İstisnalar

Av. Hasan Selçuk Turan

Kişisel Verileri Koruma Kurulu'nun 2.4.2018 tarihli 2018/32 sayılı kararı 15.5.2018 tarihli Resmi Gazete'de yayınlandı. Kurul bu kararı ile Veri Sorumluları Sicili VERBİS'e kayıt olmaktan muaf tutulan veri sorumlularını belirledi. Bu karar üzerine, Kanunda istisnaların nasıl düzenlendiğinin ve Kurul kararının bu açıdan değerlendirilmesinde fayda var.

Mevzuat
Kişisel Verilerin Korunması Kanunu

Veri Sorumluları Sicili
Madde 16
(2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.

Kanun Kurul'u belirlenecek istisnaların objektif olması dışında serbest bırakmıştır. Olabilecek objektif kriterlere de işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu örnekleri verilmiştir.

Kanun'da istisnalar 28'nci düzenlenmiştir.

İstisnalar
MADDE 28

  • (1)Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz:
    • a)Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
      b)Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
      c)Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
      ç)Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
      d)Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
  • (2)Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz:
    • a)Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
      b)İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
      c)Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
      ç)Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

İster Kanun'un uygulanması istisnaları olsun isterse Kanun'un bazı maddelerine istisna getirilmiş olsun düzenlenen tüm istisnalar kişisel veri işleme faaliyetinin tanımlanması şeklindedir. Kanun istisnaları belirlerken kişisel verileri işleyen veri sorumlusunun kimliğine ve genel olarak da mevzuat açısından konumuna bakmamaktadır. Buna göre veri sorumluları, kanun kapsamı dışında bırakılan faaliyetleri açısından kanuna uymak zorunda değilken istisna bırakılmayan faaliyetler açısından kanuna uymakla yükümlüdürler.

Kurumca yayınlanan Veri Sorumluları Sicili Hakkındaki Yönetmelik'te de Kurul'un istisnaları belirlerken göz önünde bulunduracağı kriterler belirlenmiştir.

Kurul'un istisnaları belirlerken göz önünde bulunduracağı kriterler
a) Kişisel verinin niteliği.
b) Kişisel verinin sayısı.
c) Kişisel verinin işlenme amacı.
ç) Kişisel verinin işlendiği faaliyet alanı.
d) Kişisel verinin üçüncü kişilere aktarılma durumu.
e) Kişisel veri işleme faaliyetinin kanunlardan kaynaklanması.
f) Kişisel verilerin muhafaza edilmesi süresi.
g) Veri konusu kişi grubu veya veri kategorileri.

Yönetmelikle belirlenen bu kriterlerden hiç biri de veri sorumlusunu doğrudan işaret etmemekte ve veri sorumlusunun veri işleme faaliyetlerini tanımlamaktadır.

Sonuç olarak bakıldığında ne Kanun'da ne de yönetmelikte Veri Sorumluları Sicili VERBİS'e kayıt istisnalarının belirlenmesinde veri sorumlusu kriteri yoktur.

Sicile Kaydın İstisnalarının Kişisel Veri İşleme Faaliyetleri Olması

Veri Sorumluları Sicili VERBİS'e kaydı düzenleyen Kanun'un 16'ncı maddesinin 3'ncü fıkrasında yapılması gereken başvuru, bir bütün olarak yani veri sorumlusu ve kişisel veri işleme faaliyetleri ile ilgili bilgiler olarak sayılmıştır. Kısacası VERBİS'e kayıt veri sorumlusuna kullanıcı kodu ve şifrenin gönderilmesi ile bitmemekte ve kişisel veri işleme faaliyetlerinin girilmesi ile tamamlanmaktadır.

Sicile kayıt yükümlülüğü istisnalarının kişisel veri işleme faaliyetleri olarak düzenlenmesi durumunda, veri sorumlusunun tüm kişisel veri işleme faaliyetleri kanun kapsamı dışında veya Kurul tarafından istisna tutulmuşsa veri sorumlusunun Sicile kayıt yükümlülüğünden bahsedilemez. Çünkü kayıt içeriğinde kişisel veri işleme faaliyeti de yer aldığından Sicile kayıt olması gereken kişisel veri işleme faaliyeti olmayan veri sorumlusunun Sicile başvuru yapması mümkün değildir. Yani veri sorumlusunun sicile kayıttan istisna tutulması, kişisel veri işleme faaliyetlerinin istisna tutulması ile de mümkündür. Eğer veri sorumlusunun istisna tutulmayan kişisel veri işleme faaliyeti var ise sicile kayıt olmak zorunda olacaktır.

