‘Kişisel veriler’ terimi, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda belirlenen yasal çerçevenin merkezinde yer almaktadır. Kanuna göre, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veridir. Kişisel veriden bahsedebilmek için verinin gerçek bir kişiye ilişkin olması gerekmektedir. Bir şirkete ait unvan, adres, vergi numarası gibi tüzel kişilere ait bilgiler KVKK kapsamında değildir. Bireye ait adı, soyadı doğum yeri ve tarihi bilgilerin dışında bireyin belirlenebilir kılınmasını sağlayan fiziki, ailevi, ekonomik, dini, sosyal özellikleri (motorlu taşıt plakası, mülakat sonuçları, kullandığı elektronik cihazların IP adresleri, ses ve görüntü kayıtları, parmak izleri bilgileri) de kişisel veri niteliği taşımaktadır.
Mobil bankacılık sisteminde müşterinin bankaya verdiği ses kaydı, video gözetim sistemi tarafından yakalanan bireylerin tanınabilir olması hali ve orcdanismanlik@örnek.com gibi e-posta adresleri kişisel veriye örnek olarak verilebilir.
Başkaları tarafından öğrenildiği takdirde kişilerin mağdur olabileceği, ayrımcılığa maruz kalabileceği ya da şeref ve onurunun zedelenmesine yol açabileceği nitelikli verilere özel (hassas) kişisel veriler denir. Özel (hassas) kişisel veriler, kişisel verilerin daha sıkı tedbirlerle korunmasını gerektiren bir kategori türüdür.
Özel nitelikli veriler, Kişisel Verilerin Korunma Kanunu’nun 6.maddesinde sayılmıştır. Kanuna göre; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veriler olarak sayılmıştır.
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, açılanması, yeniden düzenlenmesi, devralınması, aktarılması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işleme kişisel verilerin işlenmesi denilmektedir. Kişisel verilerin bir diskte, sunucuda depolanması, anılan verilerle başkaca hiçbir işlem yapılmasa da bir veri işlenmesi, kişisel verilerin işlenmesine örnek olarak gösterilebilir.
Kişisel Verilerin Korunma Kanunu’nun 5.maddesinde kişisel veri işleme şartları yer almaktadır:
• Açık rıza
• Kanunlarda açıkça öngörülmesi
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
• Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
• İlgili kişinin kendisi tarafından alenileştirilmiş olması
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
Özel nitelikli kişisel verilerin ise kıyas yoluyla genişletilmesi mümkün olmamaktadır. Bu nedenle, kanun özel (hassas) nitelikli kişisel veriler arasında da ayrım yapmıştır ve bu verilerin işlenme şartları Kanunun 6.maddesine özel olarak düzenlenmiştir. Kanuna göre, özel nitelikli kişisel verilerin işlenme şartları şu şekildedir:
• Özel nitelikli kişisel verilerin işlenebilmesi için kural olarak ilgili kişinin açık rızası gerekir.
• İlgili kişinin açık rızası bulunmadığı bazı durumlarda da özel nitelikli kişisel verilerin işlenmesi mümkündür. Ancak, ilgili kişinin açık rızası olmadan bu verilerin işlenebileceği durumlar sağlık ve cinsel hayata ilişkin veriler ile diğer özel nitelikli kişisel veriler bakımından bir ayrıma tabi tutulmuştur.
• Sağlık ve cinsel hayat dışındaki özel nitelikli veriler ancak kanunlarda öngörülen hallerde kişinin açık rızası olmaksızın işlenebilecektir.
• Sağlık ve cinsel hayata ilişkin veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir.
Bununla birlikte, kişisel Verilerin Korunması Kanunu’nda özel nitelikli kişisel verilerin işlenmesi bakımından kurul tarafından belirlenen yeterli önlemlerin alınması şartı getirilmiştir. “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”, 31.01.2018 tarihinde Kişisel Verileri Koruma Kurulunun kararında açıklanmıştır.