortamda Yapılacak İşlemler Hakkında Yönetmelik, 08.06.2022 tarihli ve 31860 sayılı...
Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”) 19.02.2022 tarihli ve 31755 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girdi.
Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik Yayımlandı
Kişisel Verileri Koruma Kurulu WhatsApp Hakkında Re’sen İnceleme Başlattı
Kişisel Verileri Koruma Kurumu’nun Yeni İlke Kararı
Dernek, Vakıf ve Sendikalara Ait İktisadi İşletmelerin VERBİS’e Kayıt Yükümlülüğüne İlişkin Kurul Kararı Yayımlandı
Kişisel Verileri Koruma Kurulu’nun Whatsapp Hakkında Re’sen Başlattığı İnceleme Sonuçlandı