← Önceki Madde [5]
[7] Sonraki Madde →
RESMİ METİN

Özel nitelikli kişisel verilerin işlenme şartları

MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. (2) (Mülga:2/3/2024-7499/33 md.) (3) (Değişik:2/3/2024-7499/33 md.) Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi; a) İlgili kişinin açık rızasının olması, b) Kanunlarda açıkça öngörülmesi, c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması, d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması, e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması, f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması, g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması, halinde mümkündür. (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

AKADEMİK YORUM VE ANALİZ

1. Maddenin Sistematiği ve Genel Açıklama

Bu madde, kişisel verilerin korunması hukukunun en hassas, en korumacı ve 2024 yılında 7499 sayılı Kanun ile yapılan tarihi reformla tamamen yenilenen en kritik normudur. Özel nitelikli (hassas) kişisel veriler; ifşa edildiklerinde veya yetkisiz kişilerin eline geçtiklerinde bireyin ayrımcılığa uğramasına, damgalanmasına, sosyal veya ekonomik dışlanmaya maruz kalmasına yol açabilecek yüksek riskli veri kategorileridir (sağlık, din, mezhep, cinsel hayat, biyometrik/genetik veriler vb.).

Yasa koyucu bu verilerin işlenmesini genel bir ilke olarak yasaklamış; ancak 3. fıkrada bu yasağı kıran istisnaları sınırlı olarak saymıştır. 2024 Reformu (1 Haziran 2024 itibarıyla yürürlüğe giren), eski KVKK dönemindeki işlevsiz ikili ayrımı (sağlık ve cinsel hayat verilerini diğer hassas verilerden ayıran ve pratik hayatı felç eden sistemi) tamamen ortadan kaldırmıştır. Tüm hassas veriler tek potada birleştirilmiş; Avrupa Birliği'nin GDPR (m. 9) standartlarına tam uyum sağlanarak, özellikle iş dünyasının ve sivil toplumun ihtiyaç duyduğu hayati istisnalar (İSG, istihdam ve kâr amacı gütmeyen kuruluş muafiyetleri) sisteme entegre edilmiştir.

2. Maddedeki Kavramların Analizi

  • Özel Nitelikli Kişisel Veri Kategorileri (m. 6/1): Yasada sınırlı olarak (numerus clausus) sayılmıştır. Bunlar; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet (örn: başörtüsü veya dinsel simgeler), dernek/vakıf/sendika üyeliği, sağlık verileri, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbiri verileri (sabıka kaydı) ile biyometrik ve genetik verilerdir. Bu liste kıyas yoluyla genişletilemez.
  • Tarihi 2024 Reformu ve Eski Sistemin İflası: 2024 yılı öncesinde işverenler, çalışanların sağlık verilerini (işe giriş raporları, işyeri hekimi kayıtları, hamilelik durumları vb.) veya sendika üyeliklerini işleyebilmek için personelden "açık rıza" almak zorundaydı. Oysa işçi-işveren ilişkisinde işçinin rızasının "özgür iradeyle" verilmediği (işi kaybetme korkusu nedeniyle) kabul edildiğinden, bu rızalar hukuken sakattı ve şirketler sürekli ceza yiyordu.
  • İstihdam, Sosyal Güvenlik ve İSG İstisnası (m. 6/3-f): 2024 reformunun en devrimci hükmüdür. İşverenlerin iş sağlığı ve güvenliği (İSG), sosyal güvenlik, sosyal hizmetler veya iş sözleşmesinden doğan hukuki yükümlülüklerini (örn: engelli personel istihdamı takibi, iş kazası bildirimi, işyeri hekimi kontrolleri) yerine getirmek amacıyla çalışanların sağlık ve diğer hassas verilerini rızasız olarak işlemesinin önü açılmıştır.
  • Vakıf, Dernek ve Sendika İstisnası (m. 6/3-g): Siyasi, dini, felsefi veya sendikal amaçla kurulan kâr amacı gütmeyen kuruluşların, kendi üyelerinin veya düzenli temas halinde oldukları kişilerin (örn: dernek bağışçıları) verilerini, üçüncü kişilere açıklamamak ve amaçla sınırlı olmak kaydıyla rızasız işleyebilmesine olanak tanıyan yeni sivil toplum muafiyetidir.
  • Biyometrik ve Genetik Veri: Bireyin parmak izi, retina yapısı, yüz geometrisi veya DNA dizilimi gibi, onu diğer tüm insanlardan ayıran eşsiz biyolojik özellikleridir. 2024 reformu sonrasında bu veriler de m. 6/3'teki istisnalardan (özellikle kanunda açıkça öngörülme veya hak tesisi) biri varsa rızasız işlenebilir hale gelmiştir.
  • Kurul Yeterli Önlemler Kararı (m. 6/4): Hassas verileri işleyen veri sorumluları, rızalı veya rızasız işleme fark etmeksizin, KVKK Kurulu'nun belirlediği ek sıkı güvenlik önlemlerini (fiziki arşiv kilitleri, verilerin veri tabanında kriptografik yöntemlerle şifrelenmesi, çift aşamalı doğrulama vb.) almak zorundadır.

3. Sistematik İlişkiler

Madde 6; AB Genel Veri Koruma Tüzüğü'nün (GDPR) 9. maddesi ile tam uyumludur. Kanun içinde m. 4 (ilkeler), m. 5 (genel verilerin işlenmesi), m. 12 (veri güvenliği) ve Türk Ceza Kanunu'nun 135/2 maddesi (Özel nitelikli verilerin izinsiz kaydedilmesi suçunun nitelikli/ağırlaştırılmış hali) ile doğrudan sistematik bağa sahiptir.

