Özel Nitelikli Kişisel Verilerin İşlenmesi: Sağlık Verisi, Biyometrik Veri ve Açık Rıza
Giriş
Kişisel verilerin korunması hukukunda en hassas alanlardan biri özel nitelikli kişisel verilerin işlenmesidir. Çünkü bazı veriler, öğrenilmesi halinde kişinin ayrımcılığa uğramasına, toplum içinde damgalanmasına, iş hayatında zarar görmesine, özel hayatının ihlal edilmesine veya ciddi mağduriyet yaşamasına sebep olabilir. Bu nedenle 6698 sayılı Kişisel Verilerin Korunması Kanunu, özel nitelikli kişisel verileri genel kişisel verilere göre daha sıkı koruma altına almıştır.
Sağlık verisi, biyometrik veri, genetik veri, ceza mahkûmiyeti bilgisi, sendika üyeliği, dini inanç, siyasi düşünce, etnik köken ve cinsel hayata ilişkin bilgiler bu kapsamda değerlendirilir. Örneğin bir kişinin kan tahlili sonucu, hamilelik bilgisi, psikiyatrik tedavi geçmişi, engellilik raporu, parmak izi, yüz tanıma kaydı, avuç içi izi veya retina taraması özel nitelikli kişisel veri niteliği taşıyabilir.
Kişisel Verileri Koruma Kurumu, özel nitelikli kişisel verileri; öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikte veriler olarak tanımlamakta ve bu verilerin diğer kişisel verilere göre çok daha sıkı korunması gerektiğini belirtmektedir. Kanunda özel nitelikli kişisel veriler sınırlı sayma yoluyla düzenlenmiştir; yani bu kategori kıyas yoluyla genişletilemez.
Bu yazıda özel nitelikli kişisel verilerin ne olduğu, sağlık verisi ve biyometrik verilerin hangi şartlarda işlenebileceği, açık rızanın ne zaman gerekli olduğu, işverenlerin ve şirketlerin en sık yaptığı hatalar, sağlık kuruluşlarının dikkat etmesi gereken hususlar ve hukuka aykırı işleme halinde doğabilecek yaptırımlar detaylı şekilde ele alınacaktır.
Özel Nitelikli Kişisel Veri Nedir?
Özel nitelikli kişisel veri, kişinin mahremiyet alanına daha yoğun şekilde temas eden ve hukuka aykırı işlenmesi halinde daha ağır sonuçlar doğurabilecek kişisel verilerdir. Kanunda özel nitelikli kişisel veriler sınırlı olarak sayılmıştır. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri, biyometrik verileri ve genetik verileridir.
Bu verilerin özel olarak korunmasının sebebi, sıradan iletişim veya kimlik verilerine göre daha yüksek risk taşımasıdır. Örneğin bir kişinin telefon numarasının paylaşılması da kişisel veri ihlali olabilir; ancak bir kişinin HIV test sonucunun, psikiyatrik tedavi geçmişinin, genetik hastalık riskinin veya sendika üyeliğinin paylaşılması çok daha ağır sonuçlar doğurabilir. Kişi işini kaybedebilir, sosyal çevresinde dışlanabilir, ayrımcılığa uğrayabilir veya özel hayatı ciddi şekilde zarar görebilir.
Bu nedenle özel nitelikli kişisel veriler işlenirken yalnızca “kişiden onay aldık” demek yeterli değildir. Veri işleme amacı belirli olmalı, hukuki sebep doğru seçilmeli, aydınlatma yükümlülüğü yerine getirilmeli, veri minimizasyonu sağlanmalı, saklama süresi belirlenmeli ve Kurul tarafından öngörülen yeterli önlemler alınmalıdır.
2024 Değişiklikleri Sonrası Özel Nitelikli Veri İşleme Şartları
Özel nitelikli kişisel verilerin işlenmesine ilişkin en önemli güncel gelişmelerden biri, 7499 sayılı Kanun ile 6698 sayılı Kanun’un 6. maddesinde yapılan değişikliktir. Kişisel Verileri Koruma Kurumu, 12.03.2024 tarihli Resmî Gazete’de yayımlanan 7499 sayılı Kanun ile özel nitelikli kişisel verilerin işlenmesini düzenleyen 6. maddede değişiklik yapıldığını ve mevcut işleme şartlarına yeni veri işleme şartları eklendiğini açıklamıştır. Bu değişiklikler sonrasında Kurum, veri sorumlularına yol göstermesi amacıyla “Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber” yayımlamıştır.
