ÖZET
Bu makale; idare tarafından güncelliğini yitirmiş halka açık kayıtların KVKK açısından detaylı bir analizini sunarak, bu kayıtların kişisel veri kapsamına girip girmediği, KVKK’nın uygulanabilirliği ve bu kayıtların işlenmesi durumunda hangi hususlara dikkat edilmesi gerektiği sorularına cevap arıyor.
I. GİRİŞ
Günümüzde kamu kurumları tarafından yürütülen işlemler sonucunda ortaya çıkan ve çeşitli nedenlerle halka açık bulunan kayıtlar, kişisel verilerin korunması açısından önemli bir tartışma konusu haline gelmiştir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), bireylerin kişisel verilerinin korunmasını hedeflerken, bu kayıtların nasıl ele alınması gerektiği konusunda bazı belirsizlikler ve uygulamadaki sorunlar ortaya çıkmaktadır.
KVKK, 2016 yılında yürürlüğe girerek bireylerin kişisel verilerinin korunmasını güvence altına alma amacıyla önemli bir adım attı. Ancak KVKK’nın uygulamaya konulması sürecinde, özellikle güncelliğini yitirmiş halka açık kayıtların nasıl ele alınacağı konusunda bazı belirsizlikler ve tartışmalar yaşanmaktadır. Bu kayıtlar, kamu kurumlarının arşivleri, mahkeme kayıtları, okul kayıtları, hastane kayıtları ve benzeri kaynaklarda bulunabilir. KVKK, bir bireyi doğrudan veya dolaylı olarak tanımlamayı mümkün kılan her türlü bilgiyi kişisel veri olarak tanımlar. Bu tanım, KVKK’nın 3. maddesinde daha da açıklanarak, bir kişinin mevcut bilgilerle veya diğer bilgilerle birlikte, kimliğinin doğrudan veya dolaylı olarak belirlenmesini sağlayan özelliklere göre tanımlanabilir olmasının, kişisel verinin kapsamına girdiğini vurgular. Bu geniş tanımlama, güncelliğini yitirmiş olsa dahi, bir kayıt, kişinin kimliğini belirlemek veya belirlenebilir kılmak için kullanılabilecek bilgileri içeriyorsa, bu kaydın kişisel veri olarak kabul edilebileceği anlamına gelir. İdareler tarafından halka açık olarak yayımlanan kayıtlar, genellikle kamu yararını gözeten ve şeffaflık ilkesine uygun olarak belirlenen kriterlere göre erişime açılır. Bu tür kayıtlar, kamuoyunun bilgilendirilmesi ve denetim mekanizmalarının etkin çalışması amacıyla paylaşılır. Bu makale, idare tarafından güncelliğini yitirmiş halka açık kayıtların KVKK açısından detaylı bir analizini sunarak, bu kayıtların kişisel veri kapsamına girip girmediği, KVKK’nın uygulanabilirliği ve bu kayıtların işlenmesi durumunda hangi hususlara dikkat edilmesi gerektiği sorularına cevap aramaktadır.
24.03.2016 tarihli, 29677 sayılı Resmi Gazete (RG), 6698 Sayılı Kişisel Verilerin Korunması Kanunu1, 22.11.2001 tarihli, 24607 sayılı Resmi Gazete (RG) 4721 Sayılı Türk Medeni Kanunu2, 26.09.2004 tarihli 25611 sayılı Resmi Gazete (RG) 5237 Sayılı Türk Ceza Kanunu3.
II. KVKK’NIN UYGULANABİLİRLİĞİ : HUKUKİ DAYANAK VE SINIRLAMALAR
Güncelliğini yitirmiş halka açık kayıtların KVKK kapsamına girmesi halinde, bu kayıtların işlenmesi KVKK’nın uygulanmasına tabidir. KVKK, kişisel verilerin işlenmesi için bir dizi koşul ve sınırlama getirir. KVKK’nın 4. maddesi, kişisel verilerin işlenmesi için hukuki bir dayanak, verilerin işlenme amacına uygun olması, verilerin doğru ve güncel olması, verilerin işlenmesinin makul bir süreyle sınırlı olması ve verilerin güvenliği için uygun teknik ve idari önlemlerin alınması gibi hususları belirtir. KVKK’nın 5. maddesi ise, kişisel verilerin işlenmesi için özel şartlar getirir. Bu maddeye göre, kişisel veriler ancak belirli ve meşru amaçlar için işlenebilir, işlenme amacına uygun olarak işlenmelidir, doğru ve gerektiğinde güncel olmalıdır, ilgili amaçla sınırlı süreyle saklanmalıdır ve güvenliğini sağlamak için uygun teknik ve idari tedbirler alınmalıdır.
