Avrupa Veri Koruma Hukuku Bağlamında Özel Nitelikli Kişisel Verilerin İşlenmesi
Sorularınız için, lütfen bizimle iletişime geçin, ekibimiz tüm sorularınızı cevaplamaya hazır.
Avrupa Konseyi Bakımından Özel Nitelikli Kişisel Verilerin Korunması
Avrupa Konseyi bakımından özel nitelikli ya da hassas veriler olarak tanımlanan veriler şu şekilde kategorize edilmiştir: Genetik veriler; Suçlara, cezai kovuşturmaya, ceza mahkûmiyetine ve ilgili güvenlik tedbirlerine ilişkin kişisel veriler; Kişiyi ayırt edilebilir şekilde belirli kılan biyometrik veriler; Irk, etnik köken, siyasi düşünce, sendika üyeliği, dini ve diğer inançlar, sağlık veya cinsel hayata ilişkin bilgi sağlayan kişisel veriler.
Avrupa Konseyi, Kişisel Verilerin İşlenmesi Karşısında Bireylerin Korunması için Modernize Edilmiş Sözleşme’nin[1] 6. Maddesinde ulusal kanunlarla Sözleşmenin öngördüğü tedbirleri tamamlayan nitelikteki uygun güvencelerin düzenlendiği hallerde izin verilir demekle özel nitelikli kişisel verilerin işlenmesi hususunu uygun yasal güvencelerin sağlanması şartıyla Sözleşmeye taraf ülkelerin iç hukukuna bırakmıştır.
AİHM’nin sağlık verilerinin işlenmesine ilişkin öne çıkan içtihadı içerisinde 648/10 sayılı ve 17 Şubat 2015 tarihli Y v. Türkiye kararı ön plana çıkmaktadır. Derdest davada başvuran HIV pozitif bir hasta olup tedavi amacıyla hastaneye sevk edilirken ambulans ekibi tarafından başvuranın AIDS hastası olduğuna dair bilgi hastane ekibine verilmiştir. Başvuran bahse konu sağlık durumuna ilişkin verilerinin hastane personeline bilgisi haricinde aktarılmasının özel hayatının gizliliği hakkının ihlali anlamına geleceğini savunmuştur. AİHM, HIV pozitif olan bireyler bakımından ayrımcılığa maruz kalma ve profil çıkarma gibi olumsuz uygulamalardan kaynaklı risklerin olasılığını teyit etmiş ve kişisel verilerin korunması hususundaki içtihadını tekrarlamıştır. Ancak hastaya tıbbi müdahalede bulunması gereken çalışanların virüs bulaşması riskine karşı güvenliklerinin sağlanması ihtiyacını göz önünde bulundurarak gerekli güvenlik tedbirlerinin alınması ve hastanın sağlık verilerine yalnızca görevleri gereği bu verilere ulaşması gereken hekim ve diğer tıp alanında istihdam edilen profesyonel görevlilerin erişim sağlaması koşuluyla hastanın verilerinin paylaşılmasının özel hayatın gizliliği hakkının ihlali anlamına gelmeyeceğine karar vermiştir.
Avrupa Birliği Bakımından Özel Nitelikli Kişisel Verilerin Korunması
Irk veya etnik köken, siyasi görüşler, dini veya felsefi inançlar ya da sendika üyeliğinin ifşa edildiği kişisel verilerin işlenmesi ve bir gerçek kişinin kimlik teşhisinin yapılması amacıyla genetik veriler ile biyometrik verilerin, sağlık ile ilgili verilerin veya bir gerçek kişinin cinsel yaşamı veya cinsel eğilimine ilişkin veriler olarak tanımlanan özel nitelikli kişisel verilerin işlenmesi bakımından özellikle AB Genel Veri Koruma Tüzüğü’nün (GDPR) 9. Maddesi (mülga edilen 95/46/EC sayılı Direktif Md. 7(f)), olmak üzere AB hukuku(acquis communitaire) detaylı bir koruma rejimi ön görmektedir. Kural olarak özel nitelikli kişisel verilerin işlenmesi yasaktır.
