Kişisel Verileri Koruma Kurumu özel nitelikli kişisel verilerin işlenmesine dair yeni bir rehber yayımladı

Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından, 26 Şubat 2025 tarihinde Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber (“Rehber”) yayınlanmıştır. Rehber, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) yapılan değişiklikler sonucunda 1 Haziran 2024 tarihinde yürürlüğe giren özel nitelikli kişisel verilerin işlenmesine ilişkin yeni kurallara açıklık getirmektedir.

Kanun değişikliği ile özel nitelikli kişisel verilerin ilgili kişilerin açık rızası alınmaksızın işlenebileceği hallerin kapsamı genişletilmiştir. Özellikle şirketler bakımından, işverenlerin istihdam ile iş sağlığı ve güvenliğine ilişkin hukuki yükümlülüklerini yerine getirebilmeleri amacıyla sağlık verileri de dâhil olmak üzere özel nitelikli kişisel verileri çalışanlarının açık rızası olmaksızın işlemelerine imkân tanınarak bu konudaki yasal boşluk giderilmiştir.

Rehber, kanun değişikliği ile getirilen yeni kuralların uygulanması bakımından atılması gereken adımlar konusunda veri sorumlusu sıfatıyla hareket eden şirketlere detaylı bir yönlendirme sağlamaktadır:

1. Veri envanterinin güncellenmesi. Veri sorumluları, özel nitelikli kişisel verileri işleme faaliyetlerine ilişkin uygulanabilir hukuka uygunluk sebeplerini yeni kurallar ışığında gözden geçirmeli ve veri envanterlerinin bu doğrultuda güncellenmesini sağlamalıdır.

2. Açık rızaların değerlendirilmesi. Rehber’de açıklandığı üzere, KVKK kapsamında açık rıza dışındaki istisnai işleme sebeplerinden birinin geçerli olduğu hallerde açık rıza alınmamalıdır. Kurum, kişisel verilerin işlenmesine dair farklı bir hukuki sebebin bulunduğu hallerde açık rıza alınmasının ilgili kişi bakımından yanıltıcı nitelikte olduğunu ve bu durumun KVKK açısından ihlal teşkil edeceğini değerlendirmektedir. Bu nedenle veri sorumluları özel nitelikli kişisel verileri işlemek için açık rızaya dayandıkları halleri yeniden değerlendirmeli ve verilerin artık açık rıza yerine başka bir hukuka uygunluk sebebine dayalı olarak işlenip işlenemeyeceğini belirlemelidir.

3. Aydınlatma metinlerinin güncellenmesi. Özel nitelikli kişisel verilerin işlenmesine ilişkin uygulanabilir hukuka uygunluk sebeplerinde meydana gelen herhangi bir değişiklik veri sorumlularının ilgili kişileri aydınlatma yükümlülüğüne uyması amacıyla veri sorumluları tarafından sağlanan aydınlatma metinlerine de yansıtılmalıdır. Söz konusu değişikliklerin şeffaflığın sağlanması amacıyla yeni aydınlatma metinleri ile ilgili kişilere bildirilmesi gerekmektedir.

4. Veri saklama ve imha politikasının güncellenmesi. Veri sorumlularının, özel nitelikli kişisel verilerin işlenmesine ilişkin yeni hukuka uygunluk sebepleri kapsamında kişisel verilerin gereğinden daha uzun süre saklanmamasını sağlamak amacıyla veri saklama ve imha politikalarını gözden geçirmeleri gerekmektedir.

5. Veri güvenliğine ilişkin tedbirlerin alınması. Özel nitelikli kişisel verilerin işlendiği durumlarda veri sorumluları söz konusu verilerin hukuka aykırı şekilde işlenmesinin veya bu verilere yetkisiz erişimin önlenmesi ve bir bütün olarak özel nitelikli kişisel verilerin korunması ve güvenliğinin sağlanması amacıyla Kurum’un 31 Ocak 2019 tarihli ve 2018/10 sayılı kararında belirttiği ilave teknik ve idari tedbirleri almakla yükümlüdür. Söz konusu güvenlik tedbirleri açık ve sürdürülebilir politikalar ile veri güvenliği prosedürlerinin oluşturulması, çalışanlar için erişim yetkilerinin ve düzenli eğitimlerin organize edilmesi ve gizlilik sözleşmelerinin yapılmasını kapsamaktadır. Bu doğrultuda veri sorumlularının hâlihazırda mevcut olan özel nitelikli kişisel verilerin işlenmesine ilişkin veri güvenliği tedbirlerini gözden geçirmeleri önem arz etmektedir.