Bu çerçevede, güncelliğini yitirmiş halka açık kayıtların işlenmesi için hukuki bir dayanağın varlığı, KVKK’nın uygulanabilirliği için olmazsa olmazdır. Örneğin, idarenin arşiv amacıyla bu kayıtları saklaması, KVKK’nın 5. maddesindeki “hukuki bir yükümlülük” veya “kamu yararı” gerekçelerine dayanabilir. Ancak, bu gerekçelerin istismar edilmemesi ve KVKK’nın temel prensiplerine uygun olarak kullanılması gerekir. İdareler, kişisel verileri işlerken sadece gerekli olan kayıtları, sadece gerektiği kadar süreyle ve işleme amacına uygun olarak işlemeli ve bu verilerin korunmasına özen göstermelidir.
III. KVKK KAPSAMINDA KİŞİSEL VERİ İŞLEME İLKELERİNİN İDARELER TARAFINDAN İŞLENEN VE HALKA AÇIK ŞEKİLDE YAYIMLANAN VERİLER AÇISINDAN DEĞERLENDİRİLMESİ
KVKK’nın temel amacı; kişisel verilerin işlenmesinde, özellikle özel hayatın gizliliği olmak üzere, kişilerin temel hak ve özgürlüklerini korumaktır. KVKK’nın 3. maddesinde kişisel veri, “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanır.
Kişisel verilerin korunması ihtiyacı, hakların ortaya çıkış sürecinin temelini oluşturur. Özel hayatın gizliliği hakkı da, bireylerin mahremiyetini koruma ihtiyacından doğmuştur. Teknolojinin hızla gelişmesiyle birlikte, iletişim ve bilgi paylaşımı kolaylaşmış, şehirleşme hız kazanmış ve medya faaliyetleri çeşitlenmiş ve yaygınlaşmıştır. Bu gelişmeler, bireylerin özel hayatlarına olan müdahaleyi de beraberinde getirmiştir.
Kişisel verilerin korunmasına ilişkin ilkeler ve esaslar, birçok uluslararası metinde belirtilmiştir. Uluslararası alanda yapılan bu düzenlemelerde, 2010 yılında yapılan anayasa değişikliği ile 2709 sayılı Anayasa’nın (“Anayasa”) “Özel hayatın gizliliği” başlıklı 20. maddesine4 kişisel verilerin korunmasıyla ilgili bir fıkra eklenmiştir. Bahsi geçen fıkrada; “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi kapsar” denmek suretiyle kişisel verilerin korunmasını isteme hakkı, anayasal bir hak olarak ortaya çıkmıştır. Cümlenin devamında ise söz konusu hakkın kapsamı açıklanmıştır. Kişisel verilerin korunması kapsamında alınan tedbirlere uymayanlara karşı 5237 sayılı Türk Ceza Kanunu’nda (“5237 sayılı Kanun”) çeşitli suçlar düzenlenmiştir. 5237 sayılı Kanun’un 135-138. maddelerinde, kişisel verilerin hukuka aykırı olarak kaydedilmesi, verilmesi, ele geçirilmesi ve verileri yok etmeme suçları tanımlanmıştır. Bahsi geçen maddelerde anılan suçları tüzel kişilerin işlemesi durumunda ise tüzel kişilere ilişkin güvenlik tedbirleri uygulanacaktır.
Bu kapsamda İdareler tarafından halka açık şekilde paylaşılan kayıtlarda veri sahipleri gerçek ve tüzel kişilere ait ad, soyadı ve adres gibi veriler mevcut olup KVKK kapsamında bu verilerin kişisel veri sayıldığı izahtan varestedir. Bu doğrultuda, KVKK’nın “İlgili Kişinin Hakları” başlıklı 11. maddesinin 1. fıkrasının e bendinde; 7. maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, şeklinde tanımlanmıştır. Örneğin, İdare sıfatına sahip Ticaret Odası tarafından Ticaret Sicili’nde tutulan güncelliğini yitirmiş kişisel verilerin, Ticaret Odası’ndan silinmesi, yok edilmesi veya anonim hale getirilmesi gerekmektedir. Zira, KVKK’nın Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi başlıklı 7. maddesi; “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler re’sen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.” şeklinde belirtilmiş olup işbu hüküm doğrultusunda kişisel verilerin, işlenmesini gerektiren sebeplerin ortadan kalkması halinde re’sen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmesi, yok edilmesi veya anonim hale getirilmesi gerekmektedir. KVKK’nın 7. maddesinin lafzından da anlaşılacağı üzere, madde emredici hüküm niteliğindedir. Emredici hukuk kuralları, aksine bir davranış veya işlem yapılması mümkün olmayan kurallar olup kişiler veya işlemin tarafları, kendi iradeleri ile emredici nitelik taşıyan hukuk kurallarını değiştiremezler veya yok sayamazlar. KVKK’nın emredici hüküm niteliğindeki maddesi gereğince, kişisel verisi işlenen gerçek ve/ veya tüzel kişilerin kayıtlarının silinmesi talepli başvurular doğrultusunda, güncelliğini yitirmiş ve işlenme amacı ortadan kalkmış olan kişisel verilerin, idari kurumlar tarafından, örneğin Ticaret Odası gibi veri işleyen ve halka açık şekilde paylaşan idari kurumlar tarafından silinmesi gerekmektedir.
