Günümüzde bireylerin kişisel verilerini paylaşma ihtiyacı ve zorunluluğunun varlığı neticesinde birçok özel kuruluş ve devlet kurumu, bu verilere erişebilmektedir. Bu veriler, gelişen teknolojik imkânlar ile birlikte kolaylıkla işlenebilmekte ve paylaşılabilmektedir.
Bireye ait ad, soyad, doğum yeri, doğum tarihi, telefon numarası, parmak izi, ilgi alanları, sağlık bilgileri, aile bireylerinin bilgileri, konum bilgisi, özgeçmiş gibi; bireyleri belirlenebilir kılan her türlü veri “kişisel veri” olarak adlandırılmaktadır. Bu verilerin paylaşımı ve işlenmesi hususunda oldukça kapsamlı düzenlemeler yapılmaya başlanmış ve “kişisel verilerin korunması” kavramı son günlerde oldukça önem kazanan bir konu haline gelmiştir.
Kişisel Verileri Koruma Kurulu’nun çalışmaları ve yeni yasal düzenlemeler sonucunda, kişisel veri olarak nitelendirilen; bireyleri doğrudan ya da dolaylı olarak belirlenebilir hale getiren her türlü veri, koruma altına alınmıştır.
Bu kapsamda, “kişisel veri” olarak nitelendirilebilecek bilgilere sahip olan birtakım kuruluşların hak ve yükümlülüğü olduğu gibi, kamu kurumlarının da yükümlülüğü mevcuttur.
Kamu Kurumları İçin KVKK
Kişisel Verilerin Korunması Kanunu’nda özel kuruluşlar ve devlet kurumları açısından özel bir ayırım bulunmamaktadır. Kural olarak, kanunun belirlemiş olduğu tüm usul ve esaslar hem özel kuruluşlar hem de kamu kurumları için uygulanmaktadır. Bu sebeple, kamu kurumlarının elinde bulundurduğu ve işleyebildiği kişisel veriler hakkında da, bazı istisnalar mevcut olmakla birlikte, Kişisel Verilerin Korunması Kanunu hükümleri uygulanacaktır.
6698 Sayılı Kişisel Verilerin Korunması Kanunu’na göre, 7 Nisan 2016 tarihinde, veri sorumlularının yükümlülükleri belirlenerek açıkça ilan edilmiştir.
Kanun’a göre uyum süreci kapsamında veri sorumlularına; hukuka uygun veri işlemek, Veri Sorumluları Sicil Bilgi Sistemi’ne kayıt olmak, Saklama ve İmha Politikası hazırlamak, kişisel veri envanteri oluşturmak ve gerekli tedbirleri almak gibi yükümlülükler getirilmiştir.
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 16. Maddesine göre VERBİS’e (Veri Sorumluları Sicil Bilgi Sistemi) kayıt zorunludur. Yasa, Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan VERBİS sistemine, gerçek ve tüzel kişilerin veri işleme faaliyetine başlamadan önce kayıt zorunluluğu getirmiştir.
Bu zorunlulukların neler olduğu ayrıca Kişisel Verilerin Korunması Kanunu’nda ve Veri Sorumluları Hakkında Yönetmelik’te belirlenmiştir. Bu yönetmelikte tanımlanmış istisnalar dışında gerçek ve tüzel kişilerin usule uygun biçimde eksiksiz olarak sisteme kayıtlarını yapmaları zorunludur.
6698 sayılı Kanunun 16. maddesi gereği, kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce kısa adı VERBİS olan Veri Sorumluları Sicil Bilgi Sistemine kaydolmak zorundadır. Kişisel Verileri Koruma Kanunu (KVKK) ile Veri Sorumluları Sicili Hakkında Yönetmelik (VERBİS) gerçek ve tüzel kişilerin sicil kaydının nasıl yapılacağını düzenlemiştir. Kişisel Verileri Koruma Kurumu’nun (KVKK) internet sitesi olan www.kvkk.gov.tr aracılığıyla giriş yapılır. Ekrana gelen sayfada yer alan VERBİS butonuna tıklanır ve ilgili alanlar doldurularak VERBİS’e kayıt olunur.
Bu kapsamda, kamu kurum ve kuruluşunda bulunan veri sorumlularının Veri Sorumluları Sicil Bilgi Sistemine kayıt yükümlülüğü 1 Nisan 2019 tarihinde başlamıştır. Söz konusu veri sorumluları, 01.04.2019 tarihinden itibaren https://verbis.kvkk.gov.tr adresinden giriş yaparak, Sicile kayıt yükümlülüğünü yerine getirilmesi gerekmektedir. İlgili kamu kurumlarının, Veri Sorumluları Sicil Bilgi Sistemi’ne 31.03.2021 tarihine kadar kayıt yaptırmaları gerekmektedir. Aksi halde, kanun kapsamında belirlenen “VERBİS’e kayıt yükümlülüğü” ihlal edilmiş olacak ve birtakım yaptırımlarla karşılaşılacaktır.