Güncel düzenlemeye göre özel nitelikli kişisel verilerin işlenmesi yalnızca açık rızaya bağlı değildir. Kanunda sayılan belirli hallerde açık rıza olmadan da özel nitelikli kişisel veri işlenebilir. Bu haller arasında kanunlarda açıkça öngörülme, fiili imkânsızlık nedeniyle rıza açıklayamayacak kişinin hayatı veya beden bütünlüğünün korunması, ilgili kişinin alenileştirdiği verilerin alenileştirme iradesine uygun işlenmesi, bir hakkın tesisi, kullanılması veya korunması için zorunluluk, sağlık hizmetleri ve kamu sağlığı amaçları, istihdam ve iş sağlığı-güvenliği yükümlülükleri gibi sebepler bulunmaktadır.
Bu noktada şirketler ve kurumlar açısından en önemli mesele, her özel nitelikli veri işleme faaliyeti için doğru hukuki sebebin belirlenmesidir. Örneğin bir işverenin çalışanından aldığı sağlık raporu, iş sağlığı ve güvenliği veya istihdam yükümlülükleri bakımından gerekli olabilir. Ancak aynı işverenin çalışanın parmak izini yalnızca mesai takibi amacıyla alması çok daha farklı değerlendirilir. Sağlık kuruluşunun hastaya teşhis ve tedavi sunmak için sağlık verisi işlemesi ile bir sigorta şirketinin sağlık geçmişini poliçe risk analizi için işlemesi de aynı hukuki zeminde değildir.
Sağlık Verisi Nedir?
Sağlık verisi, kişinin fiziksel veya ruhsal sağlığına ilişkin her türlü bilgidir. Kan tahlili sonuçları, röntgen görüntüleri, reçete bilgileri, teşhis kayıtları, ameliyat geçmişi, kullanılan ilaçlar, engellilik raporu, psikiyatrik değerlendirme, hamilelik bilgisi, genetik hastalık riski, tedavi planı, hastane randevu kayıtları ve laboratuvar sonuçları sağlık verisi kapsamında değerlendirilebilir.
Sağlık verileri, özel nitelikli kişisel veriler arasında en hassas kategorilerden biridir. Çünkü sağlık bilgisinin öğrenilmesi, kişinin iş hayatında, aile ilişkilerinde, sosyal çevresinde veya sigorta süreçlerinde ciddi sonuçlar doğurabilir. Bu nedenle sağlık verilerinin işlenmesi, saklanması, aktarılması ve imha edilmesi süreçlerinde yüksek güvenlik standardı aranır.
KVKK kapsamında sağlık verileri, kural olarak özel nitelikli kişisel veridir. Kanun’da sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla işlenebileceği düzenlenmiştir.
Bu nedenle hastane, klinik, doktor, diş hekimi, laboratuvar, eczane, işyeri hekimi, sigorta şirketi, spor merkezi, güzellik merkezi ve insan kaynakları departmanlarının sağlık verisi işlerken çok dikkatli olması gerekir. Her sağlık verisi işleme faaliyeti aynı hukuki sebebe dayanmaz. Somut faaliyet bazında ayrı değerlendirme yapılmalıdır.
Sağlık Verileri Açık Rıza Olmadan İşlenebilir mi?
Evet, bazı durumlarda sağlık verileri açık rıza olmadan işlenebilir. Ancak bunun için Kanun’da öngörülen şartlardan birinin mevcut olması gerekir. Örneğin hastanın muayene edilmesi, teşhis konulması, tedavisinin yürütülmesi, tahlillerinin değerlendirilmesi ve sağlık hizmetinin planlanması amacıyla sağlık verilerinin işlenmesi, sır saklama yükümlülüğü altındaki sağlık meslek mensupları veya yetkili kurumlar bakımından açık rıza olmadan mümkün olabilir.
