Yönetmelikteki İrtibat Kişisi Sorunu

Veri Sorumluları Sicili Hakkında Yönetmelik taslağı kamuoyu görüşüne sunuldu. Görüşler bir form ile Kişisel Verileri Koruma Kurumu'na iletilebiliyor. Biz de yönetmelikle ilgili görüşlerimizi Kurum'a ileteceğiz. Ancak öncesinde tespit ettiğimiz itirazımız olan noktaları ayrı ayrı yazılarla sizlerle paylaşıyoruz.

İrtibat Kişisi

Yönetmelik taslağı kanunda olmayan bir tanım yaparak İrtibat Kişisi tanımını yapmıştır. Taslağa göre

İrtibat kişisi: Türkiye’de yerleşik olan tüzel kişilerin ve tüzel kişi veri sorumlusu temsilcisinin sicil kapsamındaki yükümlülükleriyle ilgili olarak, Kurul ve Kurum tarafından yapılacak iletişimlerde irtibata geçilmek üzere atanan gerçek kişi

şeklinde tanımlanmaktadır. Yönetmelikte irtibat kişisinin görevi ve sorumluluğu ise madde 11/4'te açıklanmaktadır.

Türkiye’de yerleşik olan tüzel kişiler Sicile kayıt sırasında irtibat kişisi bilgilerini bildirirler. İrtibat kişisi veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili değildir. İrtibat kişisi iletişim noktası olarak ilgili kişilerin veri sorumlusuna yönelteceği taleplerin hızlı ve etkin olarak cevaplandırılmasını sağlamakla yükümlüdür.

Anlaşıldığı kadarıyla irtibat kişisinin kuruma karşı veri sorumlusunu temsilen herhangi bir yetkisi bulunmayacak. Kurum da veri sorumlusu ile irtibat kişisi üzerinden değil yönetmelik taslağının 12. maddesinde belirtildiği üzere kimlik ve adres bilgisini kullanarak iletişime geçecek.

İrtibat Kişisinin Görevini Yerine Getirmemesinin Cezalandırılması

İrtibat kişisi, tek görevi olan ilgili kişilerin veri sorumlusuna yönelteceği taleplerin hızlı ve etkin olarak cevaplandırılması görevini yerine getirmemesi durumunda yüklenen yükümlülüğün müeyyidesinin ne olduğu belirtilmemiş. Yani bu kişi görevini yerine getirmezse veri sorumlusu cezalandırılacak. Elbette veri sorumlusu aldığı cezayı bu kişiye rücu edebilir. Ancak sorun şu ki Kanun'da irtibat kişisi sebebiyle de olsa, başka sebeplerle de olsa, ya da kasıtlı olarak da olsa veri sorumlularının ilgili kişilerin taleplerini süresinde cevaplamamasının bir cezası yok.

Kanunda idari para cezası verilebilecek durumlar (Madde 18), aydınlatma yükümlülüğünü (Madde 10) yerine getirmemek, veri güvenliğine ilişkin yükümlülükleri (Madde 12) yerine getirmemek, Kurul tarafından verilen kararları (Madde 15) yerine getirmemek, ve Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne (Madde 16) aykırı hareket etmek olarak sayılmıştır. Bunların dışında bir idari para cezası Kurul tarafından verilemez.

Kanun'da kabahatlerin düzenlendiği 18. maddenin sadece 1c bendi uygulanabilir gibi görünse de bu hüküm sadece kişilik haklarının ihlal edildiğine dair Kurul kararları için geçerlidir.

Madde 18
(1) c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar

Kanun'un hiç bir maddesinde veri sorumlularının 30 günlük kanuni süresi içinde cevap vermemesi durumunda veri sorumlusunun cezalandırılabileceğini ifade edilmiyor. Buna göre veri sorumluları süresinde cevap vermemekten dolayı cezalandırılamaz. Veri sorumlusu ancak ilgili kişilerin kişilik haklarının ihlal edilmesi durumunda Kurulca idari para cezasına çarptırılabilir.

Hukuk Alanı İhlali

Yönetmelik taslağında kafa karıştıran bir başka nokta da İrtibat Kişisi'nin doğrudan yönetmelikle yükümlü tutulmasıdır. Veri sorumlusu, Kurum ve irtibat kişileri arasında kanunla çizilen hukuki ilişkilere baktığımızda irtibat kişisi veri sorumlusunun bir çalışanı ise iş ilişkisi, sözleşme kurulmuşsa sözleşme ilişkisi vardır. Kurum ile veri sorumlusu arasında da Kanun'la kurulan bir düzenleyici kurum-yükümlü kişi ilişkisi vardır. Ancak irtibat kişisi ile kurum arasında herhangi bir hukuki ilişkinin varlığından söz edilemez. Kanunda da böyle bir yetkiden bahsedilmediğine göre yönetmelik taslağında Kurum'un irtibat kişisine bazı yükümlülükler yüklemesi de hukuken mümkün değildir.

