Özel Nitelikli Kişisel Veriler KVKK m.6 İşleme Şartları ve 2018/10 Tedbirleri
Özel nitelikli kişisel veriler; kişilerin ayrımcılığa uğraması, itibarının zedelenmesi veya temel hak ve özgürlüklerinin olumsuz etkilenmesi riskini yükselttiği için KVKK kapsamında daha yüksek koruma standardı ile ele alınır. Bu veriler Kanun’da sınırlı sayıda sayılmış olup kıyas yoluyla genişletilemez.
Bu rehber; özel nitelikli kişisel verilerin kapsamını, işlenme koşullarını (açık rıza/istisnalar), sağlık ve cinsel hayata ilişkin verilerde sır saklama yükümlülüğü altında işleme istisnasını ve KVK Kurulu’nun 31/01/2018 tarihli 2018/10 sayılı kararı uyarınca uygulanması gereken yeterli teknik-idari tedbirleri pratik kontrol listeleriyle birlikte sunar.
Kapsam: Irk, etnik köken, siyasi düşünce, felsefi inanç, din/mezhep, kılık-kıyafet, dernek/vakıf/sendika üyeliği, sağlık, cinsel hayat,
ceza mahkûmiyeti ve güvenlik tedbirleri, biyometrik ve genetik veriler.
Kural: Açık rıza olmaksızın işlenemez.
İstisna: Sağlık ve cinsel hayata ilişkin veriler; belirli amaçlarla ve sır saklama yükümlülüğü altında bulunanlar/yetkili kurumlarca rıza aranmaksızın işlenebilir.
2018/10: Özel nitelikli veriler için ek politika, eğitim, gizlilik, erişim yönetimi, kriptografi, loglama, 2FA, güvenli aktarım (KEP/VPN/sFTP) zorunlu yaklaşım.
Uyumun omurgası; asgari veri, rol bazlı erişim ve denetlenebilir kayıt izleridir.
1. Özel Nitelikli Kişisel Veri Nedir? (Kapsam)
KVKK’da özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini/mezhebi veya diğer inançları, kılık ve kıyafeti, dernek/vakıf/sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleri ile biyometrik ve genetik veriler olarak sınırlı şekilde sayılmıştır.
Bu liste, Kanun sistematiği gereği kıyas yoluyla genişletilemez. Dolayısıyla kurumlar, sınıflandırma yaparken “benzer nitelikte” yorumlar üzerinden değil; Kanun’da açıkça belirtilen kategori tanımları üzerinden hareket etmelidir.
Neden Daha Yüksek Koruma Standardı Gerekir?
Özel nitelikli verilerin üçüncü kişilerce öğrenilmesi veya yetkisiz erişime konu olması, ilgili kişi bakımından ayrımcılık, dışlanma, itibar kaybı veya haksızlığa uğrama riskini artırabilir. Bu nedenle özel nitelikli verilerde “tedbir standardı” hem daha sıkı hem de daha denetlenebilir olmalıdır.
2. KVKK m.6: İşleme Şartları ve Sağlık/Cinsel Hayat İstisnası
KVKK kapsamında özel nitelikli kişisel veriler, kural olarak ilgili kişinin açık rızası olmaksızın işlenemez; açık rıza olmadan işleme açıkça yasaklanmıştır. Ancak Kanun’un 6. maddesinde belirlenen sınırlı haller, istisna teşkil eder.
Sağlık ve Cinsel Hayata İlişkin Veriler: Ayrışan Rejim
KVKK, özel nitelikli veriler içinde ayrıca bir ayrım yaparak sağlık ve cinsel hayata ilişkin veriler bakımından, açık rıza aranmaksızın işlenebilecek belirli amaçları tanımlamıştır. Bu kapsamda; sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından:
- Kamu sağlığının korunması,
- Koruyucu hekimlik,
- Tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
- Sağlık hizmetleri ile finansmanının planlanması ve yönetimi
amaçlarıyla ilgili kişinin açık rızası aranmaksızın işlenebilir.
