Veri analizi, işlenen verilerin kişisel veri mi yoksa özel nitelikli kişisel veri mi olduğunun tespiti için yapılan analizdir.Bu analiz, envanterin oluşturulmasından gerekli teknik ve idari tedbirlerin alınmasına, VERBİS kaydından saklama ve imha politikasının oluşturulmasına kadar tüm safhalarda esas alınacak bilgileri içermektedir.

1. Kişisel Verilerin İşlenme Şartları

            Kişisel veriler, kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgilerdir.Ad-Soyad, adres , telefon numarası, TC kimlik numarası, eğitim bilgileri, SGK bilgileri, araç plaka bilgisi gibi veriler kişisel veridir.Bu verilerin işlenme şartları KVKK’ nun 5.maddesi ,

“MADDE 5- (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. “ 

olup, kişisel verinin işlenme şartlarını düzenlemiştir.

            Örneğin;  işveren tarafından  işçiye ait özlük dosyasının oluşturulması, ticari alım-satım veya hizmet sebebi ile düzenlenecek faturanın oluşturulması sebebi ile alınacak bilgiler kanunda açıkça düzenlenmesi sebebi ile işlenmektedir.

            Yine bir mal /hizmet teslimi için alınan adres bilgisi sözleşmenin ifasından kaynaklanan kişisel veri olarak işlenecektir.

            Bir işverenin , işçiye ait aile bilgilerini işlemesinin sebebi , işverenin kanundan kaynaklanan AGİ yükümlülüğünü yerine getirebilmesi için zaruridir.Ayrıca bu verinin , işçinin hakkının tesisi kapsamında işlendiği görülmektedir.

            İlgili kişinin , kişisel verisini alenileştirmiş olması şartı ile işleme yapılacak ise , bu işlemenin alenileşme nedeni ile paralel olması gerektiği unutulmamalıdır.Zira bir doktorun hasta randevu sistemi için paylaşmış olduğu telefon numarasının reklam amacı ile kullanılması kanuna aykırı olacaktır.

            “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” şartı genellikle güvenlik sebebi ile alınan tedbirlerin uygulanması için işlenen verilerde söz konusu olmaktadır. Örneğin işyeri güvenliğinin sağlanması için konulan kamera kayıtlarının bu kapsamda değerlendirilmesi gerekmektedir.

2.Özel Nitelikli Kişisel Verilerin İşlenme Şartları

            Kanun’ un 6. Maddesinde “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.” Şeklinde tanımlama yapılmış ve devamında işlenme şartları düzenlenmiştir.

            Özel nitelikli kişisel veri işleme şartlarının en önemli şartı , açık rızadır. Açık rıza olmaması halinde ; sağlık ve cinsel hayat dışındaki özel nitelikli bir kişisel veri ancak kanunda düzenlenmesi şartı ile işlenebilecektir. Örneğin; bir iş başvurusunda kişisin sabıka kaydının istenmesi halinde ya rıza şartı yerine getirilecek ya da hükümlü çalıştırma yükümlülüğü kapsamında olan bir işveren tarafından istenmiş olması gerekecektir. 

            Sağlık ve cinsel hayata ilişkin verilerin işlenmesi ise sadece kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir. 

            Sonuç olarak; KVKK’ nun 5. Ve 6. Maddesinde düzenlenen kişisel veri türleri incelendiğinde ; işlenme şartları açısından büyük farklılıklar arz ettikleri sabittir. Bilhassa özel nitelikli kişisel verilerin işlenme şartları oldukça ağırlaştırılmıştır. Örneğin ; ilgili kişinin adı soyadı gibi bilgilerin ,sözleşme kapsamı ile sınırlı kalmak kaydı ile , işlenmesine imkan tanınır iken , özel nitelikli veri olan din bilgilerinin kanunen bir zorunluluk veya açık rızanın bulunduğu haller haricinde işlenemeyeceği düzenlenmiştir. Bu anlamda envanter oluştururken işlenecek din bilgisinin hukuki dayanağı olarak “sözleşmenin ifası” yazılmamalıdır. 

Verilen bu örnek, sadece konunun anlaşılması için basit bir örnek olup, kanundan kaynaklanan yükümlülükler yerine getirilirken daha geniş kapsamlı ele alınması gerektiğini hatırlatmak isteriz. Örneğin kişisel verinin aktarılması şartları ile özel nitelikli kişisel verilerin aktarılması şartları bu anlamda farklılık arz etmektedir.