Bu yazıda da kitapçıktaki diğer bölümlerinin incelemesini yapacağız.
C. Kişisel Verilerin İşlenme Şartları
2. Hukuka ve dürüstlük kuralına uygunluk ne demektir?
Dürüstlük, veri sahibinin haberi olmadan hiçbir şekilde kişisel verisinin toplanmaması ve işlenmemesi, veri sahibine karşı haksızlığa yol açacak şekilde kullanılmaması, toplanma amacının aşılmamasıdır. Hukuka uygunluk ise veri işlemenin, Kişisel Verilerin Korunması Kanunu’na ve diğer mevzuata aykırı olmamasıdır
Dürüst davranma kanunun emridir. Medeni Kanun'da düzenlenmiştir.
Madde 2- Herkes, haklarını kullanırken ve borçlarını yerine getirirken dürüstlük kurallarına uymak zorundadır.
Bir hakkın açıkça kötüye kullanılmasını hukuk düzeni korumaz.
Dürüstlük, kişisel verisi işlenen ilgili kişiler ile kişisel verileri işleyenler arasındaki ilişkide kişisel veri işleyenlerin ilgili kişilerin haklarına riayet etmesidir. İlgili kişilerle ilgili verilerin işlenmesi ile ilgili kurallar kanunlarda yazmaktadır. Her konunun en ince ayrıntısına kadar mevzuatla düzenlenmesi mümkün değildir. Mevzuatla düzenlenmeyen alanlar için veri sorumlusunun veya veri işleyenin işlemleri sırasında dürüst olması beklenir. Örneğin aydınlatma yükümlülüğü yerine getirilirken yazılan cümlenin yanlış anlaşılacağı bilinirken düzeltilmeyerek yanlış anlaşılmasına izin verilmesi ve bundan bir menfaat elde edilmesi dürüstlükle bağdaşmaz. Şeklen hukuka uygun olup esas açısından haksızlığa sebep olunuyorsa dürüst davranılmamıştır. Hukukun izin verdiği her durumun dürüstlüğe de uygun olduğu ileri sürülemez. Her ne kadar hukukun izin verdiği konu bahane edilerek ilgili kişi aleyhine bir işleme faaliyetinde bulunulması durumunda veri sorumlusunun hukukun izninden ilgili kişi aleyhine olmaması gereken bir sonuç çıkartması dürüstlükle açıklanamaz.
6. Kişisel veri işleme amaçlarının belirli, meşru ve açık olması ilkesi ne anlama gelir?
Kişisel verilerin işlenmesinde güdülen amaçların, işlendikleri zaman için sınırlarının belirli olması, hukuka ve dürüstlük kurallarına uygun amaçlar olması ve bu bilgilerin ilgili kişilerle paylaşılmış olması gerekir.
9. Kişisel verinin işlenme şartları nelerdir?
Veri sahibinin açık rızasının varlığı
Kanun veri sahibi terimini kullanmamaktadır. İlgili kişinin açık rızasından bahsedilmektedir.
Veri işleme amacı Kanunda bulunan “veri sahibinin açık rızası” dışındaki veri işleme şartlarından birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmamaktadır. Veri işleme faaliyeti rıza dışında bir dayanakla yürütülebilecekse, veri sahibine rızası için başvurulması durumunda veri sahibinin yanılma riskinin doğmaması gerekmektedir.
Veri sahibi terimi kanunda yok. İlgili kişinin rızasının aranmadığı durumlarda bile ilgili kişinin rızasının alınmasının veri sorumlusuna sağlayabileceği bir çok avantaj bulunmaktadır. Örneğin kanunla izin verilen durumların muğlak olması durumunda veri sorumlusu ile ilgili kişi arasında ihtilaf çıkabilecektir. Bu durum veri sorumlusunun itibarı açısından da risk doğuracaktır. Her ne kadar ilgili kişinin yanıltılması riskinin varlığından söz edilse de en fazla ilgili kişinin yanılması durumunda verdiği açık rıza geçersiz olacaktır. Açık rızanın geçersiz olması durumunda da kanunun izin verme şartları devam etmektedir. Yani veri sorumlusunun ilgili kişinin açık rızasını almak istemesi, açık rızanın geçersiz olması durumunda dahi veri sorumlusunun üstlendiği risklerde bir artışa sebep olmaz.
10. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması ne demektir?
Direktif’in başlangıç bölümünde “şirketlerin ve diğer organların meşru olağan etkinlikleri” ifadesi yer almaktadır. Bu bağlamda “meşru menfaat”in “meşru ticari çıkarlar” olarak algılanması mümkündür.
İfade edilen bölüm direktifte "in the context of the legitimate ordinary business activities of companies and other bodies" şeklinde yer almaktadır. Ancak sorun şu ki AB direktifi iç hukukumuzun bir parçası değildir. Her ne kadar Kanun hazırlanırken direktif baz alınmış olsa da direktifte olup da mevzuatımızda yer almayan hükümlerin hukukumuz açısından bir değeri yoktur. Tersi durumda yani mevzuatımızda bulunan ama direktifte olmayan bir hüküm olduğunda da yine direktifte olmaması bir hukuki sonuç doğurmaz. Direktif olsa olsa sadece akademik tartışmaların konusu olabilir.
Bu sebeple direktifte kanunda yer alan "meşru menfaat" kavramının direktifte yer alan "şirketlerin ve diğer organların meşru olağan etkinlikleri" çerçevesinde "meşru ticari çıkarlar" olarak değerlendirilmesi isabetsizdir. Aksi durumda şirketlerin para kazanmak için kuruldukları düşünüldüğünde hukuka uygun her türlü para kazanma amacının kişisel verileri işlenmesinde ilgili kişinin rızasının alınmasını gereksiz kılması mümkün olabilir. Bir menfaatin hukuken geçerli olabilmesi ancak hukuken korunması ile mümkündür. Hukukun koruduğu menfaat de meşrudur ve kişinin hakkıdır. Bu açıdan bakıldığında kişisel verilerin işlenmesi için veri sorumlusunun bir hakkının var olması gerekecektir. Veri sorumlusuna bu hak kanunlarda açık ya da gizli olarak verilmiş olabilir. Örneğin bir şirket açısından çalışanlarına ait bazı kişisel verilerin işlenmesi bazı durumlarda yükümlülük bazı durumlarda da haktır. Örneğin TC kimlik bilgisi şirket tarafından resmi işlemlerin yapılabilmesi için işlenmesi gereken bir kişisel veridir. İş Kanunu'nda geçen prim ödemesi işverenin isteğine bağlı bir ödemedir. Prim hesaplamasında kullanılan çalışma saatleri, süreleri gibi bilgiler de kişisel veridir. Veri sorumlusu olan işverenin bu kişisel verileri işlemeden ticari faaliyetlerini yürütmesi mümkün değildir. Ancak veri sorumlusunun bu kişisel verileri üçüncü kişilerle paylaşması durumunda paylaşma amacının bir meşru bir menfaate yani bir hakka dayanması gerekir.
Sadece ticari bir çıkarın varlığı kişisel verilerin işlenmesi için yeterli hukuki zeminin varlığına işaret etmez. En yaygın uygulamalardan biri bir şirketin maaş hesaplarını yatırmak için bir banka şubesi ile anlaşması ve bu anlaşma sonucunda çalışanlarının bilgilerini banka şubesi ile paylaşmasıdır. Şirketler banka şubeleri ile anlaşma yaparken bazı ticari menfaatler talep etmektedirler. Bu bazen kredi kolaylığı bazen de doğrudan para olmaktadır. Oysa bankacılık sözleşmesi banka ile çalışan arasında yapılmaktadır. Teknik olarak ve hukuki plarak tüm çalışanların aynı banka şubesinden maaş hesaplarının bulunması zorunluluğu bulunmamaktadır. Ancak işveren çalışanlarına sormadan ve izinlerini almadan kişisel verileri banka ile paylaşmaktadır. Şirketin beklediği menfaat meşru bir menfaattir. Ancak yapılan uygulama usul açısından yanlıştır. Her çalışanın kendisinin paylaşması gereken kişisel verileri şirket tarafından banka ile paylaşılamaz. Ayrıca çalışanın belli bir bankanın belli bir şubesi ile çalışmaya zorlanıp zorlanamayacağı ayrı bir tartışma konusudur.
