MGM Hukuk & Danışmanlık bünyesindeki Datacon Veri Danışmanlığı’ndan Av. Mehmet Durmaz ve Av. Halil İbrahim Kovar Kişisel Verileri Koruma Kanunu’nun kamu kurumlarına etkisini dergimiz için yazdı.
Günümüzde özel kuruluşlar ve devlet kurumları her gün binlerce gerçek kişiye ait kişisel veriyi gelişen teknolojik imkânlar çerçevesinde kolaylıkla işleyebilmekte ve aktarabilmektedir. Bir gerçek kişiye ait ad, soyad, doğum tarihi, doğum yeri, telefon numarası, e-mail adresi, özgeçmiş, resim, parmak izi, genetik bilgiler, hobiler, tercihler, aile bireyleri, sağlık bilgileri, lokasyon bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler olarak tanımlanabilecek kişisel verilerin korunması, yeni yasal düzenlemeler ve Kişisel Verileri Koruma Kurulu’nun (KVK Kurulu) çalışmaları ile birlikte son günlerde gittikçe önem kazanan bir konu haline gelmiştir.
Avukat Mehmet Durmaz
Bu kapsamda son zamanlarda caydırıcılığı yüksek idari ve cezai yaptırımlarla karşılaşmamak adına özel kuruluşlar tarafından yoğun bir şekilde yasal uyum süreçlerinin yönetildiği görülmekte ise de kanunun kapsamında yer almalarına rağmen aynı hareketlilik kamu kurumları tarafında görülmemektedir. Oysa ki aşağıda detayları yer verildiği üzere kişisel verilerin korunmasıyla ilgili yeni yasal düzenlemelerle, özel kuruluşlarla birlikte kamu kurumları için de yasal yükümlülükler getirilmiştir. Bu durum kişisel veri elde eden, işleyen ve aktaran kamu kurumları bakımından önemli tedbirlerin alınması gerekliliğini beraberinde getirmektedir. Nitekim Devlet Denetleme Kurulu (DDK) tarafından kişisel verilerin diğer kurumlara nazaran daha fazla işlendiği Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü, Tapu ve Kadastro Genel Müdürlüğü, Gelir İdaresi Başkanlığı, Sosyal Güvenlik Kurumu, Sağlık Bakanlığı, Adalet Bakanlığı’nda gerçekleştirilen denetimlerde uygulamada kamu kurumları açısından kişisel verilerin işlenmesi ve aktarılmasına yönelik eksikliklere işaret eden şu temel sonuçlara varılmıştır (27.11.2013 tarihli 2013/3 sayılı Kişisel Verilerin Korunmasına İlişkin Ulusal ve Uluslararası Durum Değerlendirmesi ile Bilgi Güvenliği ve Kişisel Verilerin Korunması Kapsamında Gerçekleştirilen Denetim Çalışmaları konulu DDK Raporu):
Avukat Halil İbrahim Kovar
• Bilgi güvenliğiyle kişisel verilerin korunmasının önemi konusundaki farkındalık düzeyinin arzulanan seviyede bulunmadığı görülmüştür. Söz konusu farkındalık eksikliğinin, kurumlarda bilgi güvenliği ve kişisel verilerin korunması konusunda yaşanan pek çok eksikliğe ve yanlış uygulamaya kaynak teşkil ettiği değerlendirilmiştir. Bu duruma örnek olarak kamu kurumlarının pek çok işlemde kişilerin kimlik fotokopilerini alma uygulaması verilmiştir.
• Devlet kurumlarında bilgi güvenliğinin uzun süre sadece teknolojik boyutu ile dikkate alındığı belirtilmiş, bilgi sistemlerinin kurumların iş süreçlerinin ana unsuru haline geldiği günümüzde ise organizasyonel boyutun büyük önem kazandığı vurgulanmıştır. Denetim çalışmalarında, kurumların bilgi güvenliğine yönelik olarak organizasyon yapılarında yeterli değişikliğe gitmedikleri görülmüştür.
• Diğer kamu kurumları ve özel kesim ile veri paylaşımında, hukuki dayanağın bulunup bulunmadığı, verilerin talep eden kurum için gerekliliği, talep edilen verinin ilgili kurumun hizmet gerekleri ile orantılı düzeyde olup olmadığı gibi hususlarda yeterli analizin yapılmadığı ve etkin karar mekanizmalarının oluşturulmadığı görülmüştür.