Bununla birlikte GDPR’ın 9. Maddesinin 2. Fıkrasında özel nitelikli kişisel verilerin işlenmesi için meşru bir gerekçe olarak kabul edilen sınırlı sayıda hukuka uygunluk sebepleri ön görülmüştür. Buna göre aşağıdaki hallerde özel nitelikli kişisel veriler işlenebilir:
- veri sahibinin belirtilen bir veya daha fazla sayıda amaca yönelik olarak söz konusu kişisel verilerin işlenmesine açık bir şekilde rıza göstermesi;
- AB veya üye devlet hukuku çerçevesinde ya da üye devlet hukuku uyarınca yapılan ve veri sahibinin temel hakları ve menfaatlerine yönelik uygun güvencelerin sağlandığı bir toplu sözleşme çerçevesinde izin verildiği sürece, veri sorumlusunun veya veri sahibinin istihdam ve sosyal güvenlik ve sosyal hukuku koruma alanındaki yükümlülüklerinin gerçekleştirilmesi ve spesifik haklarının kullanılması amacıyla işleme faaliyetinin gerekmesi;
- veri sahibinin fiziksel veya hukuki olarak rıza veremeyecek durumda olması halinde, veri sahibi veya başka bir gerçek kişinin hayati menfaatlerinin korunması açısından işleme faaliyetinin gerekli olması;
- işleme faaliyetinin bir vakıf, birlik veya kar amacı gütmeyen başka bir organ tarafından siyasi, felsefi, dini veya sendika amacıyla uygun güvencelerle birlikte yürütülen meşru faaliyetleri esnasında işlemenin ve yalnızca organın üyeleri veya eski üyeleri ya da amaçlarıyla bağlantılı olarak kendisi ile düzenli olarak temas halinde bulunan kişilerle ilgili olması ve kişisel verilerin veri sahiplerinin rızası olmaksızın söz konusu organ dışında açıklanmaması koşuluyla gerçekleştirilmesi;
- işleme faaliyetinin veri sahibi tarafından açık bir biçimde kamuya açıklanan kişisel verilerle ilgili olması;
- yasal iddialarda bulunulması, bu iddiaların uygulanması veya savunulması açısından veya mahkemeler kendi yargı yetkisi çerçevesinde hareket ettiğinde, işleme faaliyetinin gerekmesi;
- gözetilen amaçla orantılı olan, veri koruma hakkının özüne zarar vermeyen ve veri sahibinin temel hakları ve menfaatlerinin güvence altına alınması adına uygun ve spesifik tedbirler sağlayan AB veya üye devlet hukukuna dayalı olarak kayda değer ölçüde kamu yararı adına nedenlerden ötürü işleme faaliyetinin gerekmesi;
- koruyucu hekimlik veya meslek hekimliği amaçları doğrultusunda, AB ya da üye devlet hukukuna dayalı olarak veya bir sağlık profesyoneli ile yapılan sözleşme uyarınca ve mesleki gizlilik yükümlülüğü veya ulusal yetkin organlar tarafından konan kurallara tabi olarak bir profesyonel tarafından veya söz konusu profesyonelin sorumluluğu altında işlenmesi şartıyla çalışanın çalışma kapasitesinin değerlendirilmesi, tıbbi tanı, sağlık veya sosyal bakım hizmetlerinin veya tedavinin sağlanması ya da sağlık veya sosyal bakım sistemleri ve hizmetlerinin yönetilmesi açısından işleme faaliyetinin gerekli olması;
- sağlığa yönelik ciddi sınır ötesi tehditlere karşı koruma sağlanması veya sağlık hizmetleri ve tıbbi ürünler ya da tıbbi cihazlara ilişkin yüksek kalite ve emniyet standartları sağlanması gibi halk sağlığı alanında kamu yararına yönelik olarak işleme faaliyetinin gerekmesi
- gözetilen amaçla orantılı olan, veri koruma hakkının özüne saygı gösteren ve veri sahibinin temel hakları ve menfaatlerinin güvence altına alınmasına uygun ve spesifik tedbirler sağlayan Birlik veya üye devlet hukukuna dayalı olarak, kamu yararına yönelik arşivleme amaçları, bilimsel veya tarihi araştırma amaçları ya da istatistiki amaçlar doğrultusunda işleme faaliyetinin gerekmesi.
Yukarıda açıklandığı üzere mesleki gizlilik yükümlülüğüne tabi bir tıp alanında çalışan hekim vb. görevlilerle imzalanan sözleşmeler haricinde özel nitelikli kişisel verilerin işlenmesi için veri sahibi ile akdedilen bir sözleşmeye dayanılması veri işleme faaliyeti için hukuki meşruiyet sebebi olarak kullanılamaz.[2]
Veri Sahibinin Açık Rızası
AB hukuku bakımından özel nitelikli olsun ya da olmasın kişisel verilerin işlenmesi için başta gelen hukuka uygunluk sebebi veri sahibinin rıza göstermesidir. Özel nitelikli kişisel veriler açısından gerekli olan rıza ilgilinin açık rızasıdır. Ancak AB veya üye devletler özel nitelikli kişisel verilerin işlenmesi yasağının veri sahibi tarafından kaldırılamayacağına ilişkin bir düzenleme getirebilirler.[3] Örneğin veri işleme faaliyetinin veri sahibi bakımından olağan dışı riskler içermesi durumlarında bu yönde düzenleme yapılması mümkündür.