Uluslararası belgelerde kabul görmüş ve birçok ülkenin uygulamalarına yansımış olan kişisel verilerin işlenmesine ilişkin temel ilkeler bulunmaktadır. KVKK’nın 4. maddesinde, kişisel verilerin işlenmesine ilişkin usul ve esaslar, 108 sayılı Sözleşme ve 95/46/ EC sayılı Avrupa Birliği Direktifi ile uyumlu olarak düzenlenmiştir. Buna göre, KVKK’nın 4. maddesinde belirtilen kişisel verilerin işlenmesinde dikkate alınması gereken genel ilkeler şunlardır: hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme. Kişisel verilerin işlenmesine ilişkin bu ilkeler, tüm kişisel veri işleme faaliyetlerinin temelinde yer almalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.
KVKK’nın kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4. maddesinin (2) numaralı fıkrasıyla kişisel verilerin işlenmesinde ilkeler belirlenmiş ve bu ilkelere uyulması zorunlu tutulmuştur. (2) numaralı fıkranın (a) bendinde; hukuka ve dürüstlük kurallarına uygun olma tanımlaması yapılarak, kişisel verilerin işlenmesinde ve işlenen verilerin saklanması bakımından hukuka ve dürüstlük kurallarına uygun olma prensibine uygun olma zorunluluğu getirilmiştir. Dürüstlük kuralına uygun olma ilkesi uyarınca veri sorumlusu, veri işlemedeki hedeflerine ulaşmaya çalışırken, ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate almalıdır. Diğer bir ifade ile, ilgili kişinin beklemediği ve beklemesinin de gerekmediği sonuçların ortaya çıkmasını önleyici şekilde hareket etmesi gerekmektedir. Hukuka ve dürüstlük kuralına uygun olma ilkesi, diğer ilkeleri de kapsayıcı bir özelliğe sahiptir. Hukuka uygunluk, genel olarak hukuk normlarına ve evrensel hukuk ilkelerine uygunluktur. Hukuka uygunluğun kapsamı geniştir, mevzuata uygunluk da buna dahildir5. Bu ilkenin uygulanabilir olup olmadığının, öncelikle Anayasa’nın temel hak ve özgürlükler rejimi kapsamında değerlendirilmesi gerekmektedir. Kişisel verilerin işlenmesi, kişinin temel haklarına müdahale edilmesi anlamına gelir ve bu müdahalenin dürüst ve hukuka uygun kabul edilebilmesi için, Anayasa’nın temel hak ve özgürlüklerin kısıtlanmasıyla ilgili düzenlemelerine uygun olması zorunludur.
Dürüstlük kurallarına uygunluk, 4721 sayılı Türk Medeni Kanunu’nun (“4721 sayılı Kanun”) 2. maddesinde düzenlenen dürüstlük kuralının, kişisel veriler işlenirken ihlal edilmemesidir. Kişisel verilerin işlenmesi, hakkın kötüye kullanılmasını engellemek için dürüstlük ilkesine uygun olmalıdır. Bu ilke, kişilerin haklarını kullanırken güven kurallarına ve makul beklentilere uygun hareket etmelerini gerektirir. Kişisel verilerin korunması açısından, ilgili kişilerin verilerinin işlenmesinde, verilen izinlere veya emirlere dayalı olarak, mümkün olan en az miktarda veri işlenmeli, ilgili kişilerin öngöremeyeceği biçimde hareket edilmemeli ve ilgili kişilerin çıkarları ile makul beklentileri göz önünde bulundurulmalıdır. Haklı bir gerekçe olmaksızın ilgili kişinin özel hayatının gizliliğini veya onurunu ihlal eden veri işlemeleri, hukuka ve dürüstlük kurallarına uygun olma prensibine aykırıdır.
