6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihinde yürürlüğe girdi. Kanun işyerlerinde çalışanların, alt işveren çalışanlarının, iş başvurusu yapanların, stajyerlerin, ziyaretçilerin, tedarikçilerin, üçüncü kişilerin ve müşterilerin kişisel verilerinin korunmasını amaçlıyor. Bu kapsamda kamu-özel tüm işyeri işverenleri (veri sorumluları) istihdam ettikleri kişiler başta olmak üzere ticari ilişki içinde oldukları tüm kişilere ait verilerin hukuka uygun olarak işlenmesi, verilerin güvende tutulması, saklama sürelerinin belirlenmesi ve süresi dolan verilerin hukuka uygun olarak imha edilmesi, yok edilmesi ya da anonim hale getirilmesi için gerekli idari ve teknik tedbirleri alması gerekmektedir.

Kişisel verilerin işlenmesi kavramı bir işyerinde zincirleme bir döngüyü ifade eder. Nitekim Kanunun 2 nci maddesinde, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla ilk defa elde edilmesiyle başlayan bir süreç ve devamındaki her türlü işleme, veri işleme olarak tanımlanmıştır. Kişisel veriler belirtilen şekilde toplandıktan sonra silme, yok etme ya da anonim hale getirme işlemlerine kadar olan süreçte gerçekleştirilen her türlü faaliyet Kanun kapsamında kişisel verilerin işlenmesi olarak değerlendirilmektedir.

Kişisel veri, bireyin şahsi, mesleki ve ailevi özelliklerini gösteren, o bireyi diğer bireylerden ayırmaya ve niteliklerini ortaya koymaya elverişli her türlü bilgidir. Kanunda kişisel veri; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır. Bu bilgiler, belli bir kimsenin kimliği, etnik kökeni, fiziksel özellikleri, sağlık, eğitim, istihdam durumu, cinsel yaşamı, aile hayatı, başkaları ile yaptığı haberleşmeler, ikamet adresi, kredi kartı, kişisel düşünce ve inançları, dernek ve sendika üyelikleri, alışveriş alışkanlıkları gibi hususları kapsamaktadır.

Kişisel veriler kural olarak, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Nitekim kişinin sağlık bilgileri (tahlilleri, kullandığı, ilaçlar, geçirdiği hastalılar, kan grubu vb.) bazı istisnalar dışında veri sahibinin açık rızası (onayı) olmadan işlenemez. Başka bir anlatımla kaydedilemez, açıklanamaz, aktarılamaz, ifşa edilemez, paylaşılamaz. Aksi halde veriyi hukuka aykırı olarak ele geçiren, paylaşan, ifşa eden, aktaran kişi hukuki ve cezai yaptırımlarla karşılaşabilir.

Kişisel verilerin işlenmesinde açık rıza (onay) gerektirmeyen bazı istisnai durumlar da vardır. Örneğin, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan kişinin açık rızasına gerek bulunmamaktadır. Bu duruma örnek olarak kişinin bilincinin yerinde olmadığı bir durumda, hayat veya beden bütünlüğünün korunması amacıyla, tıbbi müdahale anında kişinin kan grubu, geçirdiği hastalıklar ve ameliyatların, kullandığı ilaçların ilgili sağlık görevlileriyle paylaşılması halleri verilebilir. Yine ilgili kişinin kişisel verisini kendisi tarafından alenileştirmesi, başka bir deyişle kamuoyuna açıklaması (ifşa) durumunda kişisel verileri işlenebilecektir. Örnek olarak işyeri çalışanlarının kan grupları alenileştirilmiş (işyeri ilan panosuna asılmış) ise artık ilgili kişiden ya da kişilerden onay alınmasına gerek bulunmamaktadır.

6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca, kişiye ait kan grubu özel nitelikli kişisel veri olarak nitelendirilmektedir. Bu kapsamda özel nitelikli kişisel verilerin bazı istisnalar dışında ilgilinin açık rızası olmaksızın işlenmesi (m.6/2) ve bu verilerin ilgili kişinin açık rızası olmaksızın aktarılması yasaktır (m.8/1). Örneğin işyerinde bir yakınına kan lazım olan bir çalışanın İK Departmanına ya da İşyeri Hekimine başvurarak talepte bulunması durumunda, yetkililerin veri sahibi çalışanın izni olmadan kan grubunu açıklamaması gerekir.