Özel Nitelikli Kişisel Verilerin Aktarılması Nedir?
Özel nitelikli kişisel verilerin aktarılması, kişisel verilerin korunması bakımından oldukça önemli. Konuya temelden bakacak olursak; kişisel veri, kişilere ait tüm bilgileri kapsar. Bu bilgiler kimliği belli ya da belirlenebilecek şekilde bireye ait olan bilgilerdir. Kişisel veri, tanımı gereği gerçek kişiye aittir. Bu bilgilerin özellikleri şöyledir:
Kişisel veri, gerçek kişiyle ilişkin olmalıdır. Tüzel kişilere ait verilerin tamamı kişisel veri tanımının dışında tutulmuştur. Bir şirketin ticari unvanı ya da adresi gibi tüzel kişiliğe ait bilgiler kişisel veri sayılmaz. Bir istisna olarak, bu bilgiler bir gerçek kişiyle ilişkilendirilebilecek veriler ise o durumda tüzel kişilere ait veriler kişisel veri olarak kabul edilir.
Veri, kişiyi belirlenebilir kılmalıdır. Kişisel veri, bireyin doğrudan doğruya kimliğini gösterebilir. Dolaylı yoldan da başka verilerle eşleştirilerek ya da iz sürerek kişinin kimliğinin belirlenmesini sağlayan veriler de kişisel veri sayılır.
Kişisel Veri Kapsamına Giren Bilgiler
Her türlü bilgi kişisel bilgidir. Oldukça geniş bir ifade olan “her türlü bilgi” ifadesi, gerçek kişinin adı, soyadı, doğum tarih ve yeri gibi bireye ait kimlik bilgilerinin yanı sıra telefon numarası, motorlu taşıt plakasından ses kaydı ve parmak izine kadar uzanır.
Kişisel Verileri Koruma Kanunu’nda yer alan “her türlü bilgi” ifadesi, bilgilerde sınırlama olmaması amacıyla yazılmıştır. Geniş kapsamlı bir kişisel data, kişiyle ilişkilendirilebilecek tüm bilgileri ifade eder. Önemli olan nokta, bir data dizisinin kişiye ulaşmayı sağlamasıdır. Bu tip bilgilerin tamamı “kişisel bilgi” kapsamına girer.
Takma isimler ya da kişiye ait olmayan görseller, başka verilerle ilişkilendirilerek bir kişiyi tanımlıyorsa bu bilgiler de kişisel bilgi olarak kabul edilir. Sıkça kullanılan ve kimliği belirlenebilir gerçek kişiyle ilgili olan müşteri şikâyet raporları, çalışanların performans değerlendirme raporları, mülakat inceleme ve değerlendirme raporları gibi rapor belgeleri kişisel bilgidir. Bunun yanı sıra aşağıda yer alan veriler de kişisel veri olarak kabul edilebilir:
• Ses kayıtları
• Görüntü kayıtları
• Görseller (fotoğraf, resim vb)
• Kullanıcının gerçekleştirdiği işlem kayıtları
• Özgeçmiş,
• Maaş bordosu
• Her türlü fatura
• Dekontlar
• Kredi kartı ekstreleri
• Nüfus cüzdanının aslı olmamakla birlikte her türlü kopyası (fotokopi ya da fotoğrafı)
• Mektup
• Davet bildirimleri
Özel Nitelikli Kişisel Veri Nedir?
Hassas veri olarak da adlandırılan özel nitelikli kişisel veriler, üçüncü şahıslar tarafından öğrenildiği zaman, ilgili kişinin mağdur olabilmesine neden olan verilerdir. Bu mağduriyet kişiye karşı ayrımcılığa kadar gidebilir. Bilgileri öğrenildiği takdirde üçüncü şahıslar tarafından maruz bırakılan çeşitli durumlar içine girmesini engellemek için bu bilgiler daha hassasiyetle korunur. Kişisel verilerin özel nitelikli olup olmadığı kanun tarafından tek tek belirtilmiştir. Belirtilenlerin haricindeki veriler özel nitelikli kişisel veri olarak kabul edilemez. Bu nedenle özel nitelikli kişisel veriler, sınırlı olarak kullanılır.
Özel nitelikli kişisel veriler şunlardır:
• Kişilerin ırkı
• Etnik köken
• Siyasi düşünce
• Felsefi inanç
• Din
• Mezhep ya da diğer inançlar
• Kılık, kıyafet
• Dernek, vakıf gibi sivil toplum kuruluş üyeliği
• Sendika üyeliği
• Sağlığı (kişisel sağlık verileri)
• Cinsel hayatı
• Ceza mahkumiyeti
• Güvenlik tedbirleriyle ilgili veriler
• Biyometrik ve genetik veriler
Özel Nitelikli Kişisel Verilerin Aktarılması Şartları
Özel nitelikli verilerin korunması daha büyük hassasiyetler içerdiğinden Kanun tarafından ayrıca şartlar eklenmiştir. Kanuna göre özel nitelikli veri ya da hassas veri olarak kabul edilen veriler, ilgili kişinin açık rızası ya da belirtilen sınırlı hallerde işlenebilir ve aktarılabilir.