14. Özel nitelikli kişisel verilerin işlenmesi neden daha sıkı şartlara bağlanmıştır?
Bu bakımdan, “özel nitelikli kişisel verilerin” işlenmesinin mutlak bir yasak olarak kabul edilmesi mümkün değildir.
Son derece sorunlu bir üslup. Kişisel Verilerin Korunması Kanunu'nun amacı kişisel verilerin korunmasıdır. Özel nitelikli kişisel veriler korunmasına daha çok özen gösterilen kişisel verilerdir. Kanunda hangi durumlarda işlenebileceği açık şekilde yazılmıştır. Yani bu şartlar dışında özel nitelikli kişisel verilerin işlenmesi yasaktır. Bu mutlak bir yasaktır. Kişisel verilerin işlenmesinde "veri sorumlusunun meşru menfaati" gibi kanunlarda açıkça belirtilmeyen durumlarda da kişisel veriler işlenebilirken, özel nitelikli kişisel veriler için belirsiz bir sınır yoktur.
Yaşama hakkının ihlal edilmesi de (meşru müdafaa gibi) Anayasa'da ve kanunlarda yazılı istisnalardır. Bu durumda yaşama hakkının da mutlak bir korumaya sahip olmadığı söylenebilir mi?
Kişisel verilerin korunmasının düzenlemesini yapan bir kurumun kitapçığında özel nitelikli kişisel verilerin korunmasını yumuşatmaya yönelik söylemler doğru olmamıştır. Soruya verilen cevabın sadece ilk paragrafı sorunun cevabı olup diğer altı paragraf ilk paragrafın gücünü azaltmaya yönelik ifadeler içermektedir.
Veri Sahibinin Hakları
Başlığın kendisi sorunlu. Kanunda veri sahibi diye bir tanım yok. "İlgili kişi" tanımı kullanılması gerekirken ısrarla "veri sahibi" tanımının kullanılması kavramların kamuoyunda yerleşmesini sağlamakla görevli Kurum'un yapmaması gereken bir tanım karmaşasıdır.
2. İlgili kişinin hakları arasında sayılan “kişisel verileri işlenmiş ise bunlara ilişkin bilgi talep etme kavramı” ne şekilde uygulanacaktır?
Veri sorumluları siciline açıklanan bilgilerle, ilgili kişiye verilecek bilgiler arasında uyum olmalıdır. Bu kapsamda verilecek bilgi temel olarak kişilerin hangi verilerinin işlendiğine dair bilgilerdir.
Verilen cevap sorunun aslını cevaplamıyor. Diyelim ki ilgili kişi veri sorumlusuna "Benimle ilgili hangi kişisel verilerimi saklıyorsunuz?" sorusunu yöneltti. Veri sorumlusu da "Sizinle ilgili ad, soyad ve adres bilgilerinizi saklıyoruz" dedi ve içeriğini bildirmedi. Veri sorumlusunun cevabı veri sorumluları siciline açıklanan bilgilerle uyumlu ama hiç bir şey ifade etmeyen bir cevaptır. İlgili kişiye verilmesi gereken cevap hangi kişisel verilerin işlendiği ve işlenen kişisel verilerin içeriğidir. Bir hukuk bürosu tarafından finans kuruluşları için hazırlanan sunumda, ilgili kişinin talep ettiği kendisiyle ilgili kişisel verilerin içeriğinin veri sorumlusu tarafından sınırlandırılabileceği söylenmektedir. Kendisiyle ilgili kişisel verilerin tümünü bilmeyen bir kişinin haklarını kullanabilmesi beklenebilir mi? Örneğin kendisiyle ilgili kişisel verilerin bir kısmı saklanan kişi, Kanun'un madde 11/1d bendindeki "kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme" hakkını nasıl kullanabilir?