Kurul Kararı

Kurul'un istisnaları belirleyen kararına göre sicile kayıttan istisna tutulanlar:

1.Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler.

2.18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler.

3.04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden,
20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve
18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan
yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler.

4.22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler.

5.19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar.

6.1/6/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler.

Kurul kararında yer alan altı istisnanın tamamında veri sorumlusu doğrudan işaret edilmektedir. 1 ve 3'ncü maddelerde yer alan yalnızca ifadesinin kanun kapsamında olmayan ve istisna tutulan kişisel veri işleme faaliyetleri dışında kişisel veri işleme faaliyeti olmayanlar kayıt olmaz kuralını açıklamak dışında bir işlevi yoktur. Bu iki maddede de istisna tutulan faaliyetler sıralanmış ancak sonunda yine veri sorumlusu işaret edilmiştir.

Kurul kararında istisna tutulanların kriterlere göre değerlendirilmesi sonucu elde edilen sonuç tablosu aşağıdadır.

Tabloda da açıkça görüleceği üzere Kurul istisnaları belirlerken kişisel veri sayısını, 3'ncü kişilere aktarılma durumunu veya muhafaza edilme süresine itibar etmemiştir. İstisnalar dışında tutulan bir tane kişisel verisi bulunan veri sorumlusu dahi Sicile kayıt olmak zorundadır.

İstisnalardaki Belirsizlikler

Kurul kararında, tekrarlanmasında bir mahsur olmamasına rağmen bir tercih olarak Kanun'dan kaynaklanan istisnalara yer verilmemiştir. Bunun sonucu olarak Sicile kayıttan istisna tutulanları belirlemek için Kanun'dan kaynaklanan istisnaların da değerlendirilmesi gerekir.

Kanun'un 28'nci Maddesinin 1'nci Fıkrasının (a) Bendi

Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi

ifadesi gerçek kişilerin kişisel veri işleme faaliyetlerinin hangilerinin Kanun kapsamına girmediğini belirtilmektedir

Bu düzenlemeye göre bir kişinin tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi Kanun kapsamında değildir. Tamamen kendisiyle kişisel veri işlenmesi ne demektir?

Kanun'un referans aldığı 95/46/EC ile yeni yürürlüğe giren GDPR'da da benzer ifade bulunmaktadır.

95/46/EC Madde 3 ve GDPR Madde 2
by a natural person in the course of a purely personal or household activity

GDPR Recital 18
This Regulation does not apply to the processing of personal data by a natural person in the course of a purely personal or household activity and thus with no connection to a professional or commercial activity. Personal or household activities could include correspondence and the holding of addresses, or social networking and online activity undertaken within the context of such activities.

Çeviri
Bu tüzük, bir gerçek kişinin mesleki veya ticari faaliyetle ilişkisi olmayan ve yalnızca(tamamen) kendisiyle veya ev halkıyla ilgili olan kişisel veri işlenmesine uygulanmaz. Bu bağlamdaki kişisel ve hane halkı işlemeleri, adreslerin saklanması ve haberleşilmesi veya sosyal iletişim ve internet faaliyetlerini de kapsar.

Direktifte yer alan ifade ile GDPR'da yer alan ifade birebir aynı olmasına karşın GDPR'daki açıklama sınırın çizilmesine yardımcı olmaktadır. Bu değerlendirme Kanundaki ifadenin nasıl anlaşılması gerektiğinin belirlenmesi için de kullanılabilir. Kısacası kişisel veri işleme faaliyetlerinin mesleki ve ticari faaliyet olması durumunda Kanun kapsamında kabul edilmesi gerekir.

Bu değerlendirme ışığında;
Serbest meslek erbabı kişiler, esnaflar ve sanatkarların iş amaçlı kişisel veri işlemesi,
Gerçek kişilerin aynı konutta yaşamadıkları aile fertleriyle ilgili kişisel veri işlemesi;
Gerçek kişilerin aynı konutta yaşamalarına rağmen hukuken aile kabul edilmediği kişilerle ilgili kişisel verileri işlemesi

herhangi bir şekilde dijital ortamda ise, örneğin cep telefonunu kullanılması, bu kişiler sicile kayıt olmak zorunda olan veri sorumlusudurlar.

