Kişisel Verilerin Korunması Kanunu'nda (“KVKK”) yapılan son değişiklikler, özellikle özel nitelikli kişisel verilerin işlenmesi alanında köklü bir dönüşüm başlattı. Bu dönüşüm, önceki dönemin getirdiği kısıtlamaları ortadan kaldırarak veri sorumlularına daha geniş bir hareket alanı sunarken, aynı zamanda Avrupa standartlarına uyum sürecini de hızlandırıyor. Daha önce bu tür verilerin işlenmesi neredeyse tamamen veri sahibinin açık rızası şartına bağlıyken, yeni düzenlemeyle birlikte ek hukuki dayanaklar belirlendi. Bu durum, yalnızca hukuki bir zorunluluk olmaktan öte, operasyonel süreçlerin akışkanlığını ve hukuki güvenliği artıran önemli bir adımdır.

1. Özel Nitelikli Kişisel Veri Tanımı ve Önceki Kısıtlayıcı Uygulama

KVKK, kişisel verileri "özel nitelikli" ve "genel nitelikli" olarak iki ana kategoriye ayırır. Özel nitelikli kişisel veriler, bireylerin en mahrem ve hassas bilgilerini içerir ve bu nedenle işlenmeleri konusunda daha sıkı kurallar uygulanır. Kanun'da bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler olarak sınırlı bir şekilde sayılmıştır.

Değişiklik Kanunu öncesinde, bu hassas verilerin işlenmesi için temel ve neredeyse tek şart veri sahibinin açık rızasının alınmasıydı. Bu durum, özellikle rıza alınmasının pratik olarak imkansız olduğu veya hukuki geçerliliğinin sorgulanabileceği durumlarda, veri sorumlularını ciddi zorluklarla karşı karşıya bırakıyordu. Örneğin, acil sağlık durumlarında rıza alınamayan bir kişinin sağlık verilerinin işlenmesi, hukuken belirsiz bir alanda kalıyordu. Açık rızanın, hukuken en son başvurulması gereken bir sebep olması gerektiği ilkesi düşünüldüğünde, önceki durumun hukuken ne denli sağlıksız olduğu ortadaydı. Ayrıca, sağlık veya cinsel hayata ilişkin veriler ile diğer özel nitelikli veriler arasında yapılan ayrım da, uygulamada karmaşaya neden oluyordu ve bu ayrımın kaldırılması gerektiği yönünde güçlü bir beklenti bulunuyordu.

2. Değişiklikle Gelen Kapsamlı Yenilikler ve Yeni Hukuki Dayanaklar

Uygulamadaki bu "dar boğazın" giderilmesi ve AB'nin Genel Veri Koruma Tüzüğü (“GDPR”) gibi uluslararası standartlara daha fazla yakınlaşma amacıyla yürürlüğe giren Değişiklik Kanunu, özel nitelikli kişisel verilere ilişkin işleme şartlarını önemli ölçüde genişletti. Bu sayede, artık tüm özel nitelikli kişisel veriler (sağlık verileri ve cinsel hayata ilişkin kişisel veriler dâhil) belirli ek hukuki nedenlerin varlığı halinde, ilgili kişinin açık rızası aranmaksızın işlenebilecek. Bu, özellikle veri sorumlularının operasyonel süreçlerinde ciddi bir rahatlama ve hukuki güvence sağlayacak.

Yeni düzenlemeyle birlikte, özel nitelikli kişisel verilerin işlenebileceği hukuki dayanaklar şu şekilde belirlenmiştir:

• İlgili kişinin açık rızasının olması: Her ne kadar diğer dayanaklar genişletilmiş olsa da, veri sahibinin özgür iradesiyle verdiği açık rıza, hala en güçlü ve temel işleme şartlarından biridir.
• Kanunlarda açıkça öngörülmüş olması: Belirli kanunların, özel nitelikli veri işlenmesini açıkça zorunlu kıldığı durumlarda, rıza aranmaksızın veri işleme mümkün hale gelmiştir. Bu, özellikle kamu kurumları ve belirli sektörlerdeki veri sorumluları için önemli bir dayanak oluşturur.
• Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması: Acil durumlar ve rıza alınamayacak hallerde, kişilerin can güvenliğini ve fiziksel bütünlüğünü korumak amacıyla özel nitelikli verilerin işlenmesine izin verilmiştir. Örneğin, bilinci kapalı bir hastanın sağlık geçmişinin, hayatını kurtarmak için işlenmesi bu kapsamda değerlendirilir.
• İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması: Kişinin kendi isteğiyle kamuya açıkladığı özel nitelikli veriler, bu açıklama iradesine uygun olarak işlenebilir. Bu, özellikle kamusal figürler veya sosyal medyada kişisel bilgilerini paylaşan kişiler için geçerlidir.
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması: Hukuki bir hakkın kazanılması, kullanılması veya korunması için özel nitelikli veri işlenmesi gerekiyorsa, bu durumda rıza aranmaz. Örneğin, bir dava sürecinde kişinin sağlık verilerinin delil olarak sunulması bu kategoriye girebilir.
• Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması: Özellikle sağlık sektöründe faaliyet gösteren kurum ve kişiler için hayati öneme sahip bir maddedir. Doktorlar, hastaneler ve ilgili sağlık kuruluşları, kamu sağlığını korumak ve tıbbi hizmetleri sunmak amacıyla hastaların sağlık verilerini rıza aranmaksızın işleyebileceklerdir.
• İstihdam, iş ve sosyal güvenlik veya sosyal hizmetler alanındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması: İşverenler ve ilgili sosyal güvenlik kurumları için büyük bir kolaylık sağlayan bu madde, iş sağlığı ve güvenliği gibi alanlarda, çalışanların özel nitelikli verilerinin işlenmesini yasal bir zemine oturtmaktadır.
• Siyasi parti, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kar amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması: Bu madde, belirli sivil toplum kuruluşlarının veya siyasi oluşumların, kendi üyeleri veya düzenli olarak iletişimde oldukları kişilerle ilgili özel nitelikli verileri, faaliyet amaçları doğrultusunda işleyebilmelerine imkan tanır.