İdareler tarafından işlenen ve halihazırda halka açık platformlarda paylaşılan gerçek ve/ veya tüzel kişilere ait kişisel verilerin yukarıda açıkladığımız ilkelere uygun şekilde işlenmesi gerekmektedir. Hukuka ve dürüstlük kurallarına uygun olma prensibi kapsamında en az miktarda verinin işlenmesi, özel hayatın gizliliğini, ilgili kişinin çıkarlarını ve makul beklentilerini göz önüne alarak ve kanuna uygun bir şekilde veri işlemesi gerektiğinden, güncelliğini ve işlenme amacını yitirmiş gerçek ve/ veya tüzel kişilere ait kişisel verilerin idareler tarafından kamuya açık platformlarda ilan edilmesi ve yayınlanması hukuka ve dürüstlük kuralına uygun olma prensibine aykırıdır.
KVKK’nın 2. maddesinin (b) bendinde; “doğru ve gerektiğinde güncel olma” şeklinde tanımlama yapılarak, kişisel verilerin işlenmesinde ve işlenen verilerin saklanması bakımından uyulması doğru ve gerektiğinde güncel olma prensibine uygun olma zorunluluğu getirilmiştir. Bu ilke doğrultusunda, idareler tarafından, güncelliğini ve işlenme amacını yitirmiş kişisel verilerin halka açık kamu platformlarında yayımlanmasına ilişkin bir örnek vermek gerekirse, idare bir kurum olan Ticaret Odası’na bağlı Ticaret Sicili’nin gerçek ve/ veya tüzel kişilere ait eski yönetim kurulu üyesi ve/ veya pay sahibi olduğu şirketler bakımından işlenen kişisel verilerin, Ticaret Odası bünyesinde kurulan Ticaret Sicili’nce kamuya açık bir şekilde ilan edilmeye devam edilmesi, kişisel verisi işlenen ve paylaşılan gerçek ve/ veya tüzel kişiler açısından yukarıda açıkladığımız doğru ve gerektiğinde güncel olma prensibine açıkça aykırılık göstermektedir.
KVKK’nın 2. maddesinin (c) bendi; Belirli, açık ve meşru amaçlar için işlenme hükmünü amir olup kişisel verilerin işlenmesi bakımından belirli, açık ve meşru amaçlar için işlenmesi prensibi getirilmiştir. Kişisel verilerin işlenme amaçlarının belirli, meşru ve açık olması ilkesi, kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılabilir olmasını, bu faaliyetlerin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğini belirlemeyi ve kişisel veri işleme faaliyetinin amacını belirli bir şekilde ortaya koymayı sağlamaktadır.
Bu ilke, veri sorumlusunun veri işleme amacını açıkça ve kesin olarak belirtmesini ve bu amacın yasal bir gerekçeye dayanmasını şart koşar6. Veri sorumlusunun, ilgili kişiye bildirdiği amaçlar dışında başka amaçlarla kişisel veri işlemesi durumunda, bu eylemlerinden dolayı sorumluluk üstlenir. Amacın yasal olması, veri sorumlusunun işlediği verilerin, yaptığı iş veya sunduğu hizmet ile doğrudan bağlantılı ve bu amaçlar için gerekli olmasını gerektirir. Kişisel Verilerin Korunması Kurulu’nun (“KVKK”) emsal kararlarında da vurgulandığı gibi, meşru amaç, veri sorumlusunun işlediği verilerin, sunduğu hizmet veya yaptığı iş ile doğrudan bağlantılı ve bu amaçlar için gerekli olmasını ifade eder7.
Kişisel verilerin “belirli, açık ve meşru amaçlar için işlenme” ilkesi, kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılmasını, bu faaliyetlerin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğini belirlemeyi ve kişisel veri işleme faaliyetinin amacını belirli bir şekilde ortaya koymayı sağlar. Amacın meşru olması, veri sorumlusunun işlediği verilerin, sunduğu hizmet veya yaptığı iş ile bağlantılı ve bu amaçlar için gerekli olmasını gerektirir8.