Buna karşılık sağlık verisinin ticari pazarlama, reklam, üçüncü kişiyle paylaşım, işveren tarafından gereksiz saklama, özel amaçlarla analiz veya hizmetin niteliğiyle bağlantısız kullanım amacıyla işlenmesi halinde açık rıza veya başka bir geçerli hukuki sebep aranacaktır. Sağlık verisinin “zaten hastadan alınmış olması”, onun her amaçla kullanılabileceği anlamına gelmez.
Örneğin özel bir hastanenin hastanın tahlil sonucunu tedavi sürecindeki doktorla paylaşması ile aynı tahlil sonucunu yanlışlıkla ilgisiz üçüncü kişiye e-posta ile göndermesi aynı şey değildir. Kişisel Verileri Koruma Kurulu’nun 20.05.2020 tarihli ve 2020/407 sayılı kararında, tahlil sonuçlarının sağlıkla ilgili özel nitelikli kişisel veri olduğu, bu sonuçların hukuki dayanak olmadan üçüncü kişiye aktarılmasının hukuka aykırı olduğu değerlendirilmiş ve hastane hakkında idari para cezası uygulanmıştır.
Bu karar, sağlık verilerinde “sehven gönderim” savunmasının dahi her zaman sorumluluğu ortadan kaldırmayacağını göstermesi bakımından önemlidir. Sağlık kuruluşları e-posta, SMS, hasta portalı, laboratuvar entegrasyonu, çağrı merkezi ve fiziksel dosya paylaşımı süreçlerinde özel güvenlik tedbirleri almalıdır.
Biyometrik Veri Nedir?
Biyometrik veri, kişinin benzersiz fizyolojik veya davranışsal özelliklerinden elde edilen ve kişinin kimliğinin doğrulanmasına ya da tanımlanmasına yarayan verilerdir. Parmak izi, yüz tanıma verisi, iris, retina, avuç içi, damar izi gibi veriler fizyolojik biyometrik verilere örnektir. Kişinin yürüyüş biçimi, klavyeye basış şekli, imza atarken uyguladığı basınç, akıllı cihaz kullanma biçimi veya araç sürüş davranışı ise davranışsal biyometrik veri kapsamında değerlendirilebilir. Kurul’un biyometrik imzaya ilişkin kararında da biyometrik verilerin genel olarak ömür boyu değişmeden kalan, kişinin bizzat kendisinde taşıdığı özelliklere ilişkin veriler olduğu belirtilmiştir.
Biyometrik verilerin önemi, geri döndürülemez nitelik taşımasından kaynaklanır. Bir kişinin şifresi çalınırsa değiştirilebilir; kredi kartı bilgisi ele geçirilirse kart iptal edilebilir; ancak parmak izi, yüz yapısı veya retina bilgisi değiştirilemez. Bu nedenle biyometrik verilerin işlenmesi, KVKK uygulamasında en yüksek riskli kişisel veri işleme faaliyetlerinden biri olarak kabul edilir.
Biyometrik veriler özellikle işyerlerinde mesai takibi, bina giriş-çıkış kontrolü, spor salonu üyeliği, sağlık kuruluşlarında kimlik doğrulama, bankacılık ve elektronik imza uygulamalarında gündeme gelmektedir. Ancak bu sistemlerin pratik, hızlı veya güvenli görünmesi, her durumda hukuka uygun oldukları anlamına gelmez. KVKK bakımından gereklilik, ölçülülük ve veri minimizasyonu ayrıca değerlendirilmelidir.
Parmak İzi ve Yüz Tanıma ile Mesai Takibi Hukuka Uygun mudur?
İşyerlerinde parmak izi, yüz tanıma, iris taraması veya avuç içi okuma gibi sistemlerle mesai takibi yapılması uzun süredir tartışmalı bir konudur. İşverenler bu sistemleri personel devam kontrolünü kolaylaştırmak, başkasının yerine kart basılmasını önlemek ve dijital kayıt oluşturmak amacıyla kullanmak isteyebilir. Ancak bu amaçlar, biyometrik veri işlemenin her durumda hukuka uygun olduğu anlamına gelmez.