Veri sorumlusu ilgili kişinin kendisiyle ilgili tüm kişisel verileri talep edilmesi halinde ilgili kişiye vermek zorundadır. Adı üzerinde, bahse konu kişisel veriler o kişi ile ilgilidir.
3. Veri sahibi haklarını hangi hallerde ileri sürebilir?
Aşağıda sıralanan haller, Kanunun 28. maddesinin 1. fıkrası maddesi gereğince, Kanun kapsamı dışında tutulduğundan, kişisel veri sahiplerinin bu konularda veri sorumlularına başvurarak talepte bulunması mümkün değildir:
İlgili kişi her durumda veri sorumlusuna talepte bulunabilir. Veri sorumlusu Kanun'un 28. maddesinin 1. fıkrası gereğince talebi reddedebilir. İlgili kişinin hangi durumların Kanun kapsamı dışında kaldığını tespit edebilmesi beklenemez. Ayrıca bu durum tartışmalı bir konu da olabilir. Kurul'un karar verebileceği bir konu olup olmadığının tespit edilebilmesi için konunun Kurul'un önüne gelmesi gerekir. Bunun yolu da ilgili kişinin veri sorumlusuna başvurmasıdır. Veri sorumlusu "kendisine kanunun uygulanamayacağı" kararı Kurul tarafından verilinceye kadar veri sorumlusudur. İlgili kişinin talep hakkını en baştan bu tür ifadelerle engellemek kişisel verilerin korunmasına yardımcı olmayacaktır.
E. Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonimleştirilmesi
4. Anonimleştirmeyle ilgili yaygın olarak kullanılan teknikler nelerdir?
a. Maskeleme: Kişisel verilerin belli alanlarının silinerek veya yıldızlanarak kişiyi belirtemez hale getirilmesidir. Örneğin, kişinin kredi kartı numarasının bir kısmının yıldızlanması durumunda maskeleme söz konusudur. (6698 **** **** 0006)
Bu yöntem sadece tek başına veya başka bir veri birlikte kişisel veri olan veriler için geçerli olabilir. Örnekteki kredi kartı numarası gibi bir veri için kişinin TC Kimlik numarası tutuluyorsa anonimleştirme gerçekleşmiş sayılmaz. Çünkü hala ilgili kişinin maskelenmiş değerler ile birlikte de olsa bir kredi kartı olduğu bilinir. Maskeleme sonrası ilgili kişinin bilgileri arasından çıkartılırsa anonimleştirme gerçekleşebilir. İlgili kişiyle bağlantısı dururken maskeleme yapılması güvenlik olarak önemli bir adım olsa da kişisel veri açısından bir şey ifade etmez.
b. Toplulaştırma/Kümülatif Data Oluşturma: Verilerin kümülatif hale getirilerek toplam değerlerin yansıtılmasını ifade eder. Örneğin, şirkette kadın çalışan sayısının Z adet olması ve sayının %40’ının üniversite mezunu, %60’ının yüksek lisans mezunu olmasına ilişkin veriler anonim hâle getirilmiştir.
Yeni bilgilerin dayandığı bilgilerin silinmesi durumunda geçerli bir yöntemdir. İstatistik üretilen veriler duruyorsa yapılan işlem sadece istatistiksel sonuç üretmektir. Anonimleştirme sayılamaz.
c. Veri Türetme: Mevcuttaki detay verilerin daha genel karşılıklarıyla değiştirilmesidir. Örneğin, doğum tarihi bilgisinin Gün/Ay/Yıl detaylarının yerine kişinin direkt yaşının yazılması durumunda veri türetmek suretiyle anonimleştirme yapılmıştır.
