Diyetisyenler İçin KVKK Uyum Rehberi: Danışan Verisi

6698 sayılı Kişisel Verilerin Korunması Kanunu (Resmî Gazete, 7 Nisan 2016, Sayı: 29677), 6. maddesinde sağlık ve cinsel hayata ilişkin verileri 'özel nitelikli kişisel veri' olarak tanımlamış; bu kategorinin işlenmesi için ilgili kişinin açık rızasını ya da kanunda sayılan diğer şartlardan birini aramıştır.

Özel veya serbest çalışan bir diyetisyenin danışanından topladığı beslenme alışkanlığı, günlük kalori kaydı, beden kitle endeksi, biyokimyasal tahlil sonuçları, mevcut hastalıklar ve ilaç kullanımı bilgileri, KVKK m. 6 anlamında sağlık verisini oluşturur. Bunun gerekçesi kişiye özgü fizyolojik durumu doğrudan açıklayan nitelikteki bu verilerin, açıklanması hâlinde kişinin aleyhine sonuç doğurma potansiyeli taşımasıdır. Nitekim Kişisel Verileri Koruma Kurulu kararları ve hukuk öğretisi, beslenme ve diyet danışmanlığı sürecinde tutulan kayıtların sağlık verisi kapsamında değerlendirilmesi gerektiği yönünde tutarlı bir çizgi izlemektedir.

Sonuç olarak, bir diyetisyen danışma ilişkisi kurduğu andan itibaren KVKK m. 6'nın getirdiği açık rıza yükümlülüğüne ve güvenlik tedbirlerine tabi hâle gelir. Bu sınıflandırma, pratiğin büyüklüğünden bağımsızdır.

KVKK, özel nitelikli kişisel verilerin işlenmesi için kural olarak açık rıza arar. Açık rıza; belirli bir konuya ilişkin, bilgilendirilmiş ve özgür iradeyle açıklanan rızadır. Sözlü onay yeterli değildir — ispat yükü veri sorumlusunda (yani sizde) olduğundan yazılı ya da elektronik ortamda kayıt altına alınması gerekir.

Diyetisyen pratiğinde açık rızanın hangi verileri kapsadığı somutlaştırılmalıdır: beslenme anamnezi, kan tahlili sonuçları, fotoğraf ve beden ölçümleri, psikolojik yeme alışkanlıkları notları. Bunların tek bir genel rıza beyanına sığdırılması yerine, danışanın neye onay verdiğini açıkça anlayabileceği ayrıştırılmış bir liste sunmak hem hukuki hem de etik açıdan daha sağlamdır.

Rızanın geri çekilebilir olduğunu da danışana baştan bildirmeniz zorunludur. Rızasını geri çeken danışanın verilerini, işlemenin sürdürülmesini zorunlu kılan yasal bir dayanak yoksa, silmeniz gerekir.

Açık rızadan önce gelen bir yükümlülük olan aydınlatma, KVKK m. 10 uyarınca veri sorumlusuna ait bir görevdir. Danışanınıza şunları bildirmeniz gerekir: veri sorumlusunun kimliği, hangi verilerin hangi amaçla toplandığı, verilerin kimlere aktarılabileceği ve aktarım amacı, toplama yöntemi ve hukuki dayanağı, danışanın hakları (erişim, düzeltme, silme, itiraz, şikâyet).

Tek sayfalık, sade bir aydınlatma metni bu yükümlülüğü karşılar. Hazırlanmış taslak metinlere güvenmeden önce içeriğin kendi pratiğinize özgü veri akışlarını yansıttığını teyit edin: örneğin beslenme yazılımı kullandığınızda, yazılım sağlayıcısı da bir 'veri işleyen' konumuna girer ve bu ilişkiyi metninizde belirtmeniz gerekir.

Veri Sorumluları Sicil Bilgi Sistemi'ne (VERBİS) kayıt, ana faaliyeti özel nitelikli kişisel veri işlemek olan veri sorumlularını kapsar. Diyetisyenler bu tanıma doğrudan girer.

