Kişisel verilerin korunması alanını kapsamlı bir biçimde düzenlemek üzere art arda yasal düzenleme yapılması yoluna gidildiği ve karar ve tebliğlerin yayımlandığı bugünlerde; son olarak konuya ilişkin yakın tarihli bir gelişme gerçekleşti: Kişisel Verileri Koruma Kurumunun teşkilat yapısı, hizmet birimlerinin görev, yetki ve sorumlulukları ile çalışma usul ve esaslarını belirlemek üzere Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliği”  26 Nisan 2018 tarihli ve 30403 sayılı Resmi Gazete’de yayımlandı.

Kurumun teşkilat yapısı ile hizmet birimlerinin yönetmelik ile düzenlenecek olması esasen önceki yayımlanan yönetmelikler gibi beklenen bir gelişmeydi. Zira 6698 sayılı Kanun’un “Başkanlığın oluşumu ve görevleri” başlıklı 25. maddesinin 5. fıkrasında hizmet birimleri ile bu birimlerin çalışma usul ve esaslarının yönetmelik ile belirleneceği belirtilmişti. Böylece Kanun ile öngörülmüş olan bir adım daha atılmış oldu.

Bunu takiben de 5 Mayıs 2018 tarihli ve 30412 sayılı Resmî Gazete “Kişisel Verileri Koruma Kurumu Personeli Görevde Yükselme Ve Unvan Değişikliği Yönetmeliği” yayınlamıştır. Böylelikle, liyakat ve kariyer ilkeleri çerçevesinde, hizmet gerekleri ve personel planlaması esas alınarak, Kişisel Verileri Koruma Kurumunda görev yapan personelin görevde yükselme ve unvan değişikliğine ilişkin usul ve esasları belirlenmiştir.

Ancak bu makalenin konusunu esas olarak Teşkilat Yönetmeliği oluşturmaktadır. Bu bağlamda Yönetmelik hükümlerini daha iyi anlayabilmek adına öncelikle Kişisel Verileri Koruma Kurumu’nun yapısından kısaca söz edip; ardından 6698 sayılı Kanun’un Kurum açısından öngörülmüş olan düzenlemeleri ile Yönetmelik tarafından getirilen yenilikler çerçevesinde kendi görüş ve değerlendirmemi belirteceğim.

Kişisel Verileri Koruma Kurumu

Kişisel Verileri Koruma Kurumu, 6698 sayılı Kanun ile kendisine verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz bir şekilde kurulmuş olup; Kanun’un “Kişisel Verileri Koruma Kurumu ve Teşkilat” başlıklı 6. bölümünün altında düzenlenmiş bulunmaktaydı. Yönetmeliğin de 2. bölümüyle Kurum’un yapısı ve görevleri Kanun’a paralel olarak belirtilmiştir.

Merkezi Ankara’da bulunan Kişisel Verileri Koruma Kurumu, Kişisel Verileri Koruma Kurulu ve Başkanlık olmak üzere iki ayrı koldan oluşmakla birlikte hizmet birimleri daire başkanlıkları şeklinde teşkilatlanmış bulunmaktadır. Ayrıca Kurum’un kendisine tahsis edilen kaynakları belirlenen usul ve esaslar çerçevesinde kullanmakta serbest olduğu Yönetmelikle belirtilmiştir. Kurum’un görevleri noktasında herhangi bir yeniliğe gidilmemiş ve Kanun’un ilgili hükmü tekrarlanmıştır.

Kişisel Verileri Koruma Kurulu

Kurum’un karar organı olarak öngörülen ve biri başkan, biri ikinci başkan olmak üzere dokuz üyesi bulunan yapı Kişisel Verileri Koruma Kurulu olarak adlandırılır. Kurul ilgili yasal düzenlemelerle belirlenmiş olan görev ve yetkilerini başka kişi veya organlardan emir, talimat veya tavsiye almaksızın bağımsız olarak kullanabilmektedir. Bu da Kurulun özerk bir yapıda oluşturulmak istenildiğini ve mevzuatın bu şekilde oluşturulduğunu; aynı zamanda Kanunun ve Yönetmeliğin Avrupa Konseyi’nin 108 sayılı Kişisel Verilerin Korunmasına İlişkin Sözleşmesi’ne ve AB’nin 95/46/EC sayılı Direktifine uyumlu düzenlenmeye çalışıldığını göstermektedir.

Yönetmelikle, Kanuna ek olarak Kurul’un görev alanına dahil edilen faaliyetler şunlardır:

- Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esasları belirlemek:

Bu amacı gerçekleştirmek üzere 28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazete’de “Kişisel Verilerin Silinmesi, Yok edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik” yayınlanmıştı. Dolayısıyla esasen uygulamada zaten yerine getirilen bir yükümlülük, Yönetmelik maddesiyle görevler arasına dahil edilmiştir.

- Yurtdışına veri aktarılabilmesi için yeterli korumaya sahip olan ve olmayan ülkeleri belirleyip ilan etmek:

Kanun’un veri aktarımına ilişkin maddesinde yeterli korumaya sahip bulunan ülkelerin Kurulca belirleneceği belirtilmişti. Yönetmelik ile Kurulun yeterli korumaya sahip olan ülkeleri belirleme görevi tekrar edilmiştir. Ayrıca “olmayan ülkeleri” ibaresine de ayrıca yer verilmiş olmasının kelime anlamından yeterli korumaya sahip olmayan ülkelerin de ayrı olarak belirtileceği anlamı çıkmaktadır. Bununla birlikte yeterli korumaya sahip olan ülkeler arasında sayılmayan bir ülkenin ayrıca bir belirlemeye gerek olmaksızın; direkt yeterli korumaya sahip olmayan bir ülke olarak sayılacağı anlamı da çıkabilmektedir.