Bu ilke kapsamında değerlendirme yapıldığında; idare tarafından güncelliğini ve işlenme amacını yitirmiş kişisel verilerin halka açık kamu platformlarında yayımlanmasına ilişkin bir örnek vermek gerekirse, idari bir kurum olan Ticaret Odası’na bağlı Ticaret Sicili’nin, gerçek ve/ veya tüzel kişilere ait eski yönetim kurulu üyesi ve/ veya pay sahibi olduğu şirketler bakımından kişisel veri işlemeye devam etmesi ve bu kişisel verilerin kamuya açık bir şekilde ilan edilmesi meşru bir amaç kalmadığı da göz önünde bulundurulduğunda, hukuka aykırı veri işleme faaliyeti gerçekleştirdiği görülmektedir. Dolayısıyla, idari bir kurum olan Ticaret Odası’na bağlı Ticaret Sicili’nin kişisel verileri halihazırda kamuya açık platformlarda halka açık şekilde ilan etmeye devam etmesi gerçek ve/ veya tüzel kişiler bakımından hak ihlali doğurmaktadır.
(ç) bendinde işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma hükmü gereğince, kişisel verilerin işlenmesi bakımından işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma prensibi getirilmiştir. Bu nedenle, işlenen verilerin belirlenen amaçların gerçekleştirilmesine uygun olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılması önemlidir. Sonradan ortaya çıkması muhtemel ihtiyaçları karşılamak amacıyla veri işlenmesi, yeni bir veri işleme faaliyeti anlamına geleceği için tercih edilmemelidir. İşlenen veriler, yalnızca amacın gerçekleştirilmesi için gerekli olan kişisel verilerle sınırlı tutulmalıdır. Amaç için gerekli olanın dışında veri işlenmesi, sınırlılık ilkesine aykırıdır. Veri işleme faaliyeti, amacı gerçekleştirmeye yönelik yeterli verinin temin edilmesi, ancak bunun dışında gerekli olmayan veri işlemeden kaçınılması esasına dayanmalıdır. Ölçülülük ilkesi, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulmasını ifade eder. Yani veri işlemenin, amacı gerçekleştirecek ölçüde olması gerekir9. İdari bir kurum olan Ticaret Odası’na bağlı Ticaret Sicili’nin gerçek ve/ veya tüzel kişilere ait isim, soy isim, adres vb. güncelliğini yitirmiş kişisel verileri yayınlamaya devam etmesinin herhangi bir hukuki ve kamusal yararı bulunmamaktadır. Zira Ticaret Sicili’nde güncel bilgiler bulunmaktadır. Unutulmamalıdır ki, KVKK’nın genel ilkeleri gereğince kişisel verilerin doğru ve güncel olması gerekmektedir. 2 maddesinin (d) bendinde, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde tanımlama yapılarak, kişisel verilerin işlenmesi ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkesi getirilmiştir.
Kişisel verilerin saklanması için amaçla sınırlılık ilkesi uyarınca veri sorumlusu tarafından belirlenen saklama sürelerinin yanı sıra, veri sorumlusunun tabi olduğu ilgili mevzuat kapsamında da belirlenmiş saklama süreleri mevcuttur. Bu durumda, veri sorumlusu ilgili kişisel veriler için mevzuatta öngörülmüş bir süre varsa bu süreye uymakla yükümlüdür. Eğer böyle bir süre öngörülmemişse veriler ancak işlendikleri amaç için gerekli olan süre kadar saklanabilir. Bir verinin daha fazla saklanması için geçerli bir sebep bulunmaması halinde, o veri silinecek, yok edilecek veya anonim hale getirilecektir. İleride tekrar kullanılabileceği düşünülerek ya da herhangi bir başka gerekçe ile kişisel verilerin muhafaza edilmesi yoluna gidilemez.
Yukarıda detaylı bir şekilde izah edilen tüm bu ilkeler göz önünde bulundurulduğunda, İdareler tarafından güncelliğini yitirmiş gerçek ve/ veya tüzel kişilere ait kişisel verilerin işlenmesi faaliyeti hukuka aykırı olup hak ihlali yaratmaktadır. İdareler tarafından hukuka aykırı şekilde işlenmeye devam eden bu nitelikteki kişisel veri işlenme faaliyetlerinin sona erdirilmesi ve verisi işlenen gerçek ve/ veya tüzel kişilere ait kişisel verilerin silinmesi, yok edilmesi ve/ veya anonim hale getirilmesi elzemdir.
