Kişisel Veri Nedir? Özel Nitelikli ve Biyometrik Veriler ile “Kişisel Veri Bankası” Kavramının Doğru Anlaşılması
Kişisel veriler, sizin hakkınızda bir şeyler söyleyen ve kimliğinizin belirlenmesine doğrudan ya da dolaylı olarak imkân veren bilgilerdir. En bilinen örnekler: ad-soyad, adres, e-posta, yaş ve doğum tarihi gibi veriler olsa da; günümüzde telefon numarası, IP adresi, banka hesap bilgileri ve ulusal kimlik numarası (T.C. kimlik) gibi veriler de kişisel veri olarak değerlendirilebilir.
Kişisel verilerin bazı türleri daha yüksek risk doğurabilir. Bu nedenle “özel nitelikli kişisel veri” kategorileri, kurumlar açısından daha sıkı güvenlik tedbirlerini ve daha dikkatli bir hukuki değerlendirmeyi gerektirir. Sağlık verileri bu kapsamda tipik örneklerdendir. Ayrıca mobil bankacılık gibi uygulamalarda oturum açarken kullanılan yüz tanıma veya parmak izi gibi veriler de biyometrik veri olarak değerlendirilir ve yüksek hassasiyetle korunmalıdır.
Kişisel veri: Kimliği belirli/belirlenebilir kişiye ilişkin bilgi (ad, e-posta, IP, T.C. kimlik vb.).
Özel nitelikli veri: Daha yüksek risk doğuran veri kategorileri (örn. sağlık).
Biyometrik veri: Yüz tanıma/parmak izi gibi kişiye özgü veriler.
“Kişisel Veri Bankası”: Burada bir bilgi sistemi / veri tabanı adı; KVKK’nın kendisi değil.
1. Kişisel Veri Nedir? Örnekler ve Kapsam
Kişisel veriler, kimliği belirli veya belirlenebilir bir kişiye ilişkin her türlü bilgidir. “Sizin hakkınızda bir şey söyleyen” bilgiler, doğrudan kimliğinizi gösterebilir (ad-soyad gibi) ya da başka verilerle birleştirildiğinde kimliğinizi belirlenebilir kılabilir (IP adresi gibi).
| Veri Türü | Örnek | Neden Kişisel Veri Olabilir? |
|---|---|---|
| Kimlik | Ad-soyad, T.C. kimlik no, doğum tarihi | Kişiyi doğrudan tanımlar |
| İletişim | Adres, e-posta, telefon | Kişiye ulaşmayı sağlar |
| Finans | Banka hesap/IBAN, kart bilgileri | Maddi risk ve dolandırıcılık riski doğurur |
| Dijital İz | IP adresi, cihaz ID, oturum kayıtları | Davranış profili oluşturabilir, kişiyi belirlenebilir kılabilir |
Kişisel veri kavramı geniştir: Bir bilginin “tek başına” kimliği göstermemesi, her zaman kişisel veri olmadığı anlamına gelmez. Özellikle dijital ortamlarda, parçalı bilgiler birleştirilerek kişiyi tanımlayabilir.
2. Özel Nitelikli Kişisel Veri ve Biyometrik Veri
Kişisel verilerin bazı kategorileri daha hassastır. Örneğin sağlık verileri, kişinin mahremiyetini ve sosyal hayatını doğrudan etkileyebileceğinden daha yüksek risk doğurur. Bu yüzden özel nitelikli veriler, artırılmış güvenlik ve daha dikkatli süreç yönetimi gerektirir.
2.1. Sağlık verileri
Sağlığınızla ilgili veriler (tanı, tedavi, rapor, laboratuvar sonucu gibi) özel nitelikli kişisel veri örneklerindendir. Bu verilerin işlenmesi ve saklanması; güçlü erişim kontrolü, kayıt (log), şifreleme ve rol bazlı yetkilendirme gibi kontrollerle desteklenmelidir.
2.2. Biyometrik veriler (yüz tanıma / parmak izi)
Mobil bankacılık gibi uygulamalarda oturum açarken kullanılan parmak izi veya yüz tanıma verileri, kişinin fiziksel özelliklerine dayandığı için biyometrik veri olarak değerlendirilir. Bu verilerin ele geçirilmesi; kimlik sahteciliği ve hesap ele geçirme gibi ciddi sonuçlar doğurabileceğinden, güvenlik tedbirleri “standart kişisel veri”ye göre daha sıkı olmalıdır.
3. Bu Veriler Ne Zaman Kullanılabilir? İzin / Onay Mantığı (Genel Çerçeve)
Kişisel veriler; yalnızca hukuka uygun bir dayanak bulunduğunda işlenebilir. Özel nitelikli ve biyometrik veriler söz konusu olduğunda, hukuki değerlendirme ve güvenlik tedbirleri daha kritik hale gelir. Bu nedenle kurumlar, veri işleme faaliyetlerini “kullanabiliriz / kullanamayız” ayrımına göre netleştirmeli, hangi amaçla hangi verinin işlendiğini ve bu veriye kimlerin eriştiğini şeffaf şekilde tanımlamalıdır.