Kişisel Verileri Koruma Kurulu’nun 29.04.2026 tarihli ve 2026/921 sayılı ilke kararına ilişkin duyurusunda, mesai takibi amacıyla biyometrik veri işlenmesi konusunda çok net değerlendirmeler yapılmıştır. Kurul, parmak izi, yüz tanıma, iris ve retina taraması gibi sistemlerin hassas alan oluşturduğunu; özellikle işçi-işveren ilişkisindeki güç dengesizliğinin açık rızanın özgür iradeye dayanıp dayanmadığı konusunda ciddi tereddüt doğurduğunu belirtmiştir.
Aynı duyuruda, mevzuatta çalışma sürelerinin takip edilmesine ilişkin hükümler bulunsa da takibin biyometrik veri işlenerek yapılmasını öngören açık bir kanuni düzenleme bulunmadığı vurgulanmıştır. Kurul ayrıca mesai takibinde biyometrik veri işlenmesinin yalnızca açık rızaya dayandırılmasının kural olarak yeterli hukuki zemin oluşturmayacağını ve alternatif, daha az müdahaleci yöntemler varken biyometrik veri işlenmesinin ölçülülük ilkesini sağlamayacağını ifade etmiştir.
Bu yaklaşım, işverenler açısından son derece önemlidir. Personel devam takibi için şifreli kart, PIN, RFID/NFC kart, geleneksel imza çizelgesi veya denetçi gözetiminde manuel kontrol gibi daha az müdahaleci yöntemler varsa, parmak izi veya yüz tanıma sistemine geçilmesi hukuki risk doğurabilir. Açık rıza alınsa bile bu rızanın işçi-işveren ilişkisinde özgür iradeyle verilip verilmediği tartışmalı olacaktır.
Açık Rıza Her Zaman Yeterli midir?
Hayır. Özel nitelikli kişisel veri işleme faaliyetlerinde açık rıza önemli bir hukuki sebep olsa da her durumda yeterli değildir. Açık rızanın geçerli olabilmesi için belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanması gerekir. Ayrıca açık rıza bulunsa bile veri işleme faaliyeti KVKK’nın genel ilkelerine uygun olmalıdır.
Bu noktada özellikle biyometrik veriler bakımından ölçülülük ilkesi öne çıkar. Kişinin parmak izinin, yüz görüntüsünün veya el geometrisinin alınması ağır bir müdahaledir. Aynı amaca kart, şifre veya kimlik kontrolü gibi daha hafif yöntemlerle ulaşılabiliyorsa, biyometrik veri işlenmesi ölçüsüz kabul edilebilir. Kurul’un 2026 tarihli ilke kararında da açık rıza bulunsa dahi mesai takibi amacıyla biyometrik veri işlenmesinin ölçülülük kriterini sağlamayacağı belirtilmiştir.
Açık rıza özellikle işçi-işveren ilişkisinde ayrıca dikkatli değerlendirilmelidir. Çalışan, işini kaybetme veya olumsuz muamele görme endişesiyle rıza vermek zorunda hissedebilir. Bu nedenle çalışanlara “parmak izi vermeyen çalışamaz” veya “yüz tanıma sistemini kabul etmeyen içeri giremez” denilmesi, açık rızanın özgür iradeye dayanmadığı iddiasını gündeme getirebilir.
Biyometrik Verilerde Kurul Kararlarından Örnekler
Biyometrik verilerin işlenmesine ilişkin Kurul kararları, uygulamadaki sınırları göstermesi bakımından önemlidir. Örneğin bir işletmenin hizmet binasına girişlerde “el geometrisi” bilgisini işlemesine ilişkin 07.07.2022 tarihli ve 2022/662 sayılı kararda Kurul, el geometrisi bilgisinin biyometrik yöntemle kimlik doğrulaması amacıyla işlendiğini ve özel nitelikli kişisel veri niteliği taşıdığını değerlendirmiştir.