A. Uygulamada Karşılaşılan Sorunlar
KVKK’ya uygun davranılması konusunda bazı önemli sorunlar yaşanmaktadır:
a. Uygulamada Zorluklar: İdareler tarafından güncelliğini yitirmiş halka açık şekilde ilgili web siteleri üzerinden veya fiziki olarak paylaşılan kayıtların silme veya anonimleştir me konusunda yeterli teknik altyapıya, yeterli kaynağa ve kişisel veri konusunda gerekli bilgi ve eğitimi olan personele sahip olmaması vb. gibi sebepler uygulamada zorluklara neden olmakta ve hak ihlalleri doğurmaktadır.
b. Şeffaflık Eksikliği: İdareler tarafından güncelliğini yitirmiş halka açık şekilde ilgili web siteleri üzerinden veya fiziki olarak paylaşılan kayıtların işlenmesi konusunda yeterli şeffaflık sağlamayarak, vatandaşların kişisel verilerine ilişkin haklarını öğrenmelerini ve bu hakları kullanmalarını zorlaştırmaktadır.
c. Denetim Eksikliği: İdareler tarafından güncelliğini yitirmiş halka açık şekilde ilgili web siteleri üzerinden veya fiziki olarak paylaşılan kayıtların işlenmesi sürecinin KVKK’ya uygunluğunun denetlenmesi konusunda yeterli mekanizmalar bulunmamaktadır.
1. Uygulamada Karşılaşılan Teknik ve Kaynak Sorunlarının Çözümü
İdarelerin güncelliğini yitirmiş halka açık kayıtları silme veya anonimleştirme konusunda teknik altyapı ve kaynak yetersizliğinin giderilmesi için, ilgili idarelerin bu konuda yeterli teknik altyapıya ve kaynaklara sahip olmalarını sağlayan bir yol haritası belirlenmelidir. Bu yol haritası, gerekli teknik altyapı yatırımlarının yapılması, ilgili idarelerin bu konuda uzmanlaşmış personel ile desteklenmesi ve gerekli kaynakların sağlanması gibi unsurları içermelidir.
2. Kişisel Verilerin İşlenmesi Konusunda Şeffaflığın Artırılması
İdarelerin, güncelliğini yitirmiş halka açık kayıtları işlerken şeffaflık konusunda bazı adımlar atması gerekmektedir. Bu adımlar şunları içerebilir:
a. Kişisel Veri Politikası Yayınlanması: İdarelerin, kişisel veri politikalarını web sitelerinde yayınlamaları ve bu politikalarda, güncelliğini yitirmiş halka açık kayıtların nasıl işleneceği, hangi kayıtların silineceği ve hangi kayıtların anonimleştirileceği konusunda açıklamalar yapmaları gerekmektedir.
b. Bilgi Edinme Hakkı: Vatandaşların, kendilerine ait kişisel verilerin işlenmesi konusunda bilgi edinme hakkının kolaylaştırılması için, idarelerin bu konuda kolay erişilebilir bilgi ve kaynaklar sağlamaları gerekmektedir.
c. Bilgilendirilme Yükümlülüğü: İdarelerin, güncelliğini yitirmiş halka açık kayıtları işlerken, ilgili kişileri bu konuda bilgilendirmesi ve veri işleme amacını, veri işleme süresini ve veri güvenliğine ilişkin önlemleri açıklaması gerekmektedir.
3. Kurul’un Rolünün Güçlendirilmesi: Güncelliğini Yitirmiş Halka Açık Kayıtlar İçin Etkin Bir Denetim Mekanizması Getirilmesi
İdarelerin güncelliğini yitirmiş halka açık kayıtları işlerken KVKK’ya uygun hareket etmesini sağlamak için, Kurul’un rolü etkin bir şekilde güçlendirilmeli ve aşağıdaki hususlara odaklanılmalıdır:
a. Denetimlerin Sıklaştırılması ve Kapsamının Genişletilmesi: Kurul, idarelerin güncelliğini yitirmiş halka açık kayıtları işleme faaliyetlerini daha sık ve kapsamlı bir şekilde denetlemelidir. Denetimler planlı bir şekilde ve belirli aralıklarla yapılmalı, ayrıca Kurul’un yetkileri, idarelerin kayıtlarına erişim sağlamayı, ilgili belgeleri incelemeyi ve gerektiğinde idareleri soruşturma altına almayı içerecek şekilde genişletilmelidir.
b. Şikayet Mekanizmasının Geliştirilmesi: KVKK, vatandaşların, kişisel verilerinin Kurul’a uygun olarak işlenmediği konusunda şikayetlerini iletebilecekleri mevcut şikayet mekanizmasının daha da erişilebilir ve şeffaf hale getirilmesinde aktif rol oynamalıdır. KVKK, şikayetleri hızlı ve etkili bir şekilde ele almalı, şikayetçileri süreç hakkında bilgilendirmeli ve şikayetlerin sonuçları hakkında raporlama yapmalıdır. Bununla birlikte, şikayet mekanizması daha da etkin hale getirilerek, vatandaşların şikayetlerini kolayca iletebilmeleri ve şikayetleri sonuçlandıracak sürecin daha şeffaf olması sağlanmalıdır.