Kanuna göre özel nitelikler arasında da bir sınıflandırma bulunur. Sağlık ve cinsel hayata ilişkin olanları ve diğerleri olarak iki sınıfa atfen ayrı ayrı kurallar dizisi tanımlanır.
Sağlık ve cinsel hayata ilişkin hassas veriler
Bu tür veriler, kamu sağlığının korunması, koruyucu hekimlik uygulamaları, tıbbi teşhis ve varsa tedavi, sağlık hizmetlerinin finansmanının planlanması ve yönetimi amaçlarıyla kişinin açık rızası aranmaksızın işlenebilir. Ancak bu verileri işleyecek kişi, kurum ve kuruluşların sır saklama yükümlülüğü altında bulunması gerekir. Sır saklama yükümlülüğü, her meslekte var olan bir yükümlülüktür. Ancak en önemlilerinden bir tanesi sağlık çalışanlarının sır saklamasıdır. Sır saklama yükümlülüğü, hekimlerde Hipokrat’tan bu yana devam eden bir yeminle vicdani olarak kabul edilir. Aynı zamanda, hasta ile hekim arasında var olan ilişkinin niteliğine göre oluşan birçok hukuki sebepten de doğar. Sır kavramı, temelde hem objektif hem de sübjektiftir. Bir sırrın bu yükümlülük altında değerlendirilmesi için meslek sırrı olma niteliklerini de taşıması önemlidir.
Diğer hassas veriler
Hassas Verilerin Aktarılabileceği Güvenli Ülkeler
Kişisel Verileri Koruma Kurulu tarafından belirlenen şartlara göre özel nitelikli verilerin paylaşılabileceği güvenli ülkelerde beklenen koşullar şöyledir:
•Kanun ve bağlı yönetmelikler ışığında, özel nitelikli hassas veri işlenmesi ile ilgili çalışacak personele sürekli güncellenen eğitimler verilir.
•Personelle gizlilik sözleşmesi imzalanır.
•Verilere erişim yetkisi bulunan çalışanların yetki kapsamı ve çalışma süreleri net olarak bildirilir.
•Yetki kontrolleri periyodik aralıklarla gerçekleştirilir.
•Görev değişikliği olan ya da işten ayrılan personelin veriye ulaşımına dair tüm yetkileri ivedilikle kaldırılır. Veri sorumlusu tarafından kendisine verilmiş olan veri envanteri iade alınır.
Elektronik ortam
• Kriptografik anahtarların tamamı birbirinden farklı ortamlarda güvenlikli alanlarda tutulur
• Verilerin üzerinden yapılan işlemlerin tamamı, güvenli kayıt olarak bilgisayar kütüğüne kaydediler (loglanır).
• Verilerin olduğu ortamlar, sürekli güncellenen güvenlik önlemleri ile takip edilir. Güncelleme ve kontrol esnasında yapılması şart olan güvenlik testleri düzenli olarak yapılır ve sonuçlar kayıt altına alınır.
• Verilere bir yazılım ile ulaşım sağlanıyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılır. Yazılımların güvenlik testlerinin düzenli yapılması ve test sonuçlarının kayıt altına alınması sağlanır.
• Verilere uzaktan erişim sağlanıyorsa en az iki kademeli kimlik doğrulama sistemi uygulanır.
Fiziksel ortam
Özel nitelikli hassas verilerin işlendiği, saklandığı ve erişiminin sağlandığı ortamlar fiziksel ortamlar da olabilir.
• Bu ortamlarda, ortamın kendi yapı niteliklerine göre yeterli güvenlik önlemlerinin alınması gereklidir. Bu önlemler, olabilecek bir elektrik kaçağı, yangınla ilgili tehlikeler, su baskını yaşanması, hırsızlık gibi durumlara karşıdır.
• Fiziksel ortamlarda depolanan bilgilere ulaşacak kişilerin yetkilendirilmesi gerekir.
• Yetkisi olmayan kişilerin bu bölgelere girmemesi için fiziksel bir güvenlik sağlanır ve yetkisiz giriş çıkışlar engellenir.
Kişisel verilerin korunması ile ilgili KVKK eğitiim hizmetleri ve diğer veri işlemlerinin sürekliliği için lundodata.com’dan bilgi alabilir, rakiplerinizden bir adım öne çıkabilirsiniz.