3.1. Kurumların pratikte yaptığı temel kontroller
- Amaç tanımı: Veriyi neden işliyoruz? (kimlik doğrulama, personel işlemleri, hizmet sunumu vb.)
- Veri kategorisi: Kişisel mi, özel nitelikli mi, biyometrik mi?
- Erişim kısıtı: Sadece yetkili rol ve kullanıcılar erişebiliyor mu?
- Saklama süresi: Amaç bittiğinde silme/anonimleştirme akışı var mı?
- Aydınlatma & şeffaflık: İlgili kişiye anlaşılır bilgilendirme yapılıyor mu?
4. Sağlık Bakanlığı “Kişisel Veri Bankası” Nedir? (Sistem İçeriği ve İşleyiş)
“Kişisel Veri Bankası” ifadesi, burada KVKK ile aynı anlama gelen bir kavram değildir; Sağlık Bakanlığı ve bağlı birimlerinde görev yapan personelin özlük ve yetkinlik bilgilerinin tutulduğu web tabanlı bir bilgi sistemi adıdır. Kullanıcılarına internet üzerinden erişim imkânı sağlayan altyapı ile personel, belirli alanlardaki bilgilerini düzenli biçimde güncelleyebilir.
4.1. Hangi tür personel bilgileri bulunabilir?
Veri tabanında sağlık personelinin adı-soyadı, T.C. kimlik bilgileri, sicil numarası, doğum tarihi ve doğum yeri, çalıştığı yer, unvanı, göreve başlama tarihi gibi personeli tanıtıcı bilgiler yer alabilir.
4.2. Dinamik ve güncellenebilir alanlar
Sistem, sağlık personelinin kişisel yetkinliği ve eğitimi ile ilgili bilgileri belirli kurallar çerçevesinde güncellemesine imkân tanıyabilir. Örneğin; kurs, sertifika, bilimsel yayın, bilişim ve yabancı dil bilgileri gibi alanlar güncellenebilir.
| Alan Grubu | Örnek Alanlar | Uygulama Notu |
|---|---|---|
| Özlük / Kimlik | Ad-soyad, T.C. kimlik, sicil no | Yetki ve loglama kritik |
| Kariyer | Unvan, görev yeri, göreve başlama tarihi | İş süreçleriyle bağlantılı |
| Yetkinlik | Kurs, sertifika, yabancı dil, bilimsel yayın | Güncellik ve doğrulama mekanizması önemlidir |
5. Kurumsal Uyum: Güvenlik, Yetkilendirme ve Şeffaflık
Kişisel veri içeren sistemlerin (özellikle sağlık ve biyometri gibi hassas alanlarda) güvenli yönetimi için temel yaklaşım; veri sınıflandırması, erişim kontrolü ve izlenebilirliktir. Bu sayede yetkisiz erişim, yanlış paylaşım veya veri ihlali riski azaltılır.
5.1. Pratik kontrol listesi
- Rol bazlı yetkilendirme: Need-to-know / least privilege yaklaşımı.
- MFA: Özellikle panel/uzaktan erişim hesaplarında.
- Şifreleme: Aktarımda (TLS) ve saklamada (özellikle hassas verilerde).
- Loglama: Kim erişti, neyi görüntüledi, neyi güncelledi?
- Saklama-imha: Amaç bitince silme/anonimleştirme akışı.
- Aydınlatma: İlgili kişilere anlaşılır bilgilendirme ve süreç şeffaflığı.
https://www.nesilteknoloji.com/kisisel-verilerin-korunmasi-kanunu-kvkk-nedir/
6. Sık Sorulan Sorular
IP adresi ve cihaz bilgileri kişisel veri sayılır mı?
IP adresi ve cihaz kimlikleri, tek başına veya başka verilerle birleştirildiğinde kişiyi belirlenebilir kılabildiği için çoğu senaryoda kişisel veri kapsamında değerlendirilebilir. Bu nedenle amaç, saklama süresi ve erişim kontrolü net olmalıdır.
Biyometrik veri neden daha hassas kabul edilir?
Çünkü biyometrik veriler (parmak izi, yüz tanıma vb.) kişinin kimliğini doğrulamak için kullanılan, ele geçirilmesi halinde geri dönüşü zor sonuçlar doğurabilen verilerdir. Bu nedenle artırılmış teknik ve idari tedbir gerektirir.
“Kişisel Veri Bankası” adı KVKK ile doğrudan ilgili mi?
Hayır. Buradaki kullanım bir sistem adı niteliğindedir. Ancak sistem kişisel veri içerdiği için, KVKK çerçevesindeki güvenlik ve uyum prensipleri (yetkilendirme, loglama, saklama-imha, şeffaflık) sistemin işletiminde önem taşır.
