Kanun uyarınca, özel nitelikli kişisel veri; kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Kural olarak, özel nitelikli kişisel verilerin işlenmesi yasak. Ancak, kanunda belirtilen belirli şartların sağlanması durumunda bu verilerin işlenmesi mümkün. Bu şartlar; ilgili kişinin açık rızasının bulunması ve işlemenin kanunun 6. maddesine sayılan hukuki sebeplerden birine dayanması durumlarını kapsıyor.
VERİ SORUMLULARI İÇİN UYUM SÜRECİ
Kanunda yapılan değişiklikler kapsamında, veri sorumlularının aşağıdaki hazırlıkları yapmaları önem arz ediyor:
Kişisel veri işleme envanterinin güncellenmesi: Veri sorumluları, kişisel veri işleme faaliyetlerini detaylı bir şekilde incelemeli ve özel nitelikli kişisel verilerin işlenmesine yönelik durumları tespit etmeli.
* Kişisel veri işleme envanterinin düzenli olarak güncellenmesi,
* Özel nitelikli kişisel verilere ilişkin işleme şartlarının doğru bir şekilde envantere işlenmesi,
* Hukuki sebeplerdeki değişikliklerin envantere yansıtılması gerekiyor.
Açık rıza süreçlerinin düzenlenmesi: Açık rıza, yalnızca başka bir veri işleme şartı olmadığı durumlarda kullanılmalı. Başka bir veri işleme şartının bulunması halinde, açık rızaya başvurulması hukuka aykırılık oluşturabilecek.
* Açık rızanın geri alınması durumunda, veri işleme faaliyetleri derhal durdurulmalı.
* Yeni işleme şartlarının getirilmesi nedeniyle açık rıza süreçleri gözden geçirilmeli ve gerekli düzenlemeler yapılmalı. Aydınlatma metinlerinin güncellenmesi: Aydınlatma metinlerinde veri işleme hukuki sebebi açıkça belirtmesi gerekiyor.
* Özel nitelikli kişisel verilere ilişkin işleme şartlarında değişiklik olması halinde, aydınlatma metinleri revize edilmeli.
* Güncellenen metinlerin ilgili kişilere ispat edilebilir bir şekilde bildirilmesi gerekiyor. Örneğin, güncel aydınlatma metinlerinin yalnızca veri sorumlusunun internet sitesine eklenmesi, ilgili kişilerin aydınlatma metinlerinin güncellendiğinden haberdar olduğu ve bu metinlerin ilgili kişiler tarafından okunduğu anlamına gelmeyecek.
Saklama ve imha politikalarının yeniden değerlendirilmesi: Özel nitelikli kişisel verilerin işlenmesine ilişkin süre ve amaç sınırlılıklarının dikkate alınması, saklama ve imha politikalarının revize edilmesini gerektirebilir.
Veri güvenliği tedbirlerinin alınması: Risklerin değerlendirilmesinin ardından uygun maliyetli ve etkili teknik/idari önlemler uygulanmalı. Kurul tarafından özel nitelikli kişisel veriler için belirlenen önlemler şunlardır:
Politika ve prosedürler: Ayrı bir veri güvenliği politikası oluşturulması.
Eğitim ve yetkilendirme: Çalışanlara eğitim verilmesi, gizlilik sözleşmeleri yapılması, yetkilerin net tanımlanması ve düzenli kontrol edilmesi, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması.
Elektronik güvenlik: Verilerin şifrelenmesi, işlem kayıtlarının loglanması, güncellemelerin takip edilmesi ve uzaktan erişim için iki aşamalı doğrulama uygulanması.
Fiziksel güvenlik: Ortamın yeterli güvenlik önlemleriyle korunması, yetkisiz giriş-çıkışların engellenmesi.
Veri aktarımı güvenliği: Şifreleme, güvenli iletişim yöntemleri (VPN, sFTP) ve gizlilik esaslarına uygun taşınma sağlanması.
Bu önlemler, kişisel verilerin hem elektronik hem de fiziksel ortamda güvenliğini sağlamayı hedefliyor.