İş hukuku, sosyal güvenlik ya da sosyal koruma hukuku
AB hukukuna göre istihdam ya da sosyal güvenlik hukuku alanında veri sorumlusu ya da veri sahibinin tabi olduğu yükümlülüklerin yerine getirilebilmesi için kişisel verilerin işlenmesi gerektiği takdirde GDPR Md. 9(1)’de belirtilen veri işleme yasağı geçerli olmayacaktır. Ancak veri işleme faaliyetinin AB veya üye devlet hukuku tarafından açıkça ön görülmesi veya veri sahibinin temel hakları ve menfaatlerine yönelik uygun güvencelerin sağlandığı bir toplu sözleşme çerçevesinde izin verilmesi gereklidir. Şirketlerin AB ya da ulusal mevzuat gereği istihdam ilişkisi kapsamında personellerinin özlük dosyalarında tuttukları bilgiler özel nitelikli kişisel verileri de ihtiva edebilmektedir. Bu tür verilere sendika, dernek üyeliği ve sağlık verileri örnek olarak gösterilebilir.
Veri sahibi ya da üçüncü kişilerin hayati çıkarları
AB hukukuna göre özel nitelikli olmayan kişisel verilerde olduğu gibi özel nitelikli veriler de veri sahibinin ya da başka bir gerçek kişinin hayati çıkarları için gerekli olması nedeniyle işlenebilirler.[4] Eğer başka bir gerçek kişinin hayati çıkarları için kişisel verilerin işlenmesi gerekiyorsa bu meşruiyet nedeni yalnızca başka hukuka uygunluk sebeplerinden yararlanamaması durumunda kullanılabilir.[5] (ultima ratio) İnsani amaçlarla kişisel verilerin işlenmesinde olduğu gibi bazı durumlarda hem bireysel hem de kamu yararı gözetilerek veri işleme faaliyetleri gerçekleştirilebilir.[6] Özel nitelikli kişisel verilerin ilgilinin hayati çıkarlarının korunması amacıyla işlenebilmesi için veri sahibinin bilincini yitirmiş olması, yerinin bilinememesi ve kendisine ulaşılamaması gibi nedenlerle rızasına başvurulamıyor olması şarttır. Başka bir deyişle veri sahibinin fiziki ya da hukuki nedenlerle rızasını verme imkânının bulunmaması gerekir. Aksi takdirde öncelikle veri sahibinin açık rızasına başvurulmalıdır.
Dernekler ya da kar amacı gütmeyen kuruluşlar
Vakıf, birlik veya kar amacı gütmeyen başka bir organ tarafından siyasi, felsefi, dini veya sendika amacıyla uygun güvencelerle birlikte yürütülen meşru faaliyetleri esnasında işlemesi bahse konu kurumların yürüttüğü faaliyetlerin kamu yararına olması nedeniyle meşru kabul edilmektedir. Ancak bu durumda işlenen veriler yalnızca bahse konu kuruluşun üyeleri veya eski üyeleri ya da amaçlarıyla bağlantılı olarak kendisi ile düzenli olarak temas halinde bulunan kişilerle ilgili olması şartı söz konusudur.[7]Ayrıca kişisel verilerin veri sahiplerinin rızası olmaksızın söz konusu kurumların dışında yer alan üçüncü taraflara açıklanmaması gerekir.