3. 2018/10 Yeterli Tedbirler: Politika, İnsan ve Süreç Yönetimi
Veri sorumluları, özel nitelikli kişisel verileri işlerken KVK Kurulu tarafından belirlenen yeterli tedbirleri almakla yükümlüdür. Bu çerçevede Kurul’un 31/01/2018 tarihli 2018/10 sayılı kararı, uygulamada “asgari kontrol seti” olarak kabul edilen bir tedbir standardı sunar.
Ayrı Politika ve Prosedür Seti
Özel nitelikli verilerin güvenliğine yönelik; yönetilebilir, sürdürülebilir, kuralları net bir şekilde belirlenmiş ayrı bir politika ve prosedür seti oluşturulmalıdır. Bu set; rol-yetki, erişim, saklama-imha, aktarım, olay müdahale ve denetim izlerini kapsamalıdır.
Çalışan ve Tedarikçi Yönetimi
- Eğitim: Özel nitelikli veri süreçlerinde yer alan çalışanlara KVKK, ikincil düzenlemeler ve veri güvenliği konularında düzenli eğitim verilmelidir.
- Gizlilik sözleşmeleri: Çalışanlar ve üçüncü kişiler (tedarikçiler/veri işleyenler dahil) ile gizlilik sözleşmeleri yapılmalı; yükümlülükler ölçülebilir hale getirilmelidir.
- Yetki yönetimi: Erişim yetkileri kapsam ve süre bakımından tanımlanmalı; periyodik yetki kontrolleri yapılmalıdır.
- Offboarding: Görev değişikliği/işten ayrılma halinde yetkiler derhal kaldırılmalı, veri sorumlusu envanteri (cihaz, token, kart vb.) iade alınmalıdır.
4. Teknik Tedbirler: Elektronik ve Fiziksel Ortam Güvenliği
2018/10 kararında; verinin işlendiği, muhafaza edildiği veya erişildiği ortamın elektronik ya da fiziksel olmasına göre ilave tedbirler tanımlanmıştır. Kurumların bu ayrımı süreç bazlı envanterle netleştirmesi gerekir.
Elektronik Ortamda İşleme/Saklama/Erişim
- Kriptografik saklama: Veriler kriptografik yöntemlerle şifrelenerek saklanmalıdır.
- Anahtar yönetimi: Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmalıdır.
- Loglama: Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli şekilde loglanmalıdır.
- Yama ve test yönetimi: Güvenlik güncellemeleri takip edilmeli; periyodik güvenlik testleri yapılmalı ve sonuçlar kayıt altına alınmalıdır.
- Uzaktan erişim: Uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama (2FA/MFA) sağlanmalıdır.
Fiziksel Ortamda İşleme/Saklama/Erişim
- Çevresel riskler: Elektrik kaçağı, yangın, su baskını, hırsızlık vb. risklere karşı yeterli güvenlik önlemleri alınmalıdır.
- Fiziksel erişim kontrolü: Yetkisiz giriş-çıkışlar engellenmeli; alan güvenliği sağlanmalıdır.
- Belge/klasör yönetimi: Kilitli dolap, zimmet, erişim kaydı ve imha prosedürü ile süreç desteklenmelidir.
| Kontrol Alanı | Minimum Beklenti | Kanıt/Çıktı |
|---|---|---|
| Erişim Yetkisi | Asgari yetki, süreli yetki, periyodik kontrol | Yetki matrisi + denetim kayıtları |
| Şifreleme | Veri at-rest şifreleme + anahtar yönetimi | Anahtar prosedürü + konfig kanıtları |
| Loglama | Erişim ve işlem logları, bütünlük koruması | SIEM/Log kayıtları + saklama planı |
| Uzaktan Erişim | 2FA/MFA + güvenli kanal | VPN/MFA kayıtları |
| Fiziksel Güvenlik | Alan kontrolü + çevresel risk önlemleri | Ziyaretçi kayıtları + güvenlik raporu |
5. Özel Nitelikli Verilerin Aktarımı: Güvenli Kanal ve Kontrol Listesi
Özel nitelikli kişisel veriler aktarılacak ise, aktarım kanalı ve taşıma yöntemi “en zayıf halka” haline gelebilir. Bu nedenle 2018/10 kararında aktarım için güvenli yöntemler açıkça vurgulanmıştır.