İş Hayatında İşleyiş

Kurumlar ve kuruluşlar müşterileri, üyeleri ya da diğer gerçek ya da tüzel kişilerle iletişimlerini kişiler üzerinden yapmazlar. Ancak çok küçük kuruluşlar web sitelerinde gerçek kişilerin irtibat bilgilerini yayınlarlar. Genel olarak e-posta adresi veriliyorsa ilgili bölümün e-posta adresini, posta adresi veriliyorsa da ilgili birimin posta adresini verirler. Gerçek kişilerin irtibat bilgilerinin kullanılmaması da yerinde bir uygulamadır. Çünkü kişilerin işten ayrılması, hastalanması ya da başka sebeplerle ulaşılamıyor olması durumunda veri sorumlusu zor durumda kalacaktır.

Kurum veri sorumlusuna nasıl başvurulacağına ilişkin yöntemleri belirleyen yönetmeliği henüz yayınlamadı. Bu yüzden hangi yöntemlerle veri sorumlusuna başvurulacağını bilemiyoruz. Muhtemeldir ki veri sorumlularını internet üzerinden erişilebilme zorunluluğu getirecek. Bir başka yöntem de e-posta ile ulaşılabilmesini istemek olabilir. Bu yöntemler için de gerçek bir kişiye ait irtibat bilgilerinden ziyade veri sorumlusuna ulaşılabilecek irtibat bilgilerinden bahsedilebilir.

Sonuç

Yönetmelik taslağında geçen İrtibat Kişisi hem hukuki açıdan hem de iş hayatı açısından sorunludur.

Bu gerekçelerle irtibat kişisi uygulamasının yönetmelikten tamamiyle çıkartılmasını öneriyoruz.

Diğer Yazılar

Bir Kurul Kararı Daha

İlgili kişinin KEP adresine yaptığı başvurusuna zamanında cevap vermeyen veri sorumlusunun cevap vermesi ve vermemesi durumunda idari para cezası uygulanacağına ilişkin Kurul kararı

İstisnalar

Kurul’un Sicile kayıttan istisna tutulanları belirlediği kararının incelenmesi. Veri sorumlularının doğrudan belirlenmesi mevzuata aykırıdır.

KVKK – GDPR Karşılaştırması

23 mayısta İstanbul Barosu’ndaki etkinlikte yapılan KVKK-GDPR karşılaştırması sunumu. (Sürenin kısalığı sebebiyle en önemli maddelerin karşılaştırılması)

VERBİS’in Sorunları

Veri Sorumluları Sİcili VERBİS’in sunumda gösterilen halinde tespit edilen hukuksal, mantıksal ve teknik hatalar ve yorumlar

VERBİS Nasıl Çalışıyor?

Kişisel Verilerin Korunması Kanunu’nda öngörülen Veri Sorumluları Sicili VERBİS’in nasıl çalıştığına dair Kurumca yapılan sunumdaki bilgiler

7 Nisan’ın Önemi

7 Nisan 2016 öncesinde işlenen kişisel verilerin Kanun’a uygun hale getirilmesini düzenleyen Kanun’un geçici birinci maddesi ile ilgili açıklamalar

Bildiğimiz Ders: Kişisel Verilerini Kullanarak Kişileri Yönetmek

Facebook kullanıcıları ile kişisel verilerin seçimlerde seçmenlerin kararını manipüle etmek amacıyla kullanılması ilgili bir yazı

İrtibat Kişisi Muamması

Veri Sorumluları Sicili Hakkındaki Yönetmelik’te yer alan İrtibat Kişisi konusundaki düzenlemelerdeki çelişkiler ve hatalar

Kişisel Verileri Koruma Görevlisi (KVKG)

Veri sorumlularında yapılması gereken ve sürdürülmesi gereken görevler için görevlendirilecek kişisel verileri koruma görevlisi

Kişisel Veri İşleme Envanteri

Veri sorumlularının aydınlatma yükümlülüğünün yerine getirilmesi, Veri Sorumluları Sicili’ne kayıt ve imha politikası için başvurulması gereken belge