Kişisel Verileri Koruma Kurulu'nun 04.09.2025 tarihli ve 2025/1572 sayılı kararıyla, çalışan sayısı 10'un altında ve yıllık mali bilanço toplamı 10 milyon TL'nin altında kalan veri sorumlularına VERBİS'e kayıt ve bildirim yükümlülüğü bakımından muafiyet tanınmıştır. Bu iki eşiğin aynı anda sağlanması gerekmektedir. Karar, 1 Ekim 2025 tarihli Resmî Gazete'de yayımlanmıştır.

Muafiyet yalnızca VERBİS kaydını kapsar. Aydınlatma yükümlülüğü, açık rıza alma, güvenlik tedbirleri ve veri sahibi taleplerine 30 gün içinde yanıt verme gibi temel KVKK yükümlülükleri, muafiyet kapsamına giren küçük diyetisyen muayenehaneleri için de geçerliliğini korur.

Diyetisyen pratiğinde fotoğraf (vücut fotoğrafları, 'öncesi-sonrası' görseller) ve beden ölçümleri ayrı bir dikkat gerektirir. Bu veriler hem biyometrik hem de sağlık verisi niteliği taşıyabilir; dolayısıyla KVKK m. 6 kapsamında değerlendirilir.

Bu verileri işlemek için açık rızanın kapsamı net olmalıdır: fotoğrafların sosyal medyada kullanılıp kullanılmayacağı, hangi süreyle saklanacağı, üçüncü kişilere aktarılıp aktarılmayacağı. 'Sonuç paylaşımı' amacıyla alınan rıza, arşivleme amacını kapsamaz; arşiv için ayrı dayanak gerekmektedir.

Pratikte önerilen yaklaşım: ilk seansta fotoğraf ve ölçüm verileri için özel, tek amaçlı bir rıza belgesi kullanmak ve danışan ilişkisi sona erdiğinde bu verilerin silineceğini taahhüt etmek.

KVKK, verilerin işlendikleri amaç ortadan kalktığında silinmesini, yok edilmesini ya da anonim hâle getirilmesini zorunlu kılar. Pratikte bu, danışan ilişkisinin sona ermesinden sonra belirli bir süre geçtiğinde verilerin ne yapılacağını önceden belirlemek anlamına gelir.

Saklama süresini belirlerken hukuki yükümlülükleri de göz önünde bulundurun: ilgili sağlık mevzuatı çerçevesinde sağlık hizmeti kayıtları için belirli saklama süreleri öngörülmüş olabilir. Bu süre dolduğunda — ya da danışan silme talebinde bulunduğunda — verilerin somut olarak nasıl imha edileceğini bir prosedür olarak yazıya dökün.

Dijital ortamda tutulan danışan kayıtları için güvenlik önlemlerini gözden geçirin: parola koruması, şifreleme, yetkisiz erişim engeli. Fiziksel dosyalar için kilitli dolap yeterlidir; ancak imha aşamasında makaslama ya da güvenli imha hizmetine başvurmak tercih edilmelidir.

KVKK uyumunu büyük bir hukuki proje olarak görmek, başlamayı ertelemektedir. Solo veya küçük ekipli çalışan bir diyetisyen için pratik başlangıç noktaları şunlardır: (1) mevcut danışan formunu gözden geçirip hangi verileri topladığınızı listeleyin; (2) açık rıza ve aydınlatma metin taslakları hazırlayın ya da bir hukuk büroya inceletin; (3) kullandığınız dijital araçların veri işleme koşullarını okuyun; (4) saklama-silme prosedürünü tek sayfalık bir iç politika olarak yazın.

Randevu ve danışan takip süreçlerini düzenli tutan bir platform kullanıyorsanız, o platformun KVKK uyum politikasını ve veri güvenliği belgelerini talep edin. Uzman Takvimi'nin bu konudaki yaklaşımı için /guven sayfasını inceleyebilirsiniz.