• Bazı kamu kurumlarının sahip olduğu verileri çevrimiçi (online) olarak kamu ve özel kesim kurum ve kuruluşları ile paylaştıkları görülmüştür. Ancak veri paylaşım talebinde bulunan kurum ve kuruluşların kişisel veriler dâhil çevrimiçi olarak ilgili kurumdan alacağı verilerin güvenliğini sağlama konusundaki yeterliliğinin araştırılmadığı, bu hususun veri paylaşım protokollerine de ya hiç, ya da yeterince yansıtılmadığı, paylaşılan verileri alan kurumdaki güvenlik düzeyi ile ilgili olarak, genellikle herhangi bir çalışma ve araştırmanın yapılmadığı tespit edilmiştir.
• Denetim çalışmaları sırasında kamu kurumlarının sahip oldukları pek çok kişisel ve hassas veriyi CD, DVD, taşınabilir bellek gibi taşınabilir elektronik ortamlar kullanarak çevrimdışı paylaştıkları görülmüştür. Bazı örneklerde milyonlarca kişinin kimlik ve adres bilgisinin bulunduğu bilgilerin şifrelenmeden, kopyalanmaya karşı herhangi bir güvenlik önlemi alınmadan CD ortamında iletildiği; söz konusu verilerin ilgili kurumda hangi güvenlik önlemleri alınarak muhafaza edileceği ve kullanılabileceği, çoğaltılıp çoğaltılamayacağı, söz konusu bilgilere olan ihtiyacın ortadan kalkması durumunda taşınabilir elektronik ortamın ne şekilde imha edileceği gibi hiçbir güvenlik hususunun belirlenmediği tespit edilmiştir.
Kamu İçin KVKK
Yine kamu kurumları nezdinde oluşturulan Merkezi Nüfus İdaresi Sistemi (MERNİS), Kimlik Paylaşım Sistemi (KPS), Adres Kayıt Sistemi (AKS), Merkezi Sicil Kayıt Sistemi (MERSİS), Tapu ve Kadastro Bilgi Sistemi (TAKBİS), Vergi Dairesi Otomasyon Projesi (VEDOP), Ulusal Yargı Ağı Projesi (UYAP), PolisNet (POLNET), Ulusal Sağlık Bilgi Sistemi (USBS), Merkezi Hastane Randevu Sistemi (MHRS), Medula, e-Okul, Yükseköğretim Ortak Veri Tabanı (YOKSİS), Bilgisayar Destekli Merkezi Seçmen Kütüğü (SECSİS) gibi bilişim sistemlerinde kişisel verilerin bulundurulduğu ve gerekli olduğunda bu kişisel verilerin diğer resmi ve özel kurum ve kuruluşlarla paylaşıldığı bilinmektedir. Bu sistemler üzerinden gerçekleştirilen işlemlerin de DDK raporunda tespit edilen eksiklikliklerden arındırılması ve gerçek kişilere ait kişisel verilerin korunması gerekmektedir.
Bu kapsamda başta devlet kurumları ile telekomünikasyon, bankacılık, turizm, sigortacılık, kargo, pazarlamacılık gibi pek çok alanda faaliyet gösteren işletmelerin yukarıda yer verilen eksikliklerinin yasal bir düzenleme çerçevesinde giderilmesi ve ülkemizde gerçek kişilere ait kişisel verilerin korunması ihtiyacının karşılanması için Avrupa Birliği düzenlemeleri temel alınarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 7 Nisan 2016’da yürürlüğe girmiş ve KVKK’nın yürürlük tarihinden itibaren öngörülen 2 yıllık geçiş süresi 7 Nisan 2018’de sona ermiştir. KVKK’nın amacı kişisel verilerin işlenmesinin disiplin altına alınması ve başta özel hayatın gizliliği olmak üzere gerçek kişilerin temel hak ve özgürlüklerinin korunmasıdır. KVKK ile birlikte kişisel verilerin sınırsız bir biçimde gelişigüzel toplanmasının, yetkisiz kişilerin erişimine açılmasının, açıklanması veya meşru amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi öngörülmektedir.
