KVKK’nın yürürlüğe girmesiyle birlikte çoğu kişi ve şirket, kişisel veriler tanımına aşina oldu. Ancak KVKK’nın kendi gereklilikleri ile birlikte gelen özel nitelikli kişisel veriler ile kişisel veriler arasında önemli düzeyde farklılıklar bulunuyor. Şirketler için KVKK ve GDPR uyum danışmanlığı hizmeti sunan Siber Asist’in Hukuk Danışmanı Beliz Özkırım’a göre, şirketlerin bu iki tanım arasındaki ayrıma dikkat etmesi gerekiyor.
Kişisel Verilerin İşlenmesinde Açık Rızanın Alınması Önemli
En temel ifadeyle bir kişiyi tanımlamak için kullanılabilen herhangi bir bilgi parçası kişisel veri kapsamına giriyor. Bu bağlamda aşağıdakilerden herhangi biri kişisel veri olarak kabul edilebilir:
• Ad Soyad
• Ev ve e-posta adresi
• Vatandaşlık numarası
• Konum bilgileri
Kişisel verilerin şirketler tarafından kullanımının KVKK ile belirli kurallara bağlandığını aktaran Özkırım, şirketlerin kişisel verileri işleyebilmesinin ilgili kişinin açık rızasına bağlı olarak gerçekleşebileceğini, bilgilerin saklanması ya da kullanılmasına dair ilgili kişilerden açık rıza alınmaması durumunda ciddi yaptırımlarla karşı karşıya kalınabileceği konusunda uyarılarda bulunuyor.
Girilmez Bölge: Özel Nitelikli Kişisel Veriler
Özel nitelikli kişisel veriler, ekstra güvenlikle ele alınması gereken verileri kapsıyor ve kişilere ait aşağıdakilerden herhangi biri özel nitelikli kişisel veri olarak kabul ediliyor:
• Irk veya etnik köken
• Siyasi düşünce
• Felsefi inanç
• Din-mezhep
• Sağlık bilgileri
• Dernek, vakıf veya sendika üyelikleri
• Cinsel hayat
• Biyometrik ve genetik veriler
• Ceza ve güvenlik tedbirleri ile ilgili veriler
Özel nitelikli kişisel verilerin diğer kişisel verilerden ayrı tutulması gerektiğine dikkat çeken Özkırım, özel nitelikli kişisel verilerin işlenmesi dahilinde ilgili kişilerin mağdur olabileceğini ve ayrımcılığa maruz kalabileceğini belirtiyor. Bu nedenle özel nitelikli kişisel verilerin ilgili kişinin açık rızası alınarak ya da Kanunda istisnai olarak düzenlenen bazı hallerde işlenebileceğine dikkat çekiyor.
Açık Rızanın Geri Alınması Verilerin İşlenmesini Durdurur
Kişilerin şirketlere verilerini işleme konusunda verdiği açık rızalar geri alınabiliyor. Açık rıza ile alınan kişisel verilere dair söz hakkının ilgili kişide olduğunu belirten Özkırım, açık rızanın geri alınması beyanının şirketlerin veri sorumlusuna ulaştığı andan itibaren verilerin işlenmesinin durdurulması gerektiğini ifade ediyor.