Envanter ve Politika Zorunluluğu

Av. Hasan Selçuk Turan

6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016'da yürürlüğe girdiğinden beri kanundaki süreçlerin nasıl işleyeceğini açıklığa kavuşturacak yönetmeliklerin en önemlilerinden biri olan Veri Sorumluları Sicili Hakkında Yönetmelik taslağı kamuoyu ile paylaşıldı. Hukuki kısımlarını şimdilik bir kenara bırakırsak, bilgi teknolojilerinde çalışanlar için bir kısmının kullandığı ama büyük bir çoğunluğunun haberinin olmadığı ya da umursamadığı iki önemli düzenleme getirdi.

Yönetmelik, veri sorumluları için kişisel verileri işleyebilecekleri azami süreyi belirlemede dayanak olarak kullanacakları politikayı belirlemek için Kişisel Veri Saklama ve İmha Politikası, işledikleri tüm kişisel veriler için de Kişisel Veri İşleme Envanteri oluşturma zorunluluğu getirdi.

Yönetmelik taslağındaki ifadelerle açıklamak gerekirse

Kişisel veri saklama ve imha politikası:

Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirlemek için dayanak yaptıkları politika

Kişisel veri işleme envanteri:

Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve detaylandırdıkları envanter

Kurum daha sonra VERBİS ile ilgili bir bilgi notu yayınladı. Açıkladığı konular arasında Kişisel Veri İşleme Envanteri ve Kişisel Veri Saklama ve İmha Politikası konuları da vardı.

Sicile kayıt yükümlülüğü bulunan veri sorumluları Kişisel Veri İşleme Envanteri düzenleme yükümlülüğü altındadır.
Kişisel veri işleme envanteri, veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve detaylandırdıkları envanteri ifade etmektedir.

Sicile yapılacak başvurular sırasında verilmesi gereken bilgiler, kişisel veri işleme envanterine dayalı olarak hazırlanmalıdır. Veri sorumluları, Sicile sunulan ve Sicilde yayımlanan bilgilerin doğru, güncel ve hukuka uygun olmasından sorumludur.

Sicile kayıt yükümlülüğü bulunan veri sorumluları Kişisel Veri Saklama ve İmha Politikası düzenleme yükümlülüğü altındadır.

Sicile kayıt yükümlülüğü olan veri sorumlularının, kişisel veri işleme amaçlarının gerektirdiği azami veri işleme sürelerini belirlemek için dayanak yaptıkları politikayı ifade etmektedir.

Veri Konusu Kişi Grubu ve İlgili Kişi Karmaşası

Yönetmelik taslağında

Veri konusu kişi grubu: Veri sorumlularının kişisel verilerini işledikleri ilgili kişi kategorisini

denilerek veri konusu kişi grubu tanımlanmaktadır. Kanun kişisel veri ile kişi arasında "ilgi" bağını kurarken yönetmelik taslağı "konu" bağını kurmaktadır. İngilizce metinlerde "data subject" olarak geçen terim Kanunda "ilgili kişi" olarak karşılık bulmuştur ve neyi ifade etmek istediği kolayca anlaşılmaktadır. İlgili kişileri gruplamaya yönelik bu tanıma gerek olmadan ilgili kişi kategorisi terimi de amaç için yeterli olacaktır.

Kişisel Veri Saklama ve İmha Politikası

İngilizcesi Retention and Destruction Policy olan bu belge veri sorumlusunun işlenen kişisel verilerle ilgili azami işleme sürelerini gösteren belgedir. Bu belge hazırlanırken veri sorumlusu sakladıkları tüm verilerinin bir analizi yapılmalıdır. Analiz sonucunda hangi verilerin kişisel veri olduğu ya da olabileceği belirlenmelidir. Kişisel verilerin dahil oldukları kategoriler belirlenmeli (adres bilgileri, telefon görüşme kayıtları, kişisel sağlık verileri vb.) Verilerin kategorileri belirlenmeli ve her veri kategorisi için işlenebilecek azami süre bulunmalıdır.

