KVKK, kamu kurumlarına rehberlik yapmıyor

Bilindiği üzere, Anayasamızın 20 inci maddesine 5982 sayılı Kanunun 2 nci maddesiyle eklenen üçüncü fıkrasında; "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir."

Bu doğrultuda, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla, 6698 sayılı Kişisel Verilerin Korunması Kanunu 07 Nisan 2016 tarihli Resmi Gazete'de yayımlanarak yürürlüğe girmiştir.

Mezkür kanunda "KİŞİSEL VERİ"; "Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi" olarak tanımlanmış; bu bilgilerin işlenmesi ile ilgili genel ilkeler ise;

a) Hukuka ve dürüstlük kurallarına uygun olma,

b) Doğru ve gerektiğinde güncel olma,

c) Belirli, açık ve meşru amaçlar için işlenme,

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme"

Şeklinde tanımlanmıştır.

Diğer taraftan, ilgili kanunun "İlgili Kişinin Hakları" başlıklı 11 inci maddesinde;

"Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,

b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

d) Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme, haklarına sahiptir." düzenlemesi yer almaktadır.

Diğer taraftan, ilgili kanunun 17 nci maddesinde; "Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ncı madde hükümleri uygulanır. Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hale getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır." ifadesi yer almaktadır.

Bununla birlikte, mezkür kanunun 18 inci maddesinde ise; "Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi halinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir." denilmektedir.

Öte yandan, söz konusu kanunun 19 uncu maddesi uyarınca, ilgili kanunla verilen görevleri yürütmek üzere "KİŞİSEL VERİLERİ KORUMA KURUMU" kurulmuştur.

Bu kapsamda, ülkemizdeki bu yasal düzenlemeler neticesinde Kişisel Verileri Koruma Kurumu öncülüğünde tüm kamu idarelerinde kişisel verilerin işlenmesi, saklanması ve gerektiğinde silinmesi ile ilgili süreçlere dair politikalar, gizlilik sözleşmeleri ve kişisel veri envanteri oluşturma çalışmaları devam etmektedir.

Oldukça meşakkatli olan bu sürecin özellikle kamu idarelerinde farkındalığının yeni yeni başladığı görülmektedir. Yasal düzenlemeler çerçevesinde bir kamu idaresinin Kişisel Verileri Koruma sürecinde sırasıyla şu aşamaları tamamlaması gerektiği değerlendirilmektedir:

1- İdarenin Veri Sorumlusunun Belirlenmesi ve Kişisel Verileri Koruma Kurumunun VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) sistemine veri sorumlusu ile kurum irtibat kişisinin tanımlanması,

2- Kişisel veri saklama ve imha politikasının hazırlanarak kurum internet sayfasından duyurulması,

3- Kurumun yürüttüğü tüm faaliyetler dikkate alınarak geniş katılımlı Envanter hazırlama gruplarının oluşturulması ve bu kişilerce Kişisel Veri İşleme Envanterinin oluşturulması,

4- Hazırlanacak envanterlere uygun olarak Aydınlatma Yükümlülüğü metinlerinin hazırlanması,

5- İdarece belirlenen envanter çalışmaları sonucunda kişisel verilere uygun olarak Açık Rızaların tespiti ve Açık Rıza metinlerinin hazırlanarak ilgililere imzalatılması,

6- Özel nitelikli verilerin tespit edilerek güvenliğine ilişkin politikaların belirlenmesi,

7- Kişisel verilerin güvenliği ve aktarımına yönelik Bilgi İşlem birimlerince gerekli idari ve teknik tedbirlerin alınması,

Olarak sıralanabilir.

Kişisel Verileri Koruma Kurumunun (KVKK) web sitesini incelediğimizde; kamu idarelerinin yukarıda sıraladığımız süreçlerde kendilerine rehberlik edecek yeterli sayıda doküman hazırlığının yapılarak kamuoyuyla paylaşıldığını görüyoruz. (Ulaşmak için TIKLAYINIZ.)

Ancak, bazı kamu idareleri Kişisel Verilerin Korunması sürecinin dokümantasyon işini doğrudan özel firmalara hizmet alımı yapmak suretiyle "yüksek rakamlar" ödeyerek tabiri caizse kolaya kaçmaktadır. Halbuki, kurumun hukuk, insan kaynakları, strateji ve bilgi işlem birimlerinden oluşacak gruplar üzerinden KVKK mevzuatı ve ilgili rehber dokümanlar incelenerek bu sürecin yürütülmesinde hiçbir engel yoktur. Sonuç olarak, bir kamu idaresinin yaptığı iş üzerinden oluşturulacak envanter çalışmaları ve buna bağlı olarak aydınlatma metinleri aslında kurumun doğrudan kendisi hazırlaması en doğrusudur.

Ayrıca, Kişisel Verileri Koruma Kurumunun ise ifade ettiğimiz üzere yeni yeni farkındalığı artan kişisel verileri koruma süreci hakkında çok daha aktif bir eğitim veren kurum rolüne bürünmesinin önemli olduğunu düşünüyoruz. Kişisel Verileri Koruma konusunda kulaktan doğma bilgilerle kendini uzman sanan kişilerin eğitim vermesi yerine, bu konuda doğrudan KVKK tarafından yetkilendirilen kurum/kuruluşlar dışında eğitim verilmemesi gerektiğini değerlendiriyoruz. Süreç hakkında verilecek yanlış bir bilginin gerek idari para cezası gerekse kamu görevlileri nezdinde disiplin cezalarına varan ağır yaptırımlarının olduğu unutulmamalıdır.

Dolayısıyla, Kişisel Verileri Koruma Kurumunun (KVKK) kamu idareleri nezdinde yürütülen çalışmalarda daha öncü bir politika izleyerek kurum Veri Sorumluları ve irtibat kişilerine uzaktan eğitim yöntemleriyle belirli periyodlar halinde eğitimler vermesi çok faydalı olacaktır.

Yavuz Selim KAPLAN