Kamunun İstisnai Durumları
Daha öncede değinildiği üzere KVKK’da kamu kurumları ile özel kuruluşlar açısından bir ayrım yapılmamış kanunun belirlediği usul ve esasların kural olarak tüm kurum ve kuruluşlar için geçerli olacağı kabul edilmiştir. Dolayısıyla kamu kurumlarının işlediği kişisel veriler hakkında da KVKK hükümleri uygulanacaktır. Ancak daha çok kamu hizmetleri çerçevesinde karşılaşılabilecek şu durumlar kanunun uygulama kapsamı dışında bırakılmıştır:
• Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
• Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
Yine KVKK’nın amacına ve KVKK’da öngörülen temel ilkelere uygun ve orantılı olmak kaydıyla kanunda öngörülen aydınlatma yükümlülüğü, sicile kayıt yükümlülüğü gibi bazı yükümlülüklerin daha çok kamu hizmetlerinde çerçevesinde gündeme gelen aşağıdaki yer verilen faaliyet alanlarıyla sınırlı olarak uygulanmayacağı kabul edilmiştir:
• Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
• İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
• Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
• Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
Bu kapsamda yukarıda yer verilen istisnalar dışında kalan tüm konularda kamu kurumlarınca sunulan kamu hizmetleri kapsamında işlenecek kişisel veriler bakımından KVKK’da öngörülen usul ve esaslara uyulması yasal bir zorunluluktur.
Yine kamu kurumlarının KVKK uyarınca veri sorumlusu olarak, kanunda ayrıntıları düzenlenen; aydınlatma yükümlülüğü, veri güvenliğine ilişkin yükümlülükler, ilgili kişiler tarafından yapılan başvuruların cevaplanması ve KVK Kurulu tarafından verilen kararların yerine getirilmesi yükümlülüğü, kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgilisine ve KVK Kuruluna bildirme yükümlülüğü gibi temel yasal yükümlülükleri yerine getirmesi gerekmektedir.
Ayrıca KVKK ve ilgili mevzuat uyarınca kamu kurumları üst düzey yöneticileri, KVK Kurumu ile kurulacak iletişimi sağlamak amacıyla daire başkanı veya üstü bir yöneticiyi “irtibat kişisi” olarak belirleyerek, veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri, kişisel verilerin hangi amaçla işleneceği, veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamaları, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, yabancı ülkelere aktarımı öngörülen kişisel veriler, kişisel veri güvenliğine ilişkin alınan tedbirler, kişisel verilerin işlendikleri amaç için gerekli olan azami sürelerle birlikte Veri Sorumluları Siciline (VERBİS) kayıt işlemlerinin gerçekleştirilmesi için gerekli adımları atmalıdır.
Kamunun da cezai sorumluluğu Var
Bu yasal yükümlülüklerin yerine getirilmemesi durumunda KVKK’da idari ve cezai yaptırımlar öngörülmüştür. KVKK’da öngörülen yasal yükümlülüklere aykırılık teşkil eden eylemlerden bir kısmı kişisel verilere ilişkin suç olarak Türk Ceza Kanununun (TCK) “Özel Hayata ve Hayatın Gizli Alanına İlişkin Suçlar” bölümü içerisinde ele alınmıştır. Bu kapsamda kişisel verilere ilişkin TCK’da tanımı verilen suçları işleyenler hakkında her bir suç tipi için farklılık arz etmekle birlikte genel olarak 6 aydan 4 yıla kadar çeşitli hapis cezaları düzenlenmiştir. TCK’da tanımı verilen suçların kamu görevlisi tarafından ve görevinin verdiği yetkiyi kötüye kullanmak suretiyle işlenmesi halinde verilecek cezanın yarı oranında arttırılacağı öngörülmüştür.
Özel kuruluşlar bakımından 5.000 TL’den 1.000.000 TL’ye varan idari para cezalarının yanı sıra; KVKK’nın aydınlatma yükümlülüğü, veri güvenliği yükümlülüğü, KVK Kurulu tarafından verilen kararları yerine getirme yükümlülüğü, VERBİS’e kayıt ve bildirim yükümlülüğüne aykırılık teşkil eden eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi halinde, KVK Kurulu’nun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılması, ilgili kurumların yaptıkları soruşturmanın sonuçlarını KVK Kurulu’na bildirmesi öngörülmüştür.
Bu kapsamda önemle vurgulamak gerekir ki; Anayasal güvence altında olan özel hayatın gizliliği ve kişisel verilerin korunması hakkının korunması gerekliliğinin bir sonucu olarak yukarıda kısaca değinilen yasal yükümlülükler, yükümlülüklerin yerine getirilmemesinden kaynaklı mevcut eksiklikler ve yükümlülüklere aykırı davranılması halinde belirlenen idari ve cezai yaptırımların niteliği dikkate alındığında KVKK kapsamında yer alan özel kuruluşlar kadar kamu kurum ve kuruluşlarının da zaman kaybetmeden kişisel verilerin korunması yasal uyumluluğunun sağlanması adına gerekli kararları alması gerekmektedir.