Bu örnekteki şekliyle kullanılabilecek bir yöntem değildir. Doğum tarihi yerine yaşının yazılması ilgili kişiyle bağı duruyorsa bir şey ifade etmez. Eğer ilgili kişilerle bağı kopartılmışsa doğum tarihini yaş olarak yazmaya gerek kalmaz. Ancak doğum tarihi tekil ise ilgili kişiyle bağı devam ediyor demektir. Yaşının yazılması durumunda da aynı sorun olabilir. O yaşta tek kişi var ise veri anonimleştirilmiş sayılmaz. İlgili kişiyle bağı dururken doğum tarihi yerine yaş yazılırsa bu durumda da kişisel verinin doğru ve güncel olması ilkesine uyulmamış olur.
d. Veri Karması: Veri kümesi içinde değerlerin karıştırılarak toplam faydaya zarar vermeden kişilerin tespit edilebilirlik özelliğinin yok edilmesini ifade eder. Yaş ortalaması alınmak istenen bir sınıfta kişilerin yaşlarını gösteren değerlerin birbirleriyle değiştirilmesi durumunda veri karması yapılmıştır.
İlgili kişilere ait değerler birbirleri ile değiştirilmesinin pratik ne faydası olabilir ki? Kişisel verilerin işlenmesindeki ilkelerden verilerin doğru ve güncel olması ilkesine uyulmamış olur. İlgili kişi ile ilgisinin bir anlamı yoksa bilgiler ilgili kişilerden bağımsız olarak işlenebilir. Kişisel verilerin içeriğini bozmak doğru bir yöntem değildir.
F. Kişisel Verilerin Aktarılması
1. Kanunda kişisel verilerin yurt içinde aktarımı nasıl düzenlenmektedir?
Kanunun 8. maddesinde, kişisel verilerin kural olarak ilgilinin açık rızası olmaksızın üçüncü kişilere aktarılmaması öngörülmektedir. Maddenin 2. fıkrasında verilerin, ilgilinin açık rızası olmaksızın üçüncü kişilere aktarılmasına ilişkin düzenleme yapılmaktadır. Burada kişisel verilerin aktarılacağı üçüncü kişilerin, kanunen kişisel verileri alma veya kaydetme yetkisine sahip kişiler olması gerekmektedir.
Kanun 5. maddenin ikinci fıkrasına gönderme yapmaktadır. Bu şartların oluşması durumunda ilgili kişinin açık rızasının aranmasına gerek yoktur. İlgili madde fıkrasında üçüncü kişilerin kanunen kişisel verileri alma veya kaydetme yetkisi ile ilgili bir ifade bulunmamaktadır. a ve ç bentleri için bu durum söz konusu olsa da bir genelleme yapılmamıştır. Kullanılan ifadenin daha detaylı açıklanması gerekir.
2. Kanunun 8. maddesinde belirtilen (üçüncü kişi) kimdir?
Kişisel verilerin yalnızca gerçek kişilere ait veriler olabilmesinin aksine, “veri sorumlusu” ve “veri işleyen” hem gerçek hem de tüzel kişi olabilmektedir. Veri üzerinde işlem gerçekleştiren her türlü gerçek veya tüzel kişi, veri işlenmesine ilişkin amaç ve yöntemlerine göre, ya veri sorumlusudur.
Cümle yarım kalmış. "ya veri sorumlusudur" ifadesi herhalde "ya da veri işleyendir" ile bitecekti.
Veri Sorumlularına İlişkin Açıklamalar
5. Aydınlatma yükümlülüğünü yerine getirmenin bir şekli var mıdır?
Aydınlatma yükümlülüğünün yerine getirilmesi ilgili kişinin (veri sahibinin) onayına tabi değildir. Tek taraflı bir beyanla aydınlatma yükümlülüğü yerine getirilebilir. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.