Kanun'un 28'nci Maddesinin 1'nci Fıkrasının (ç) ve (d) Bentleri

(ç)Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
(d)Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Bu düzenlemede de Kanun kişisel veri işleme faaliyetini işaret etmiştir. Buna göre millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşların önleyici, koruyucu ve istihbari faaliyetler kapsamı dışında kalan kişisel veri işlemeleri Kanun kapsamındadır ve Kurul kararı ile istisna tutulmadıklarına göre sicile kaydolmak zorundadırlar.

Benzer şekilde yargı makamları veya infaz mercilerinin, soruşturma, kovuşturma, yargılama veya infaz işlemleri ile ilgili olmayan kişisel veri işleme faaliyetleri Kanun kapsamındadır ve Kurul kararı ile istisna tutulmadıkları için sicile kaydolmak zorundadırlar.

Bazı kişisel veri işleme faaliyetleri Kanun kapsamı dışında tutulan kamu kurum ve kuruluşları en başta çalışanlarına yönelik kişisel veri işleme faaliyetleri olmak üzere istisna tutulmayan tüm faaliyetlerini sicile bildirerek kayıt olmak zorundadır.

Kanun'un 28'nci Maddesinin 2'nci Fıkrası

Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun Veri Sorumluları Siciline kayıttan muaf tutulan kişisel veri işleme faaliyetleri:

a)Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
b)İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
c)Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
ç)Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

Bu düzenlemede de kişisel veri işleme faaliyetleri sıralanmıştır. (a) ve (ç) bentlerinde kişisel veri işleme faaliyetinin belirtilen amaç için gerekli olması şartı getirilirken, (c) bendinde amacın yanına bir kriter daha getirilerek sadece kanunun verdiği yetkiye dayanan belirli veri sorumluları için ilgili amacın geçerli olabileceği düzenlenmiştir. (b) bendinde ise kişisel verinin niteliği yani aleni olması belirtilmiş ve sicile kayda istisna getirilmiştir.

Veri Sorumlusunu İstisna Bırakmak

Yukarıda belirtilen istisnaların hepsi kişisel veri işleme faaliyetlerinin tanımı yapılarak düzenlenmiştir. Bazı istisnalarda da kişisel veri işleme faaliyetini daha detaylı tanımlamak için veri sorumlusuna yer verilmiştir. Ancak hiç bir veri sorumlusu için tüm kişisel veri işleme faaliyetleri istisna kapsamında bırakılmamıştır.

Kurul'un kararında ise 3'ncü madde hariç kişisel veri işleme faaliyetleri zikredilmeden doğrudan veri sorumlusu için istisna getirilerek ilgili veri sorumlusunun tüm kişisel veri işleme faaliyetleri istisna tutulmuştur. Sadece 3'ncü madde Kanun'un istisna tanımlarına biraz benzer yapıdadır. Ancak onda da en sonda doğrudan veri sorumlusu tanımı yapılmıştır.

Doğrudan veri sorumlusunun sicile kayıttan istisna tutulması mahzurları olan bir yöntemdir. Veri sorumlusunun tüm kişisel veri işleme faaliyetleri amacına, niteliğine, sayısına ve diğer kriterlere bakılmaksızın kayıttan istisna olacaktır. İstisna bırakılan veri sorumlularının tüm kişisel veri işleme faaliyetlerinin veri sorumlusuna özel ilgili mevzuatlarında öngörülen kişisel veri işleme faaliyetleri olduğunu kabul etmek mümkün değildir. Örneğin istisna tutulan veri sorumluları İş Kanunu'na göre işçi çalıştırdıklarında da İş Kanunu çerçevesindeki kişisel veri işleme faaliyetleri açısından sicile kayıttan muaf olacaklardır. Oysa ki, Sicile kayıttan muaf olmayan bir işverenin İş Kanunu çerçevesindeki kişisel veri işleme faaliyetleri ile aralarında herhangi bir farklılık yoktur. Bu durumun adil bir yaklaşım olduğu söylenemez.