Azami süre belirlenirken en önemli faktör işlenen kişisel veri için açık rızanın gerekip gerekmediği, gerekiyorsa açık rızanın alınması sırasında ilgili kişiye verilen bilgilerdeki sürelerdir. Açık rıza gerekirken açık rıza alınmadan toplanan kişisel verilerin işlenmesi Kişisel Verilerin Korunması Kanunu'na aykırıdır ve Türk Ceza Kanunu hükümlerine göre de suçtur.

Azami süre bulunurken her kişisel verinin durumunun farklı olduğu unutulmamalıdır. Örneğin internet sitesinden üye olurken toplanan kişisel veriler için üyenin herhangi bir alış veriş yapıp yapmadığı önemlidir. Alışveriş yapan üyeler için ilgili mevzuat hükümlerine göre evrakların yani kişisel verilerin saklanması gereken bir asgari süre varken, alışveriş yapmayanlar için öngörülebilecek azami süre üyelik sözleşmesinde ifade edilen süre olabilir. Her ne kadar üyelik sözleşmesinde herhangi bir süre ifade edilmiyorsa da makul olan sürenin ötesinden kişisel verilerin işlenmesi doğru olmayacaktır. Çünkü kanun kişisel verilerin işlenmesi için öngördüğü ilkelerden biri de İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesidir. Elbette işlenme ilkelerinin uygulanması yoruma açık ve kesin çizgileri olmayan ilkelerdir. Ancak ilkelerin sınırlarında belirsizlik olması sınırının olmadığı anlamına da gelmemektedir.

Internette siteye üye olduktan sonra alışveriş yapan bir müşteriyle ilgili kişisel verilerin işlenmesi ile ilgili açık rıza gerekliliği de işlemenin amacına göre değişebilmektedir. Buna göre Vergi Usul Kanunu ve Türk Ticaret Kanunu'na göre saklanması gereken belgeler için ilgili kişinin açık rızası aranmaz. Çünkü kanun veri sorumlusuna bazı yükümlülükler getirmiştir ve uyulmaması durumunda müeyyide uygulamaktadır. Ancak kanunların öngördüğü belgelerin saklanma amaçları dışında kişisel verilerin kullanılması durumunda açık rıza devreye girmektedir. İlgili kişinin açık rızasının bulunmadığı amaçlar için kişisel verilerin işlenmesi hukuka aykırı olacaktır.

Kanunda öngörülen ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumu veri sorumlusunun her türlü meşru menfaati için geçerli değildir. Örneğin "İlerde belki MASAK bana sorar" diye kanuni süresi geçmiş ve açık rıza da bulunmayan kişisel veriler ilelebet saklanamaz. Veri sorumlusunun meşru menfaatinin açık ve kabul edilebilir olması gerekir. Kişisel verilerin işlenmesi için "şu menfaat meşrudur, şu değildir" diye kategorik bir nitelendirmenin dışında objektif olarak ve şartlara göre değerlendirmek daha doğru olacaktır.

Kişisel Veri İşleme Envanteri

Kişisel veri işleme envanteri, veri sorumlusunun hangi amaçlar için, hangi tür kişisel verileri, hangi zaman süresince, hangi işlemleri yaptığını ve varsa başka hangi kişilerle paylaştığını gösteren bilgilerdir. Bir anlamda veri sorumlusunun iş süreçlerini de ortaya çıkarır.

İş süreçlerini geliştiren analistlerin zaten yapmak zorunda oldukları işe, kişisel verilere özgü kuralların da eklenmesinden başka bir şey değildir. Başarılı bir projenin gerçekleşmesi için tasarım aşamasında her türlü detayın düşünülmesi gerekir. Mahremiyetin daha tasarım aşamasında gözetilmesini amaçlayan "Tasarımda Mahremiyet" (Privacy By Design) yaklaşımı ile ilgili daha geniş bir yazı yakında sitemizde yayınlanacaktır.