"Aydınlatma yükümlülüğünün yerine getirilmesi ilgili kişinin onayına tabi değildir" ve "Tek taraflı bir beyanla aydınlatma yükümlülüğü yerine getirilebilir" ifadelerinin ne anlatmak istediği çok belirsiz.
Anlatılmak istenen herhalde şudur:
"İlgili kişi açık rızasını göstererek kişisel verilerinin işlenmesine onay verse de vermese de veri sorumlusu aydınlatma yükümlülüğünü yerine getirmek zorundadır. Veri sorumlusu sadece açık rızanın değil aynı zamanda aydınlatma yükümlülüğünün yerine getirildiğinin ispatından da sorumludur."
6. Veri sorumlusunun aydınlatma yükümlülüğü kapsamında amaca ilişkin bilgilendirme yapılırken söz konusu olabilecek “katmanlı bilgilendirme” nasıl yapılır?
Katmanlı bilgilendirme, amaca ilişkin bilgilendirilme yapılırken, önce kısa ve kolay anlaşılır bir metin sunup, metin vasıtasıyla, daha ayrıntılı açıklama talep edenlere yönelik detaylı açıklamalara işaret edilmesi durumudur.
Kanun kişisel veriler işlenmeden önce açık rızanın alınmasını öngörmektedir. Açık rızanın alınması için de aydınlatma yükümlülüğünün yerine getirilmesi gerekir. Aydınlatma yükümlülüğünde yeterli bilgilendirmenin yapılmayarak ilgili kişinin o anda erişmesi mümkün olmayan mecralarda daha detaylı bilginin olduğunun belirtilmesi ile aydınlatma yükümlülüğü yerine getirilmiş sayılmaz. Katmanlı bilgilendirme ancak açık rızanın aranmadığı ya da aydınlatma yükümlülüğünün çok basit olarak yerine getirilebildiği durumlarda ilgili kişilerin bilgilendirmesi amacıyla kullanılabilir. Örnek verilen güvenlik kameralarının kullanılmasında ise zaten açık rızanın aranmasına gerek yoktur. Veri sorumlusunun meşru menfaatleri ya da mevzuatla emredilmiş ise hukuki sorumluluğu vardır. Bu sebeple kişisel verilerin işlenmesi için aydınlatma yükümlülüğü de yoktur. Kamera kaydının yapıldığının bildirilmesi ilgili kişinin açık rızasının alınmasından ziyade kişilerin görüntü kaydının yapıldığı konusunda bilgilendirilmesidir. Bilgilendirme yapılmadan görüntü kaydının yapılması özel hayatın gizliliğini ihlal gibi bir çok hukuki soruna yol açabilir.
7. Kişisel verilerin aktarımı söz konusu ise aydınlatma yükümlülüğü yapılırken veri sorumlusunun aktarım yapacağı kişilerin ismini belirtmesi gerekli midir?
Kişisel verilerin aktarılabileceği kişi grubu ismen değil, faaliyet konularına göre belirtilmelidir.
Bu bir kural değil. İsteyen istediği gibi belirtebilir. Faaliyet konusu ile belirtmenin uzun vadede faydası olabilir. Örneğin bir holding bünyesinde şirketlerin ismi teker teker sayılarak belirtilirse, holdinge bir başka şirket eklendiğinde ilgili kişilerin açık rızası yeni şirket için alınmamış olur. Faaliyet alanları yazılsa da çok geniş anlaşılacak şekilde yazılamaz. Örneğin bazı aydınlatma metinlerinde neredeyse aktarılmayacak tüzel kişilik kalmayacak şekilde tanımlar yapılmaktadır.
8. Temsilci, vekil, veli veya vasi aracılığıyla gerçekleştirilen işlemlerde verisi işlenen kişi ile ilgili olarak aydınlatma yükümlülüğünün hangi aşamada yerine getirilmesi gerekir?