– Aydınlatma yükümlülüğü,
– Veri güvenliğine ilişkin yükümlülükler,
– İlgili kişiler tarafından yapılan başvuruların cevaplanması,
– KVK Kurulu tarafından verilen kararların yerine getirilmesi yükümlülüğü,
– Kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgilisine ve KVK Kuruluna bildirme yükümlülüğü
gibi temel yasal yükümlülükleri, kamu kurumlarında belirlenen veri sorumluları tarafından muhakkak yerine getirilmelidir.
Kamunun İstisnai Durumları
Kamu kurumları her ne kadar Kişisel Verilerin Korunması Kanunu kapsamında açıklanan tüm yükümlülüklere sahip olsa da, kanun; birtakım istisnalar getirerek kamu kurumlarının bazı fiil ve eylemlerinin ihlal teşkil etmeyeceğini ve bazı hallerde kanun kapsamı dışında bırakılacağına hükmetmiştir. Buna göre;
– Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
– Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
– Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
– Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi
durumlarında; kamu kurumlarının fiili Kişisel Verilerin Korunması Kanunu kapsamında bir ihlal teşkil etmeyecektir.
Bu hallere ek olarak, Kişisel Verilerin Korunması Kanunu’nun amacına ters düşmeden ve temel ilkelerine uygun olmak kaydıyla; kanunda öngörülen aydınlatma yükümlülüğü, sicile kayıt yükümlülüğü gibi yükümlülüklerin bazı faaliyet alanlarında sınırlı olarak uygulanmayacağı kabul edilmiştir. Buna göre;
– Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
– İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
– Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
– Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması durumlarında; aydınlatma yükümlülüğü, sicile kayıt yükümlülüğü gibi bazı yükümlülükler sınırlı olarak uygulanmayacaktır.
Bu kapsamda, yukarıda yer verilen istisnalar dışında kalan tüm konularda kamu kurumlarınca sunulan ve kamu hizmetleri kapsamında değerlendirilecek işlerde kullanılacak ve işlenecek kişisel veriler bakımından, Kişisel Verilerin Korunması Kanunu’nda öngörülen ve yukarıda açıklamaya çalıştığımız usul ve esaslara uyulması yasal bir zarurettir.
İhlal Halinde Öngörülen Yaptırımlar
Kanunda sayılmış olan kişi, kurum ve görevlilerin; yine kanunda sayılmış olan kural ve yükümlülüklere aykırı davranması halinde birtakım yaptırımlara tabi oldukları açıkça belirtilmiştir.
Kişisel Verilerin Korunması Kanunu’nun 18. maddesi uyarınca;
– Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk Lirası’ndan 100.000 Türk Lirası’na kadar,
– Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk Lirası’ndan 1.000.000 Türk Lirası’na kadar,
– Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk Lirası’ndan 1.000.000 Türk Lirası’na kadar,
– Veri Sorumluları Sicili’ne kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk Lirası’ndan 1.000.000 Türk Lirası’na kadar idari para cezası verilir.
Ayrıca;
– Kanunun öngörmüş olduğu aydınlatma yükümlülüğü,
– Veri güvenliği yükümlülüğü,
– KVK Kurulu tarafından verilen kararları yerine getirme yükümlülüğü,
– VERBİS’e kayıt ve bildirim yükümlülüğüne aykırılık teşkil eden eylemlerin varlığı halinde; ilgili kurum veya kuruluş için birtakım idari ve cezai yaptırımlar belirlenmiştir.
Buna göre; kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenen ihlal hallerinde KVK Kurulu’na bu ihlal bildirilmelidir.
Yapılan bu bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında; disiplin hükümlerine göre işlem yapılması, ilgili kurumların yaptıkları soruşturmanın sonuçlarını KVK Kurulu’na bildirmesi öngörülmüştür.
Hem cezai hem de idari yaptırımlarla koruma altına alınan kişisel verilerin korunması hukuku, kamu kurumları açısından da oldukça önem arz etmektedir. Tüm bu sebeplerle, kamu kurumlarının “veri işlenmesi ve saklanması” hususlarında kanun hükümleri doğrultusunda hareket etmeleri gerekmektedir. Aksi halde veri ihlalleri ortaya çıkacak ve bu ihlaller, yukarıda da açıklandığı üzere, kurumlar açısından oldukça kritik sonuçlar doğuracaktır.
Av. Begüm Gürel (LL.M.) & Stj. Av. Ayşenur Eroğlan