Özel nitelikli kişisel verilerin Kişisel Verilerin Korunması Kanunu kapsamında tanımı yapılmış ve işlenme şartları belirtilmiştir. Buna göre, “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.” Özel nitelikli veriler, Kişisel Verilerin Korunması Kanunu kapsamında sınırlı olarak sayılmıştır. Dolayısıyla, kıyas yoluyla genişletilmesi mümkün değildir.
Özel nitelikli kişisel veriler, ilgili kişilere ilişkin daha hassas verilerdir. Ayrıca, bu kişisel verilerin üçüncü kişiler tarafından öğrenilmesi, ilgili kişinin ayrımcılığa maruz kalmasına ya da mağduriyetine sebep olabilir. Dolayısıyla, özel nitelikli kişisel verilerin daha hassas bir şekilde korunması ve bu verilerin işlenmesi ile şartların daha sıkı olması gerekmektedir. Nitekim, bu durum dikkate alınarak özel nitelikli kişisel veriler hakkında Kişisel Verilerin Korunması Kanunu kapsamında özel bir düzenleme yapılmıştır. Buna göre, özel nitelikli kişisel veriler yalnızca ilgilinin rızası ile veya Kişisel Verilerin Korunması Kanunu’nun 6’ncı maddesinde sayılan sınırlı hâllerde işlenebilir. Ayrıca, özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi açıkça yasaklanmıştır.
Kişisel Verilerin Korunması Kanunu kapsamında, özel nitelikli kişisel veriler arasında bir ayrıma gidilmiştir. Buna göre, sağlık ve cinsel hayata ilişkin kişisel veriler, diğer özel nitelikli kişisel verilerden ayrıştırılmış, sağlık ve cinsel hayata ilişkin kişisel verilerin ilgili kişinin açık rızası olmadan işlenebileceği hâller belirtilmiştir. Sağlık ve cinsel hayata ilişkin verilere örnek olarak; ilgili kişinin tahlil sonucu, kronik hastalıkları, kullandığı ilaçlar, geçirdiği ameliyatlar gösterilebilir. Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından aşağıdaki amaçlarla ilgilinin açık rızası olmaksızın işlenebilir:
- Kamu sağlığının korunması
- Koruyucu hekimlik
- Tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi
- Sağlık hizmetleri ile finansmanının planlanması ve yönetimi
Veri sorumluları, özel nitelikli kişisel verileri işleyebilmek için, Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemleri almakla yükümlüdür. Kişisel Verilerin Korunması Kanunu’nun 8’inci maddesinin 2’nci fıkrası uyarınca, sağlık ve cinsel hayata ilişkin kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın aktarılabilir.
Özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önlemler, Kişisel Verileri Koruma Kurulu tarafından 31/01/2018 tarihli ve 2018/10 sayılı karar ile belirlenmiştir. Bu karara göre alınması gereken tedbirler şunlardır:
- Özel nitelikli kişisel verilerin güvenliğine yönelik; sistemli, kuralları belirli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedür belirlenmelidir.
- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara, Kişisel Verilerin Korunması Kanunu ve yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmelidir.
- Özel nitelikli kişisel veriler ile ilgili olarak, çalışanlarla ve üçüncü kişilerle gizlilik sözleşmeleri yapılmalıdır.
- Özel nitelikli kişisel verilere erişim yetkisine sahip kullanıcıların yetki kapsamları ve süreleri tanımlanmalı ve düzenli aralıklarla yetki kontrolleri yapılmalıdır. Ayrıca, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal değiştirilmesi veya kaldırılması ve veri sorumlusu tarafından tahsis edilen envanterin iade alınması gerekmektedir.
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar elektronik ortam ise:
- Veriler kriptografik yöntemler kullanılarak muhafaza edilmeli
- Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmalı
- Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak tutulmalı
- Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri yapılmalı, gerekli güvenlik testleri düzenli olarak gerçekleştirilmeli ve test sonuçları kayıt altına alınmalı
- Verilere uzaktan erişim gerekiyorsa, en az iki kademeli kimlik doğrulama sistemi kullanılmalıdır.
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar fiziksel ortam ise:
- Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunmalı
- Bu ortamların fiziksel güvenliği sağlanarak, yetkisiz giriş çıkışlar engellenmelidir.
- Özel nitelikli kişisel veriler aktarılacak ise:
- Veriler e-posta yoluyla aktarılacak ise, şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmalı
- Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılacak ise, kriptografik yöntemlerle şifrelenmeli ve kriptografik anahtarlar farklı ortamlarda tutulmalı
- Verilerin farklı fiziksel ortamlardaki sunucular arasında aktarımı gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya SFTP yöntemiyle veri aktarımı yapılmalı
- Verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa; evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmalı ve evrak gizli belge olarak gönderilmelidir.