Aktarım Yöntemleri (2018/10 Kararıyla Uyumlu)
- KEP: Elektronik posta ile aktarım gerekiyorsa Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarım yapılmalıdır.
- Taşınabilir medya: USB/CD/DVD gibi ortamlarla aktarım zorunluysa kriptografik yöntemlerle şifreleme yapılmalı; anahtarlar farklı ortamlarda tutulmalıdır.
- Sunucudan sunucuya aktarım: Farklı fiziksel ortamlardaki sunucular arasında aktarımda VPN kurularak veya sFTP yöntemiyle aktarım yapılmalıdır.
- Kâğıt ortamı: Evrakla aktarım gerekiyorsa kaybolma/çalınma/görülme riskine karşı tedbir alınmalı; evrak “gizli dereceli” belge statüsünde gönderilmelidir.
Uyum Kontrol Listesi (Pratik)
- Özel nitelikli veri süreçleri için ayrı politika/prosedür yayınlandı mı?
- Veri envanterinde özel nitelikli veri akışları (toplama-saklama-aktarım-imha) net mi?
- Yetki matrisi, süreli yetki ve offboarding süreci işletiliyor mu?
- Şifreleme ve anahtar yönetimi için standartlar belirlendi mi?
- Erişim ve işlem logları güvenli şekilde tutuluyor, bütünlüğü korunuyor mu?
- Uzaktan erişimlerde 2FA/MFA ve güvenli kanal uygulanıyor mu?
- Aktarım kanalları (KEP/VPN/sFTP) ve taşınabilir medya kontrolleri tanımlı mı?
- Fiziksel arşiv ve çevresel risk kontrolleri uygulanıyor mu?
- Periyodik güvenlik testleri yapılıyor ve sonuçlar kayıt altına alınıyor mu?
- Veri ihlali müdahale planı özel nitelikli veri senaryolarını kapsıyor mu?
6. Sık Sorulan Sorular (SSS)
Özel nitelikli kişisel veriler kıyas yoluyla genişletilebilir mi?
Hayır. Kanun’da özel nitelikli veriler sınırlı olarak sayılmıştır. Sınıflandırma, Kanun’daki kategori tanımlarına göre yapılmalıdır.
Açık rıza olmadan özel nitelikli veri işlenebilir mi?
Kural olarak işlenemez. İstisnalar, KVKK m.6’da sınırlı şekilde düzenlenmiştir. Sağlık ve cinsel hayata ilişkin verilerde ayrıca belirli amaçlarla rıza aranmayan durumlar vardır.
Sağlık verileri hangi durumda rıza aranmadan işlenebilir?
Kamu sağlığı, koruyucu hekimlik, teşhis-tedavi-bakım hizmetleri ve finansman planlaması/yönetimi amaçlarıyla; sır saklama yükümlülüğü altındaki kişiler veya yetkili kurum/kuruluşlarca işlenebilir.
2018/10 kararının en kritik teknik maddeleri nelerdir?
Şifreleme (veri ve anahtar yönetimi), güvenli loglama, periyodik test ve güncelleme takibi, uzaktan erişimde 2FA/MFA ve güvenli aktarım kanalları (KEP/VPN/sFTP) öne çıkar.
USB ile veri aktarımı zorunluysa ne yapılmalı?
Kriptografik yöntemlerle şifreleme yapılmalı; kriptografik anahtarlar farklı ortamda tutulmalı ve aktarım süreci kayıt altına alınmalıdır.
Özel nitelikli veriler için “ayrı politika” neden gerekli?
Çünkü bu veri kategorisi daha yüksek risk taşır. Rol-yetki, erişim, aktarım, imha ve denetim izlerinin özel nitelikli veri özelinde netleştirilmesi, sürdürülebilir uyumun temelidir.