İlgili kişinin kendisi tarafından kişisel verilerinin açık bir biçimde alenileştirilmiş olması
GDPR’ın9 (2) (e). Maddesine göreişleme faaliyetinin veri sahibi tarafından açık bir biçimde kamuya açıklanan kişisel verilerle ilgili olması durumunda kişisel verilerin işlenebileceği belirtilmektedir. Her ne kadar veri sahibi tarafından açık bir biçimde kamuya açıklanmış olma kavramının bir tanımı verilmemiş olsa da bahse konu hukuka uygunluk nedeninin özel nitelikli kişisel verilerin işlenmesi yasağının bir istisnası olması nedeniyle dar bir şekilde yorumlanması ve veri sahibinin bilinçli bir şekilde özgür iradesiyle kişisel verilerini alenileştirmiş olması şartının aranması gerekmektedir. Dolayısıyla örneğin bir televizyon kanalında yangına müdahale eden bir itfaiye görevlisinin görevini icra ettiği sırada yaralanması olayının gösterilmiş olması itfaiye görevlisinin görüntülerinin yayımlanmasına açık bir şekilde rıza göstermiş olduğu şeklinde yorumlanamaz. Ancak itfaiye görevlisi kamuya açık bir web sayfası ya da kişisel sosyal medya hesabı üzerinden yaşanılan olayı açıklamak için görüntü ve fotoğraflarını yayımlamaya karar vermesi durumunda kendi iradesiyle aktif bir eylemiyle kişisel verilerini alenileştirmiş olduğu iddia edilebilir. Bu noktada bir kişinin kişisel verilerini alenileştirmesinin açık rıza gösterdiği şeklinde yorumlanamayacağının belirtilmesi gerekir. Ne var ki bu durum özel nitelikli kişisel verilerin işlenmesi için bir meşruiyet nedeni olarak kullanılabilir.
Veri sahibinin kişisel verilerini alenileştirmiş olması veri sorumlularının ilgili veri koruma mevzuatından kaynaklanan diğer yükümlülüklerini ortadan kaldırmayacaktır. Örneğin amaç bakımından veri işlemenin sınırlandırılması ilkesi kişisel verilerin bizzat veri sahibi tarafından alenileştirilmiş olması durumunda da uygulanmaya devam edecektir.[8]
Yasal iddialarda bulunulması
Yasal iddialarda bulunulması, bu iddiaların uygulanması veya savunulması açısından veya mahkemelerin yargı yetkisi çerçevesinde hareket ettiği durumlarda duruşmalarda ya da idari ya da mahkeme haricindeki uzlaşma vb. prosedürler kapsamında gerekli olduğu ölçüde kişisel verilerin işlenmesi mümkündür[9] ve bu amaçla kişisel verilerin işlenmesine GDPR izin vermektedir.[10] Bu durumda kişisel verilerin işlenmesine spesifik bir yasal iddiada bulunulması veya bu iddianın uygulanması ya da savunulması için gerekli olması şartı aranmaktadır. Bir uyuşmazlığın çözümü için muhakeme işlemleri yürütülürken mahkemelerin özel nitelikli kişisel verileri işlemesi gerebilmektedir. Örneğin soy bağının tespit edilmesi amacıyla genetik testlerin yaptırılması, bir suç mağdurunun maruz kaldığı yaralanmanın detaylarının araştırılması için sağlık muayenesinin yapılması gibi işlemler buna örnektir.
Kayda değer ölçüde kamu yararı adına kişisel verilerin işlenmesi
GDPR Madde 9 (2) (g)’e göre üye devletler aşağıda sıralanan nedenlerden ötürü özel nitelikli kişisel verilerin işlenmesine izin verecek düzenlemeler kabul edebilirler:
- Kayda değer ölçüde bir kamu yararı adına kişisel verilerin işlenmesinin gerekmesi;
- Kişisel verilerin işlenmesine AB ya da ulusal hukuk tarafından izin verilmesi;
- Kişisel verilerin işlenmesine izin veren AB ya da ulusal hukuk hükümlerinin gözetilen amaçla orantılı olan, veri koruma hakkının özüne zarar vermeyen ve veri sahibinin temel hakları ve menfaatlerinin güvence altına alınması adına uygun ve spesifik tedbirlere yer vermesi.
Bu kapsamda kişisel sağlık verilerinin elektronik olarak dosyalandığı sistemler örnek olarak verilebilir. Söz konusu elektronik sistemler sayesinde bir hastanın tedavi edilmesi amacıyla sağlık hizmeti sağlayan kurum ve kuruluşlarca toplanan kişisel veriler genellikle ulusal boyutta hastanın tedavisinin daha hızlı ve verimli bir şekilde yapılabilmesi/devam edilebilmesi için diğer sağlık kurumlarının kullanımına açılmaktadır. 29. Madde Çalışma Grubu 95/46/EC sayılı Direktifin hükümleri kapsamında bahse konu elektronik sistemlerin oluşturulmasının mümkün olmadığını belirtmiştir.[11] Bununla birlikte kayda değer ölçüde bir kamu yararının söz konusu olduğu durumlarda elektronik sağlık dosya sistemlerinin oluşturulabilmesi mümkündür.[12] Bunun için kurulması ön görülen sistemlerin uygun güvenlik tedbirleriyle korunmasını temin edecek güvencelerin sağlandığı açık bir yasal düzenlemenin bulunması şarttır.