c. Denetim Ekibinin Uzmanlaştırılması: Kurul’un, güncelliğini yitirmiş halka açık kayıtların işlenmesi konusunda uzmanlaşmış bir denetim ekibine sahip olması gerekmektedir. Bu ekip, ilgili mevzuatı ve uygulamada karşılaşılan sorunları iyi bilmeli ve idareleri etkili bir şekilde denetleyebilmelidir.
d. Cezai Yaptırımların Etkinleştirilmesi: Kurul, KVKK hükümlerini ihlal eden idarelere yönelik mevcut cezai yaptırımların uygulanmasında tutarlılık ve etkinlik sağlamalıdır. Yaptırımları uygularken, ihlalin ciddiyetini dikkate almalı ve caydırıcı bir etki yaratmalıdır.
e. Kurul’un Rolünün İdareler Özelinde Arttırılması: Kurul, güncelliğini yitirmiş halka açık kayıtların işlenmesi konusunda daha aktif bir rol almalı, idarelerin KVKK’ya uygun hareket etmesi için rehberlik sağlamalı ve denetimlerini sıklaştırmalıdır.
f. Denetim Sonuçlarının Yayınlanması: Kurul, denetim sonuçlarını kamuoyuna açık bir şekilde yayınlamalıdır. Bu, şeffaflığı artıracak ve idarelerin KVKK’ya uyum sağlamaları için bir teşvik görevi görecektir.
g. Denetimlerin Sıklaştırılması: Kurul, idarelerin güncelliğini yitirmiş halka açık kayıtları işleme faaliyetlerini daha sık denetlemelidir. Denetimler planlı bir şekilde ve belirli aralıklarla yapılmalıdır.
Özetle, güncelliğini yitirmiş halka açık kayıtların işlenmesi konusunda yaşanan sorunların çözümü için Kurul’un rolünün güçlendirilmesi, şeffaflık ve denetim mekanizmalarının etkin hale getirilmesi, cezai yaptırımların caydırıcı bir şekilde uygulanması ve belirsizliklerin giderilmesi gerekmektedir.
4. Çözüm Önerileri
Bu sorunları gidermek ve idarelerin güncelliğini yitirmiş kayıtları işlerken KVKK’ya uygun davranabilmelerini sağlamak için aşağıdaki çözüm önerileri sunulabilir:
a. Yönergeler ve Standartlar: İdareler, güncelliğini yitirmiş kayıtların işlenmesiyle ilgili detaylı yönergeler ve standartlar yayınlamalıdır. Bu yönergeler, güncelliğini yitirmiş kayıtların hangi durumlarda kişisel veri olarak kabul edileceğini, bu kayıtların işlenmesi için hangi hukuki dayanakların kullanılabileceğini, kayıtların güvenliği için hangi önlemlerin alınması gerektiğini ve kişilerin haklarının nasıl korunacağını açıkça belirlemelidir.
b. Sistematik Bir Süreç: İdare, güncelliğini yitirmiş kayıtların işlenmesi için sistematik bir süreç oluşturmalı ve bu süreci düzenli olarak gözden geçirmelidir. Bu süreç, kayıtların tespitini, değerlendirilmesini, silinmesini veya anonimleştirilmesini, güvenliğinin sağlanmasını ve kişilerin haklarının korunmasını kapsamalıdır.
c. Şeffaflık ve Bilgilendirme: İdare, güncelliğini yitirmiş kayıtların varlığı ve erişim koşulları hakkında kamuoyunu bilgilendirmek için web sitesi veya diğer platformlar aracılığıyla açık ve anlaşılır bilgi sağlamalıdır. Bu bilgiler, kayıtların hangi amaçla işlendiğini, hangi bilgiler içerdiğini, bu bilgilere kimlerin ve nasıl erişebileceğini, kayıtların ne kadar süreyle saklanacağını ve kayıtların silinmesi veya anonimleştirilmesi için hangi prosedürlerin uygulanacağını açıkça belirtmelidir.
d. Denetim ve İyileştirme: İdarenin, KVKK’ya uygunluk konusunda düzenli denetimler gerçekleştirmesi ve gerekli iyileştirmeleri yapması gerekmektedir. Bu denetimler, güncelliğini yitirmiş kayıtların işlenmesi sürecinin KVKK’ya uygunluğunu değerlendirmeli ve süreçte eksiklikler varsa gerekli iyileştirmelerin yapılmasını sağlamalıdır.
e. Eğitim ve Farkındalık: İdare, çalışanlarına ve vatandaşlara KVKK’nın temel prensiplerini, güncelliğini yitirmiş kayıtların işlenmesiyle ilgili riskleri ve kişisel verilerin korunması için alınması gereken önlemleri öğretmek için eğitim ve bilgilendirme programları düzenlenmelidir.