Envanterin kendisi de bir veri tabanı olacaktır. Kişisel veri kategorileri, ilgili kişi kategorileri, amaçlar, işleme yöntemleri, kişisel veri kategorisi-azami süre, açık rıza sürümleri gibi bir çok tabloda tutulan bilgilerin gerçek kişisel verilerle eşleştirilmesi daha büyük bir zorluk olacaktır. Envanterin oluşturulmasından sonra asıl büyük iş envantere uygun şekilde kişisel verilerin silinmesi ya da anonimleştirilmesi sürecinde gerçekleşecektir.

Kişisel Veri İşleme Envanteri, bilgi teknolojileri profesyonelleri için buzdağının görünen kısmından bile küçük olacaktır. Envanterin doğru oluşturulmaması ya da kişisel verilerin tutulduğu tablolara uygulanmaması durumunda kanuna aykırılık ortaya çıkacak ve veri sorumlusu müeyyidelerle karşı karşıya kalabilecektir.

Envanter sadece dijital verileri kapsamamaktadır. İnsan kaynakları birimince tutulan başvuru formları ya da kağıt üzerinden toplanan bir kayıt sisteminin parçası olan tüm kişisel verileri de kapsamaktadır.

Sonuç

Envanter ve politika birlikte en fazla yüz sayfalık bir belge olacaktır. Ama bu belgeleri doğru düzenlemek, gerektiğinde değiştirmek ve belgelere sadık olarak iş yapmak için gerekli iş gücü, belgeleri hazırlamak için gereken iş gücünün kat be kat üstünde olacaktır.

Diğer Yazılar

Güvenlik

KVKK Yeterli Güvenlik Tedbirlerinde Sınır

Kanuna göre veri sorumlusu kişisel verilerin güvenliği için yeterli güvenlik tedbirlerini almakla yükümlüdür. Yeterli olmasında sınır nedir?

Bir Kurul Kararı Daha

İlgili kişinin KEP adresine yaptığı başvurusuna zamanında cevap vermeyen veri sorumlusunun cevap vermesi ve vermemesi durumunda idari para cezası uygulanacağına ilişkin Kurul kararı

İstisnalar

Kurul’un Sicile kayıttan istisna tutulanları belirlediği kararının incelenmesi. Veri sorumlularının doğrudan belirlenmesi mevzuata aykırıdır.

KVKK – GDPR Karşılaştırması

23 mayısta İstanbul Barosu’ndaki etkinlikte yapılan KVKK-GDPR karşılaştırması sunumu. (Sürenin kısalığı sebebiyle en önemli maddelerin karşılaştırılması)

VERBİS’in Sorunları

Veri Sorumluları Sİcili VERBİS’in sunumda gösterilen halinde tespit edilen hukuksal, mantıksal ve teknik hatalar ve yorumlar

VERBİS Nasıl Çalışıyor?

Kişisel Verilerin Korunması Kanunu’nda öngörülen Veri Sorumluları Sicili VERBİS’in nasıl çalıştığına dair Kurumca yapılan sunumdaki bilgiler

7 Nisan’ın Önemi

7 Nisan 2016 öncesinde işlenen kişisel verilerin Kanun’a uygun hale getirilmesini düzenleyen Kanun’un geçici birinci maddesi ile ilgili açıklamalar

Bildiğimiz Ders: Kişisel Verilerini Kullanarak Kişileri Yönetmek

Facebook kullanıcıları ile kişisel verilerin seçimlerde seçmenlerin kararını manipüle etmek amacıyla kullanılması ilgili bir yazı

İrtibat Kişisi Muamması

Veri Sorumluları Sicili Hakkındaki Yönetmelik’te yer alan İrtibat Kişisi konusundaki düzenlemelerdeki çelişkiler ve hatalar

Kişisel Verileri Koruma Görevlisi (KVKG)

Veri sorumlularında yapılması gereken ve sürdürülmesi gereken görevler için görevlendirilecek kişisel verileri koruma görevlisi