Aynı kararda, ilgili kişinin açık rızasının bulunmadığı, işlenecek kişisel verinin kapsamı, amacı, sınırları ve sonuçları hakkında yeterli bilgilendirme yapılmadığı belirtilmiş; Kanun’un 6. maddesinde yer alan işleme şartlarından biri bulunmaksızın biyometrik veri işlendiği gerekçesiyle veri sorumlusu hakkında idari para cezası uygulanmıştır.
Bu karar, işletmelerin “biz parmak izi almıyoruz, yalnızca el ölçüsü alıyoruz” gibi teknik açıklamalarla sorumluluktan kurtulamayacağını göstermektedir. Eğer sistem kişinin fizyolojik özelliği üzerinden otomatik kimlik doğrulaması yapıyorsa, biyometrik veri işleme ihtimali çok güçlüdür. Bu durumda veri sorumlusu, yalnızca teknik sağlayıcının beyanına değil, sistemin gerçek işlevine bakmalıdır.
Özel Nitelikli Verilerde Aydınlatma Yükümlülüğü
Özel nitelikli kişisel verilerin işlenmesinde aydınlatma yükümlülüğü ayrıca önemlidir. İlgili kişi, hangi özel nitelikli verisinin, hangi amaçla, hangi hukuki sebebe dayanarak, kim tarafından, kimlere aktarılmak üzere ve ne kadar süreyle işlendiğini açıkça bilmelidir.
Aydınlatma metninin genel, soyut ve belirsiz olması yeterli değildir. Örneğin “sağlık verileriniz hizmet süreçleri kapsamında işlenebilir” ifadesi tek başına yeterli olmayabilir. Bunun yerine hangi sağlık verisinin hangi süreç için işlendiği açıklanmalıdır. İş başvurusu sürecinde sağlık raporu isteniyorsa bunun hangi pozisyon için neden gerekli olduğu; çalışanlardan periyodik sağlık muayenesi bilgisi alınıyorsa bunun iş sağlığı ve güvenliği yükümlülüğü kapsamında hangi hukuki sebebe dayandığı belirtilmelidir.
Kurul’un işveren tarafından işçiye ait kişisel verilerin ve özel nitelikli verilerin hukuka aykırı işlenmesine ilişkin kararında; çalışanlardan alınan muvafakatnamenin geniş kapsamlı olduğu, veri kategorileri ve işleme amaçlarının muğlak bırakıldığı, parmak izinin veri kategorileri içinde dahi sayılmadığı ve açık rızanın özgür iradeye dayanıp dayanmadığının işçi-işveren ilişkisinde dikkatle değerlendirilmesi gerektiği belirtilmiştir.
Bu nedenle özel nitelikli veriler bakımından aydınlatma metni ve açık rıza metni ayrı düzenlenmelidir. Aydınlatma bilgilendirme, açık rıza ise irade beyanıdır. Kişiye neye rıza verdiği, rıza vermemesi halinde ne olacağı, rızasını geri alıp alamayacağı ve verisinin hangi amaçla kullanılacağı açıkça anlatılmalıdır.
Yeterli Önlemler Alınmadan Özel Nitelikli Veri İşlenemez
Özel nitelikli kişisel verilerin işlenmesinde yalnızca hukuki sebebin bulunması yeterli değildir. Kanun, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınmasını şart koşmaktadır. Kişisel Verileri Koruma Kurulu’nun 31.01.2018 tarihli ve 2018/10 sayılı kararında özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika ve prosedür belirlenmesi, çalışanlara eğitim verilmesi, gizlilik sözleşmeleri yapılması, erişim yetkilerinin tanımlanması, fiziksel ve elektronik güvenlik önlemleri alınması ve aktarım süreçlerinde şifreleme/KEP/VPN/sFTP gibi güvenli yöntemlerin kullanılması gerektiği açıklanmıştır.
Bu nedenle özel nitelikli kişisel veri işleyen şirketler, sağlık kuruluşları, işverenler ve hizmet sağlayıcılar yalnızca metin hazırlamakla yetinmemelidir. Teknik ve idari tedbirler fiilen uygulanmalıdır. Örneğin sağlık raporlarının herkesin erişebildiği ortak klasörde tutulması, parmak izi verilerine yetkisiz personelin erişebilmesi, tahlil sonuçlarının şifresiz e-posta ile gönderilmesi, hasta dosyalarının açık dolaplarda saklanması veya biyometrik verilerin gereksiz süreyle muhafaza edilmesi KVKK açısından ciddi risk doğurur.