IV. SONUÇ
Sonuç olarak, idarelerin güncelliğini yitirmiş halka açık kayıtları işlerken KVKK’nın temel ilkelerine uyması ve bu kayıtların kişisel veri niteliğini taşıması durumunda, şeffaflık ve denetim mekanizmalarını güçlendirmesi büyük önem taşımaktadır. Özellikle “doğru ve gerektiğinde güncel olma” ilkesi göz önünde bulundurulduğunda, idarelerin güncelliğini yitirmiş kişisel verileri işleme faaliyetlerinin sona erdirilmesi, bu verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi gerekmektedir. Bu durum, hem veri sahiplerinin temel haklarının korunmasını hem de idarelerin KVKK’ya uygun hareket etmesini sağlayacaktır. Ayrıca, Kurul tarafından şeffaflık ve denetim mekanizmalarının idareler üzerinde daha da aktif bir şekilde etkinleştirilmesi, idarelerin kişisel verileri işleme politikalarını daha şeffaf ve hesap verebilir bir hale getirecek, bu da kamuoyu güvenini artıracaktır. Güncelliğini yitirmiş halka açık kayıtların KVKK kapsamında değerlendirilmesi, kişisel verilerin korunması açısından büyük önem taşıyor. Bu kayıtların kişisel veri niteliği taşıması durumunda, KVKK hükümlerine uygun olarak işlenmesi ve saklanması, şeffaflık ve denetim mekanizmalarının güçlendirilmesi ile sağlanabilir.
KAYNAKÇA
Kişisel Verileri Koruma Kurumu, “Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler”, https://www.kvkk.gov.tr/Icerik/4189/Kisisel-Verilerin-Islenmesine-Iliskin-Temel-Ilkeler Erişim Tarihi, 05.08.2024).
KVKK, T. 12.03.2020, K. 2020/212.
KVKK, T. 03.03.2020, K. 2020/193.
108 sayılı Avrupa Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi.
95/46/EC sayılı Avrupa Birliği Veri Koruma Direktifi.
24.03.2016 tarihli, 29677 sayılı Resmi Gazete (RG), 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
22.11.2001 tarihli, 24607 sayılı Resmi Gazete (RG), 4721 Sayılı Türk Medeni Kanunu.
26.09.2004 tarihli 25611 sayılı Resmi Gazete (RG), 5237 Sayılı Türk Ceza Kanunu.
13.05.2010 tarihli, 27580 sayılı Resmi Gazete (RG), 2709 Türkiye Cumhuriyeti Anayasasının Bazı Maddelerinde Değişiklik Yapılması Hakkında Kanun.
DİPNOT
1 24.03.2016 tarihli, 29677 sayılı Resmi Gazete (RG), 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
2 22.11.2001 tarihli, 24607 sayılı Resmi Gazete (RG) 4721 Sayılı Türk Medeni Kanunu.
3 26.09.2004 tarihli 25611 sayılı Resmi Gazete (RG) 5237 Sayılı Türk Ceza Kanunu.
4 13.05.2010 tarihli, 27580 sayılı Resmi Gazete (RG), 2709 Türkiye Cumhuriyeti Anayasasının Bazı Maddelerinde Değişiklik Yapılması Hakkında Kanun
5 Kişisel Verileri Koruma Kurumu, “Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler”, https://www.kvkk.gov. tr/Icerik/4189/Kisisel-Verilerin-Islenmesine-Iliskin-Temel-Ilkeler Erişim Tarihi, 05.08.2024).
6 Kişisel Verileri Koruma Kurumu, “Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler”, https://www.kvkk.gov. tr/Icerik/4189/Kisisel-Verilerin-Islenmesine-Iliskin-Temel-Ilkeler Erişim Tarihi, 05.08.2024).
7 Kurul Kararı, T. 12.03.2020, K. 2020/212.
8 Kurul Kararı, T. 03.03.2020, K. 2020/193.
9 Kişisel Verileri Koruma Kurumu, “Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler”, https://www.kvkk.gov. tr/Icerik/4189/Kisisel-Verilerin-Islenmesine-Iliskin-Temel-Ilkeler Erişim Tarihi, 05.08.2024).