Hukuken temsilci, vekil, veli veya vasi aracılığıyla gerçekleştirilen işlemler, asil tarafından yapılmış kabul edilir. Dolayısıyla bahsedilen kişilere yapılan bilgilendirme ile aydınlatma yükümlülüğü yerine getirilmiş sayılır.
Böyle bir genelleme yapılamaz. Temsil edilen kişinin hangi haklarını kullanabileceği açıkça belirtilmemişse temsil edilen kişinin durumuna göre karar verilmesi gerekir. Örneğin 18 yaşından küçük ama 15 yaşından büyük olan bir kişinin yani çocuğun ayırt etme gücüne sahip olduğu kabul edilir. Bu durumda velisinin onun adına kişisel verileri ile ilgili hukuki işlem yapabilmesi şartlara bağlıdır. Çocuk kendisi ile ilgili bilgileri paylaşıp paylaşmamakta özgürdür.
Temsil eden kişinin veri sorumlusu olduğu açıktır. Temsil edilen kişiyle ilgili kişisel veriler için veri sorumlusuyla ilgili düzenlemeler geçerlidir. Kanunda ilgili kişinin açık rızasının aranmadığı durumlar bu durum için de geçerlidir. Yani temsil edenin temsil yetkisi ile veri sorumlusu olarak yetki ve sorumlulukları ortak değerlendirilmelidir.
Kişisel Verileri Koruma Kurulu
1. Kişisel Verileri Koruma Kurulu’nun başlıca görevleri nelerdir?
Kanun'da Kurul'un ilk görevi olarak "kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak" yazmaktadır. Gerçekten de Kurul'un diğer tüm görev ve yetkileri bu amacı yerine getirmek içindir ancak soruya verilen cevap içerisinde bu göreve değinilmemiş olması büyük bir hatadır.
l. Kurumun işleyişine, veri güvenliği ile ilgili yükümlülükleri belirlemeye ve veri sorumlusu ile temsilcisinin görev yetki ve sorumluluklarına ilişkin düzenleyici işlemleri yapmak
Bu yetki ancak kanunda belirlenen sınırlar içerisinde geçerlidir. Yani Kurul veri sorumlularına ilişkin görev, yetki ve sorumluluklarla ilgili düzenleme yetkisini Kanun'da kendisine düzenleme yetkisi verilen alanlarda kullanabilir. Örneğin Kurul'un yönetmelik taslaklarında da geçen Kişisel Veri İşleme Envanteri'nin oluşturulması görevi Kurul tarafından veri sorumlularından istenemez. Kurul'un veri sorumluları üzerindeki yetkileri ile ilgili daha detaylı bir inceleme hazırlanmaktadır.
3. Kanun kapsamında yapılan incelemeler neticesinde suç unsuruna rastlanılması halinde nasıl bir yol izlenecektir?
6698 sayılı Kişisel Verilerin Korunması Kanunu’nda konuya ilişkin olarak özel bir düzenleme bulunmamakla birlikte Türk Ceza Kanunu gereğince yetkili makamlara bildirimde bulunulacaktır. Bir fiil hem kabahat hem de suç oluşturuyorsa sadece suçtan dolayı yaptırım uygulanacaktır.
Kabahatlar Kanunu suç olmayan fiiller için kabahat hükümlerinin uygulanabileceğini belirtmektedir. Kurul suç unsuru tespit etmesi halinde suç duyurusunda bulunacaktır. Suç duyurusu sonucunda kovuşturmaya gerek olmadığına karar verilirse ya da kovuşturma sonucu suçsuz bulunursa bu durumda tekrar kabahat olarak değerlendirilmesi gerekecektir. Yani Kurul'un görevi suç duyurusu yapmakla sona ermemektedir. Soruşturma ve kovuşturma neticesini takip etmeli ve adli makamlarca suç olmadığı karara bağlandığında idari soruşturma ve yaptırım uygulanmalıdır.