Yeterli önlemler kapsamında erişim yetkileri sınırlandırılmalı, log kayıtları tutulmalı, veriler şifrelenmeli, yetkisiz erişim denetlenmeli, fiziki arşivler korunmalı, veri aktarım süreçleri güvenli hale getirilmeli ve özel nitelikli veriler için ayrı saklama-imha politikası oluşturulmalıdır.
Sağlık Kuruluşları Açısından Dikkat Edilmesi Gerekenler
Hastaneler, klinikler, laboratuvarlar, diş hekimleri, psikologlar, psikiyatristler, eczaneler ve özel sağlık merkezleri yoğun şekilde sağlık verisi işler. Bu kuruluşlar açısından sağlık verisi işleme faaliyeti çoğu zaman hizmetin zorunlu parçasıdır. Ancak bu durum, sağlık verilerinin sınırsız şekilde işlenebileceği veya paylaşılabileceği anlamına gelmez.
Sağlık kuruluşları hasta kayıt, randevu, laboratuvar, e-nabız entegrasyonu, sigorta provizyonu, faturalandırma, görüntüleme, reçete, çağrı merkezi ve hasta iletişim süreçlerini ayrı ayrı analiz etmelidir. Her süreçte hangi sağlık verisinin işlendiği, kimin eriştiği, hangi sistemde saklandığı, kimlere aktarıldığı ve ne kadar süre muhafaza edildiği belirlenmelidir.
Özellikle e-posta veya SMS ile tahlil sonucu gönderimi dikkatli yürütülmelidir. Yanlış adrese gönderilen bir tahlil sonucu, yanlış kişiye açılan hasta ekranı veya yetkisiz kişiye verilen sağlık bilgisi ciddi KVKK ihlali oluşturabilir. Kurul’un tahlil sonuçlarının üçüncü kişiye gönderilmesine ilişkin kararında, sağlık verisinin hukuki dayanak olmadan aktarılması nedeniyle idari para cezası verilmesi, bu riskin somut örneğidir.
İşverenler Açısından Özel Nitelikli Veri İşleme
İşverenler çalışanlarına ilişkin birçok özel nitelikli veri işleyebilir. Sağlık raporları, iş göremezlik belgeleri, engellilik durumu, iş kazası kayıtları, periyodik muayene sonuçları, iş sağlığı ve güvenliği kayıtları, ceza mahkûmiyeti bilgileri, sendika üyeliği bilgisi veya biyometrik giriş kayıtları bu kapsamda gündeme gelebilir.
Ancak işverenin çalışan verisi işleme yetkisi sınırsız değildir. İşveren yalnızca gerekli, ölçülü ve hukuki sebebe dayalı verileri işlemelidir. Örneğin tehlikeli işlerde çalışacak bir işçiden işe uygunluk raporu alınması gerekli olabilir. Ancak ofis çalışanından ayrıntılı tüm tıbbi geçmişinin istenmesi, yapılan işin niteliği gerektirmiyorsa ölçüsüz olabilir.
Parmak izi veya yüz tanıma ile mesai takibi ise ayrıca risklidir. Kurul’un 2026 tarihli ilke kararına göre mesai takibi için biyometrik veri işlenmesi, açık rıza bulunsa dahi ölçülülük kriterini sağlamayabilir ve daha az müdahaleci alternatif yöntemler tercih edilmelidir.
Özel Nitelikli Verilerin Hukuka Aykırı İşlenmesinin Sonuçları
Özel nitelikli kişisel verilerin hukuka aykırı işlenmesi halinde veri sorumlusu hakkında idari para cezası uygulanabilir. Bunun yanında kişisel verisi ihlal edilen kişi, veri sorumlusuna başvuru yapabilir, Kişisel Verileri Koruma Kurulu’na şikâyette bulunabilir, maddi ve manevi tazminat davası açabilir ve olayın niteliğine göre savcılığa suç duyurusunda bulunabilir.