İlgili kişiler açısından bakıldığında da bu bir sorundur. İlgili kişilerin kişisel verilerinin ne kadar süre için saklanacağını görebilecekleri tek yer kamuya açık olan Sicildir. İlgili kişiler Sicile kayıttan muaf tutulmayan veri sorumluların saklama sürelerini VERBİS'ten öğrenebilirken, Kurul kararı ile istisna tutulan veri sorumluların mevzuatta işlenmesi öngörülen kişisel veriler dahil hangi kişisel verilerin ne kadar süre ile sakladığını veri sorumlusuna başvuruda bulunmadan öğrenmeyecektir. Kanun'un ruhuna aykırı bir durumdur.

Sonuç

Kişisel Verileri Koruma Kurulu'nun verdiği Veri Sorumluları Sicili'ne kayıttan istisna bırakılanları düzenleyen kararı doğrudan veri sorumlularını işaret ettiği için hatalıdır. Kurul istisna kararında istisna bırakılacak kişisel veri işleme faaliyetlerini belirlemesi gerekirken, Kanun ve yönetmelikteki düzenlemeleri aşarak veri sorumlularını doğrudan belirlemiştir. Bunun sonucunda benzer amaçlar için, benzer hukuki sebeplere dayanarak kişisel veri işleyen veri sorumluları arasında sadece veri sorumlusunun tabi olduğu mevzuat sebebiyle ayrımcılık yapılmıştır.

Tüm istisnalar birlikte değerlendirildiğinde Sicile kayıt olması gereken kişilerin sayısı milyonlarla ifade edilebilir. Kayıt olması gerekenlerden sadece esnafların sayısı 30.4.2018 tarihi itibariyle 1.716.827'dir. Bu sayıya, tamamen kendisiyle ve aynı konutta yaşayan aile ferdiyle ilgili kişisel verilerin dışında kişisel veri işleyen milyonları da kattığımızda VERBİS sisteminin çalışması mümkün değildir.

Kurul'un bu yazıda açıklananların doğrultusunda düşünmediği bir gerçek. Yoksa istisnalar bu şekilde belirlenmezdi. Kurum isterse bu yazının neden yanlış olduğunu açıklayabilir. Biz de neyi yanlış anladığımızı ya da neyi farklı anladığımızı anlamış oluruz.

Diğer Yazılar

Güvenlik

KVKK Yeterli Güvenlik Tedbirlerinde Sınır

Kanuna göre veri sorumlusu kişisel verilerin güvenliği için yeterli güvenlik tedbirlerini almakla yükümlüdür. Yeterli olmasında sınır nedir?

Bir Kurul Kararı Daha

İlgili kişinin KEP adresine yaptığı başvurusuna zamanında cevap vermeyen veri sorumlusunun cevap vermesi ve vermemesi durumunda idari para cezası uygulanacağına ilişkin Kurul kararı

KVKK – GDPR Karşılaştırması

23 mayısta İstanbul Barosu’ndaki etkinlikte yapılan KVKK-GDPR karşılaştırması sunumu. (Sürenin kısalığı sebebiyle en önemli maddelerin karşılaştırılması)

VERBİS’in Sorunları

Veri Sorumluları Sİcili VERBİS’in sunumda gösterilen halinde tespit edilen hukuksal, mantıksal ve teknik hatalar ve yorumlar

VERBİS Nasıl Çalışıyor?

Kişisel Verilerin Korunması Kanunu’nda öngörülen Veri Sorumluları Sicili VERBİS’in nasıl çalıştığına dair Kurumca yapılan sunumdaki bilgiler

7 Nisan’ın Önemi

7 Nisan 2016 öncesinde işlenen kişisel verilerin Kanun’a uygun hale getirilmesini düzenleyen Kanun’un geçici birinci maddesi ile ilgili açıklamalar

Bildiğimiz Ders: Kişisel Verilerini Kullanarak Kişileri Yönetmek

Facebook kullanıcıları ile kişisel verilerin seçimlerde seçmenlerin kararını manipüle etmek amacıyla kullanılması ilgili bir yazı

İrtibat Kişisi Muamması

Veri Sorumluları Sicili Hakkındaki Yönetmelik’te yer alan İrtibat Kişisi konusundaki düzenlemelerdeki çelişkiler ve hatalar

Kişisel Verileri Koruma Görevlisi (KVKG)

Veri sorumlularında yapılması gereken ve sürdürülmesi gereken görevler için görevlendirilecek kişisel verileri koruma görevlisi