Kabahatler için de bir zaman aşımı süresi vardır. Kanun'da geçen kabahatlere verilen idari para cezalarına göre zaman aşımı süreleri üç ile beş yıl arasındadır.
6. Kurum hangi konularda yönetmelik düzenleyecektir?
Ayrıca Kurul, kanuni bir zorunluluk olmaksızın da ihtiyaç duyması halinde Kanuna dayanarak yönetmelik veya diğer düzenleyici işlemleri yapabilecektir.
Bu ifadeden anlaşılan Kurul Kanuna dayanarak zorunlu olmadığı konular da dahil olmak üzere her konuda yönetmelik yayınlayabilecektir. Yani Kanun'un "yönetmelikle düzenlenir" anlamına gelen bir ifadenin olmadığı bir alanda da yönetmelik çıkartabilecektir. Bu mümkün değil. Kurul ancak Kanun'un izin verdiği alanlarda yönetmelik düzenleyebilir. Çünkü her yönetmelik dayanağını açıklamak zorundadır.
Kurul bu sorunun cevabında da yer alan sadece üç konuda yönetmelik çıkartabilir. Diğer konularda yönetmelik veya düzenleyici diğer işlemleri yapamaz. Bu konular:
7. maddesi uyarınca kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esaslar,
16. maddesi uyarınca veri sorumluları siciline ilişkin hususlar,
23. maddesi uyarınca “Kurulun Çalışma Esasları” başlıklı maddenin icrasını teminen Kurulun çalışma usul ve esasları
Ayrıca bir yönetmeliğin içine başka bir konuyu dahil ederek de izin verilmeyen bir alanda düzenleme yapamaz. Örneğin kişisel verileri işleme envanteri gibi.
I. Veri Sorumluları Sicili
İki soru bir cevap
Kitapçıkta sık sık rastlanan birbirinin benzeri sorulara verilen aynı ya da benzer cevaplar.
1. Veri sorumluları sicili nedir? Her veri sorumlusu veri sorumluları siciline kayıt yaptırmak zorunda mıdır?
3. Veri Sorumluları Siciline kimler kayıt olmalıdır?
Aynı cevap. Kopyala/Yapıştırın tipik bir örneği.
Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.
Sonuç Ve Yorum
Bu kitapçığın geneline bakınca bir kişi hazırlamış ve başka bir kişi tarafından okunmamış izlenimi uyandırmaktadır. Sorular özenli bir şekilde seçilmemiş, verilen cevapların bir kısmı da baştan savma olmuş. Kitapçıkta bir çok yazım hatası bulunmakta. Örneğin kitapçığın 67. sayfasında ilgili yazılması gereken yerde ilgi, 52. sayfasında da Kişisel Verilerin Korunması Kurulu yazılmıştır. Basit bir gözden geçirme ile bulunabilecek yazım hataları kitapçıktan ayıklanamamıştır.
Bazı sorular sorulmamış. Örneğin "Kurul kararlarına karşı hangi yol izlenir" sorulması gereken bir soru iken idare mahkemesine başvurulabileceği 77. sayfada kişisel verilerin işlenmesi hakkındaki Kurul kararına itiraz için anlatılmış. Diğer kararlar için de idare mahkemesine başvurulabileceğini belirten genel bir soru sorulmamış.
Veri sahibi terimi bir çok defa kullanılmış. Kanun'un "ilgili kişi" terimi yerine başka bir terim kullanmakta ısrar etmek çok gereksiz olmuş. Farklı terimlerin kullanılıyor olmasının sıkıntısı bazı sorularda da ortaya çıkmış. Doğrusu veri sahibi terimini hiç kullanmamaktır.
Kurum tarafından yapılan bu çalışma eksikliklerine ve yanlışlıklarına rağmen gerekli bir çalışmadır. Bazı konuların açığa kavuşması açısından da faydalı olmuştur. Yapmış olduğumuz eleştiri ve önerilerin dikkate alınarak yeni hazırlanacak metnin daha faydalı olacağı inancındayız.