Özel nitelikli verilerin hukuka aykırı aktarılması, sıradan veri ihlallerine göre daha ağır sonuçlar doğurabilir. Sağlık verisi veya biyometrik verinin üçüncü kişilere açıklanması, kişinin özel hayatına ciddi müdahale oluşturur. Bu nedenle tazminat davalarında manevi zarar iddiası daha güçlü şekilde ileri sürülebilir.
Şirketler açısından risk yalnızca idari para cezası değildir. Müşteri güveni, çalışan bağlılığı, marka itibarı, iş ilişkileri ve ticari güvenilirlik de zarar görebilir. Özellikle sağlık verisi sızıntısı, parmak izi verilerinin yetkisiz erişime açılması veya çalışanların biyometrik verilerinin hukuka aykırı işlenmesi kamuoyu nezdinde ciddi itibar kaybı yaratabilir.
Şirketler İçin Uygulanabilir Kontrol Listesi
Özel nitelikli kişisel veri işleyen bir şirket veya kurum öncelikle hangi özel nitelikli verileri işlediğini tespit etmelidir. Sağlık verisi, biyometrik veri, ceza mahkûmiyeti bilgisi, sendika bilgisi veya genetik veri işlenip işlenmediği açıkça belirlenmelidir.
Ardından her veri işleme faaliyeti için hukuki sebep belirlenmelidir. Açık rıza mı alınacak, kanuni yükümlülük mü var, istihdam ve iş sağlığı güvenliği yükümlülüğü mü söz konusu, sağlık hizmeti kapsamında mı işleniyor, yoksa bir hakkın tesisi veya korunması için mi gerekli? Bu sorular cevaplanmadan özel nitelikli veri işlenmemelidir.
Daha sonra aydınlatma metinleri hazırlanmalı, gerekiyorsa açık rıza metinleri ayrıca düzenlenmeli, özel nitelikli veriler için saklama-imha süreleri belirlenmeli, erişim yetkileri sınırlandırılmalı, çalışanlara eğitim verilmeli, gizlilik taahhütleri alınmalı, teknik güvenlik önlemleri uygulanmalı ve veri aktarım süreçleri güvenli hale getirilmelidir.
Özellikle biyometrik sistemler bakımından şu soru mutlaka sorulmalıdır: Aynı amaca daha az müdahaleci bir yöntemle ulaşılabilir mi? Cevap evet ise biyometrik veri işlemek hukuki risk doğuracaktır.
Sonuç
Özel nitelikli kişisel verilerin işlenmesi, KVKK’nın en hassas ve en riskli alanlarından biridir. Sağlık verisi, biyometrik veri, genetik veri, ceza mahkûmiyeti bilgisi, sendika üyeliği ve benzeri veriler, kişilerin özel hayatına doğrudan temas eder ve hukuka aykırı işlenmeleri halinde ağır mağduriyetlere yol açabilir.
Sağlık verileri bakımından sağlık hizmetinin yürütülmesi, tıbbi teşhis, tedavi ve bakım süreçleri belirli şartlarda açık rıza olmadan yürütülebilir. Ancak sağlık verilerinin ilgisiz üçüncü kişilere aktarılması, gereksiz şekilde saklanması veya amaç dışı kullanılması hukuka aykırılık oluşturur. Biyometrik veriler bakımından ise parmak izi, yüz tanıma, iris taraması, el geometrisi ve benzeri sistemler çok daha sıkı değerlendirilir. Özellikle mesai takibi amacıyla biyometrik veri işlenmesi, 2026 tarihli Kurul yaklaşımı çerçevesinde ciddi hukuki risk taşımaktadır.
Sonuç olarak özel nitelikli kişisel veri işleyen her şirket, işveren, sağlık kuruluşu ve hizmet sağlayıcı; veri işleme faaliyetini hukuki sebep, ölçülülük, veri minimizasyonu, aydınlatma, açık rıza, saklama süresi, aktarım güvenliği ve yeterli önlemler bakımından ayrı ayrı değerlendirmelidir. Doğru yürütülen bir KVKK uyum süreci, hem idari para cezası ve tazminat riskini azaltır hem de kişilerin mahremiyetini ve temel haklarını korur.