Özel nitelikli kişisel verilerin işlenmesi için geçerli diğer hukuka uyguınluk nedenleri
GDPR, aşağıdaki amaçlar için kişisel verilerin işlenmesinin gerekli olduğu durumlarda özel nitelikli kişisel verilerin işlenmesine imkan tanımaktadır:[13]
- koruyucu hekimlik veya meslek hekimliği amaçları doğrultusunda, mesleki gizlilik yükümlerine tabi olmak koşuluyla çalışanın çalışma kapasitesinin değerlendirilmesi, tıbbi tanı, sağlık veya sosyal bakım hizmetlerinin veya tedavinin sağlanması ya da sağlık veya sosyal bakım sistemleri ve hizmetlerinin yönetilmesi açısından işleme faaliyetinin gerekli olması
- sağlığa yönelik ciddi sınır ötesi tehditlere karşı koruma sağlanması veya sağlık hizmetleri ve tıbbi ürünler ya da tıbbi cihazlara ilişkin yüksek kalite ve emniyet standartları sağlanması gibi halk sağlığı alanında kamu yararına yönelik olarak işleme faaliyetinin gerekmesi. Ancak bu nedenle özle nitelikli kişisel verilerin işlenmesi için bir yasal düzenleme bulunmalı ve özellikle mesleki gizlilik olmak üzere veri sahibinin hakları ve özgürlüklerine ilişkin güvence sağlanmasına uygun ve spesifik tedbirlere yasal düzenlemelerde yer verilmelidir.
- kamu yararına yönelik arşivleme amaçları, bilimsel veya tarihi araştırma amaçları ya da istatistiki amaçlar doğrultusunda işleme faaliyetinin gerekmesi. Bu durumda da kişisel verilerin işlenmesine izin veren yasal düzenlemelerde gözetilen amaçla orantılı olan, veri koruma hakkının özüne saygı gösteren ve veri sahibinin temel hakları ve menfaatlerinin güvence altına alınmasına uygun ve spesifik tedbirler sağlanması şartı söz konusudur.
[1]Avrupa Konseyi bünyesinde hazırlanarak 28 Ocak 1981 tarihinde imzaya açılan ve 1 Ekim 1985 tarihinde yürürlüğe giren Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’ne, Konsey'de yer almayan ülkelerin de taraf olma imkânı bulunmaktadır.
Türkiye Sözleşmeyi 28 Ocak 1981 tarihinde imzalamıştır. Onaya Uygun Bulma Kanunu 18 Şubat 2016 tarih ve 29628 sayılı Resmi Gazete ’de, Sözleşme'nin onaylanmasını kararlaştıran Bakanlar Kurulu Kararı ile Sözleşme'nin resmi Türkçe çevirisi 17 Mart 2016 tarih ve 29656 sayılı Resmi Gazete ‘de yayımlanmıştır. Onay belgeleri 2 Mayıs 2016 tarihinde Avrupa Konseyi Genel Sekreterliği’ne tevdi edilmiştir. Sözleşme, Türkiye bakımından 1 Eylül 2016 tarihinde yürürlüğe girmiştir.
[2] General Data Protection Regulation, Madde9 (2) (h) ve (i).
[3]Ibid., Md. 9 (2) (a).
[4] Ibid., Md. 9 (2) (c).
[5] Ibid., Resital 46.
[6] Ibid.
[7]Ibid., Md. 9 (2) (d).
[8] 29. Madde Çalışma Grubu (2013),Amacın sınırlandırılması ilkesine ilişkin 3/13 sayılı görüş, WP 203, Brüksel, 2 Nisan 2013, syf. 14.
[9] General Data Protection Regulation, resital 52.
[10] Ibid., Md. 9 (2) (f).
[11] 29. Madde Çalışma Grubu (2007), Elektronik sağlık kayıtları ile alakalı olarak kişisel verilerin işlenmesine ilişkin çalışma Belgesi-Working Document on the processing of personal data relating to health in electronic health records (EHR), WP 131, Brüksel, 15 Şubat 2007.
[12] General Data Protection Regulation, Md. 9 (2) (g).
[13] General Data Protection Regulation, Md. 9 (2) (h), (i) ve (j).