Özel Nitelikli Kişisel Veriler İçin “Yeterli Önlemler”: 2018/10 Sayılı Karar Analizi

Kişisel verilerin korunması hukukunda her veri aynı “ağırlığa” sahip değildir. Kanun koyucu; din, ırk, mezhep, sağlık veya biyometrik veri gibi çalınması veya sızdırılması halinde kişiyi mağduriyet ya da ayrımcılığa maruz bırakabilecek verileri “Özel Nitelikli Kişisel Veri” olarak tanımlamıştır. KVKK Kurulu, 31/01/2018 tarihli ve 2018/10 sayılı kararı ile bu verileri işleyenlerin alması gereken “asgari” ama “yüksek” güvenlik standartlarını belirlemiştir.

Özel Nitelikli Veri İşlemenin Anayasası

Kanun’un 6. maddesi, özel nitelikli verilerin işlenmesi için sadece rızayı yeterli görmez; aynı zamanda Kurul tarafından belirlenen “yeterli önlemlerin” alınmasını şart koşar. 2018/10 sayılı karar, bu önlemleri idari, elektronik ve fiziksel olmak üzere üç ana başlıkta toplar.

1. İdari ve Personel Odaklı Önlemler

Özel nitelikli veri işleme süreçleri “kuralları belli, sürdürülebilir bir politika”ya dayanmalıdır. Kurulun bu başlıktaki şartları şunlardır:

• Özel Politika: Sadece genel bir KVKK politikası yetmez; özel nitelikli veriler için ayrı bir prosedür oluşturulmalıdır.
• Erişim Yönetimi: Verilere erişen kullanıcıların yetkileri net tanımlanmalı, periyodik olarak kontrol edilmeli ve işten ayrılan personelin yetkileri derhal kaldırılmalıdır.
• Gizlilik Sözleşmeleri: Bu verilerle temas eden her çalışanla özel gizlilik taahhütleri imzalanmalıdır.

2. Elektronik Ortam Güvenliği (Teknik Tedbirler)

Eğer bu hassas veriler dijital bir veri tabanında tutuluyorsa, standart güvenlik duvarlarından çok daha fazlası gerekir:

• Kriptografik Muhafaza: Veriler mutlaka şifrelenmiş (kripto) yöntemlerle saklanmalıdır.
• Güvenli Loglama: Veriler üzerindeki her hareket (kim baktı, ne zaman değiştirdi) güvenli şekilde kayıt altına alınmalıdır.
• İki Kademeli Doğrulama (2FA): Verilere uzaktan erişim gerekiyorsa mutlaka en az iki aşamalı bir doğrulama sistemi kurulmalıdır.
• Sızma Testleri: Yazılımların ve ortamların güvenlik testleri düzenli olarak yapılmalı ve sonuçları kayıt altına alınmalıdır.

3. Fiziksel ve Aktarım Güvenliği

Verilerin kağıt ortamında saklanması veya bir yerden bir yere taşınması süreçlerinde de “gizlilik dereceli” protokoller uygulanmalıdır:

• Fiziksel Koruma: Verilerin olduğu odalar; yangın, su baskını ve hırsızlığa karşı donatılmalı ve yetkisiz girişler engellenmelidir.
• Güvenli Aktarım: E-posta ile gönderimlerde şifreli kurumsal posta veya KEP (Kayıtlı Elektronik Posta) kullanılmalı; USB veya CD ile taşımalarda ise veriler kriptografik yöntemlerle şifrelenmelidir.

Özgür Eralp Perspektifi: “Özel Veri, Özel Sorumluluk Demektir”

Bilişim hukuku alanındaki 25 yıllık tecrübemizde ve hazırladığımız yüzlerce bilirkişi raporunda en ağır yaptırımların hep “sağlık” ve “biyometrik veri” ihlallerinden geldiğini gördük. Bir veri sorumlusu için “şifreleme yapmadım” demek, 2018/10 sayılı karardan sonra artık geçerli bir mazeret değildir. Bu karar, teknik bir tavsiye değil; uyulmadığı takdirde doğrudan idari para cezası ve hapis cezası riskini (TCK 135-136) doğuran hukuki bir emirdir. Teknolojiyi “en yüksek koruma” modunda kullanmak, işletmenizin geleceği için bir tercih değil, yasal bir zorunluluktur.

---

Sıkça Sorulan Sorular

1. Hangi veriler özel nitelikli kişisel veridir?

Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, kılık ve kıyafet, dernek-vakıf-sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve biyometrik/genetik veriler bu kapsamdadır.

2. Sağlık verilerini şifrelemeden Excel dosyasında tutmak suç mu?

Evet. 2018/10 sayılı karar uyarınca özel nitelikli verilerin elektronik ortamda kriptografik yöntemlerle saklanması zorunludur. Aksi durum veri güvenliği ihlalidir.

3. İşten ayrılan personelin yetkilerini ne zaman kapatmalıyım?

Kurul kararı “derhal” ifadesini kullanmaktadır. Personelin iş ilişiği kesildiği an tüm sistem erişimleri ve fiziksel anahtarları/kartları geri alınmalıdır.

4. E-posta ile sağlık raporu göndermek yasak mı?

Yasak değildir ancak standart e-posta ile gönderilemez. Şifreli bir kurumsal e-posta veya KEP hesabı kullanılması, verinin yetkisiz kişilerin eline geçmesini engelleyecek tedbirlerin alınması şarttır.

5. Fiziksel arşivlerdeki dosyalar için ne yapmalıyım?

Dosyaların kilitli dolaplarda/odalarda tutulması, bu odaya sadece yetkili kişilerin girebilmesi (kartlı giriş veya imza karşılığı anahtar teslimi) ve ortamın yangın/su baskınına karşı korunması gerekir.

---

Kaynaklar

• KVKK Kurumu – 2018/10 Sayılı Karar Metni
• 6698 Sayılı Kişisel Verilerin Korunması Kanunu (Madde 6 ve 22)
• Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)
• Türk Ceza Kanunu (Madde 135, 136)
• 27001 Bilgi Güvenliği Yönetim Sistemi Standartları