Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Bu kapsam; ad-soyad gibi kimlik bilgileri ile iletişim, finansal, sosyal ve benzeri nitelikteki bilgileri de içerebilir.
Özel nitelikli (hassas) kişisel veriler ise kanun tarafından daha sıkı koruma altına alınmış veri türleridir. Bu veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek/vakıf/sendika üyeliği, sağlığı, cinsel hayatı, biyometrik ve genetik verileri ile ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri kapsar.
Kişisel verilerin işlenmesi, kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, aktarılması, devralınması gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
Kişisel verilerin hukuka uygun şekilde işlenebilmesi için aşağıdaki ilkelere uyulur:
Hukuka ve dürüstlük kurallarına uygun işleme
Doğru ve gerektiğinde güncel olma
Belirli, açık ve meşru amaçlarla işleme
Amaçla bağlantılı, sınırlı ve ölçülü olma
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
Kişisel veriler kural olarak veri sahibinin açık rızası olmaksızın işlenemez. Açık rıza alınabilmesi için, veri sahibinin süreç hakkında yeterince bilgilendirilmiş olması gerekir. Bununla birlikte KVKK’nın 5. maddesinde belirtilen bazı durumlarda, açık rıza aranmaksızın kişisel veriler işlenebilir. Bu durumlar özetle:
Kanunlarda açıkça öngörülmesi,
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan kişinin veya bir başkasının hayatı/beden bütünlüğünün korunması için zorunlu olması,
Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması,
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
İlgili kişinin veriyi alenileştirmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
Veri sorumlusunun meşru menfaatleri için zorunlu olması (ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla).
Özel nitelikli kişisel veriler, kural olarak açık rıza olmaksızın işlenemez. Sağlık ve cinsel hayat dışındaki özel nitelikli veriler; kanunlarda açıkça öngörülen hallerde rıza aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi gibi amaçlarla, sır saklama yükümlülüğü altında olan kişiler veya yetkili kurum/kuruluşlar tarafından açık rıza aranmaksızın işlenebilir.