4. Uygulama: Yargıtay / Bölge Adliye Mahkemesi (BAM) İçtihadı

  • TCK 135/2 Kapsamında Ağır Hapis Cezaları: Yargıtay ceza daireleri, bir kişinin siyasi düşüncesini, dini inancını veya cinsel yönelimini rızası veya yasal dayanak olmaksızın kaydeden sanıklar hakkında, TCK m. 135/2 uyarınca temel cezanın yarı oranında artırılarak ağır hapis cezasıyla cezalandırılması yönünde tavizsiz kararlar vermektedir.
  • 2024 Öncesi ve Sonrası Kurul Kararları Karşılaştırması: KVKK Kurulu, 2024 yılı öncesindeki kararlarında, işyeri girişlerinde personelin mesai takibi için yüz tanıma veya parmak izi (biyometrik veri) taraması yapılmasını, "açık rıza alınmış olsa bile" ölçüsüz bulup yasaklıyordu. 2024 reformu sonrasında da bu durum değişmemiştir; çünkü İSG veya istihdam yükümlülüğü biyometrik veri işlemeyi zorunlu kılmaz (kartlı geçiş yeterlidir). Ancak iş sağlığı raporlarının işlenmesi artık rızasız olarak tamamen hukuka uygundur.

5. Pratik Örnek Olaylar

Örnek 1 (İSG ve Sağlık Verisi - Yeni Hukuk): Fabrika işleten A Şirketi, ağır ve tehlikeli işlerde çalıştıracağı işçi İ'nin periyodik sağlık kontrollerini yapmak ve akciğer grafisini işlemek zorundadır. 6331 sayılı İSG Kanunu ve 6698 sayılı KVKK Madde 6/3-f uyarınca, işyeri hekiminin bu sağlık verilerini işlemesi için İ'den "açık rıza" almasına gerek yoktur. İşlem hukuki yükümlülük gereğidir. Ancak A Şirketi, bu sağlık verilerini şifrelemeden, herkesin erişebileceği ortak bilgisayar klasöründe saklarsa, Madde 6/4'teki "yeterli önlemleri alma" yükümlülüğünü ihlal ettiği için Kurulca cezalandırılır.

Örnek 2 (Biyometrik Veri İhlali): Bir banka, mobil uygulamaya giriş yapan müşterilerinin yüz verisini (biyometrik veri) "yüz tanıma ile giriş" amacıyla işlemektedir. Banka bu işlemi gerçekleştirebilmek için müşteriden Madde 6/3-a uyarınca mutlaka geçerli bir açık rıza almak zorundadır. Eğer banka, yüz tanımayı kabul etmeyen müşterilerine mobil şubeyi tamamen kapatırsa, rıza "özgür iradeyle" verilmemiş sayılacağı için işlem hukuka aykırı hale gelir.

6. Pratik Uygulama Notları

  • Yeterli Önlemler Genelgesine Uyun: Özel nitelikli kişisel veri işleyen tüm firmalar (özellikle özel hastaneler, İK departmanları, dernekler), Kurul'un 31/01/2018 tarihli ve 2018/10 sayılı Yeterli Önlemler Kararı'nda yer alan siber güvenlik kurallarını (erişim yetki matrisi, sızma testleri, iki faktörlü doğrulama, kriptografik şifreleme) eksiksiz uygulamak zorundadır. Aksi halde veri sızıntısı olmasa bile idari para cezası kesilir.

7. Eleştirel Değerlendirme

  • Biyometrik Verilerin Ticari İstismarı ve Kitlesel Gözetim Tehlikesi: Günümüzde konser girişlerinde, havalimanlarında veya spor salonlarında "kolaylık ve hız" adı altında yüz tanıma sistemleri yaygınlaştırılmaktadır. Tüketiciler, uzun kuyruklarda beklememek için bu hassas biyometrik verilerini kolayca vermektedir. Ancak biyometrik veri, şifre gibi değiştirilemez; bir kez çalındığında ömür boyu taklit edilebilme riski taşır. Yasal mevzuatta, ticari amaçlı biyometrik veri işlemenin, açık rıza olsa dahi çok katı "kamu yararı ve zorunluluk" süzgecinden geçirilmesi ve keyfi olarak yaygınlaştırılmasının yasaklanması, geleceğin distopik gözetim toplumunu engellemek açısından kaçınılmaz bir adalet ihtiyacıdır.

Metodolojik Not

Bu akademik yorum ve analiz, özel nitelikli (hassas) kişisel verilerin yasal koruma rejimini, 7499 sayılı Kanun ile getirilen tarihi 2024 reformunun İSG ve istihdam alanındaki yansımalarını, biyometrik verilerin sınırlarını ve yeterli önlemler yükümlülüğünü 6698 sayılı Kanun'un 6. maddesi dairesinde Av. Fethi Güzel'in vizyoner ceza ve usul hukuku birikimiyle tahlil etmektedir.

← Önceki Madde [5]
[7] Sonraki Madde →

Metodolojik Not

Bu çalışma, Av. Fethi Güzel tarafından akademik dürüstlük ilkeleri çerçevesinde hazırlanmıştır. İçerik, güncel kanun değişiklikleri ve yüksek yargı kararları ışığında revize edilmektedir.