- Kişisel verilerin korunması, işlenmesi ve güvenliği ile ilgili sektörel uygulama esaslarını belirlemek ve akreditasyon, sertifikasyon, eğitim ile rehberlik konularında usul ve esasları belirlemek:

Kurulun görevlerinin sayıldığı Yönetmeliğin ilgili maddesinde bu fıkranın dikkat çekici olduğunu düşünüyorum. Kullanılan kişisel verilerin sektörden sektöre farklılık göstermesi ve dolayısıyla verilerin korunması, işlenmesi ve güvenliğinin sağlanmasına ilişkin esasların da birbirinden farklı olması sektörel bazda bir uygulamanın varlığını zorunlu kılmaktadır. Bu nedenle kişisel verilerin korunmasının sağlanması için işlenmesi ve güvenliğine ilişkin esasların sektörel bazda belirlenmesi Kurulun görevleri arasında sayılmıştır. Bunun uygulama açısından son derece önemli olduğunu ve sektörel belirlemelerin yapılması ve kararların alınması halinde, uygulayıcıların daha kolay ve açık kararlar alabileceklerini düşünüyorum.

Bununla birlikte kişisel verilerin korunması için çalışmaların etkin bir biçimde devamının sağlanması için konuyla ilgili denklik sağlama, sertifika ve eğitim çalışmaları ile rehberlik etme faaliyetlerinin gerçekleştirilmesi gerektiğinin anlaşılması üzerine; bu faaliyetlere ilişkin esasların Kurul tarafından belirlenmesi gerektiği belirtilmiştir.

- Kişisel verilerin korunması konusunda kurum ve kuruluşları bilgilendirmek ve kamuoyuna yönelik farkındalık faaliyetleri gerçekleştirmek:

Kişisel verilerin ne yazık ki ülkemiz açısından yeni gündeme gelen bir konu olması ve dolayısıyla yeterli bilincin henüz gelişmemiş olması sebebiyle kişisel veriler konusunda kurum ve kuruluşlar ile kamuoyuna yönelik farkındalık eğitimlerinin gerçekleştirilmesi gerekliliği düşünülmüştür. Bu alanda ortaya çıkan bilgi ve farkındalık ihtiyacını gidermeye yönelik en güncel girişim Kurum’un resmi Twitter hesabından kişisel verilere özgü temel kavramların tanımlandığı kamu spotu şeklinde videoların yayınlanmasıdır. Ayrıca Kurul başkanı ve üyeleri yurdun dört bir yanında konferans ve sempozyumlara konuşmacı olarak katılmakta, sorulara yanıt vermekte ve Kurum merkezinin olduğu Ankara’da da düzenli toplantılar düzenlemektedirler. Bu tür çalışmalar kişisel verilerin öneminin anlaşılması konusunda yeterli bilincin sağlanması bakımından oldukça önemli ve yararlıdır.

- Üniversiteler ve ilgili diğer yurtiçi ve yurtdışı kurum ve kuruluşlarla işbirliği ve koordinasyon çalışmaları yürütmek:

Kanun’un uygulanması ve kişisel verilerin korunmasının sağlanması için Kurumun faaliyetlerinin tek başına yeterli olmayacağı açıktır. Zira kişisel verilerin insana özgü bir alan olması dolayısıyla belli bir kurumun kendi içerisindeki çalışmalarıyla etkin bir uygulama mümkün değildir. Bu nedenle de Kurulun, kurum ve kuruluşlar ile kişisel verilere ilişkin iş birliği sağlaması gerektiği Yönetmelik maddesiyle ortaya konmuştur. Bu iş birliği ve koordinasyon çalışmaları da Kurulun görevleri arasında ayrıca belirtilmiştir.

Başkanlık Teşkilatı

1. Başkan

Kurul üyeleri arasından Kurul tarafından seçilen Başkan, Kurul ve Kurumun başkanı sıfatıyla Kurumun en üst amiri konumundadır. Kurum hizmetlerini mevzuata uygun bir biçimde yürütmek amacıyla Kurumun genel yönetim ve temsilinden sorumludur. Başkanın görev ve yetkileri konusunda Kanun düzenlemelerinden ayrılmaksızın; ilgili hüküm aynen tekrar edilmiştir.

Başkan ile beraber ayrıca bir ikinci başkan, Başkanın yokluğunda ona vekalet etmesi sebebiyle yine Kurul tarafından seçilir. İkinci başkanın da yokluğunda ise Başkan tarafından belirlenen bir üye Başkanlık görevini vekaleten yerine getirir.

2. Başkan Yardımcısı

Başkanın Kanun ile kendisine getirilen görev ve yetkilerin kullanımında ve yükümlülüklerini yerine getirmede ona yardımcı olmak görevi Başkan Yardımcısı tarafından yerine getirilir.

3. Hizmet birimleri yöneticileri

Hizmet birimleri yöneticileri Başkan tarafından atanır ve ilgili yasal düzenlemeler ile Kurul kararlarıyla belirlenen yükümlülükleri yerine getirmekle görevlidir. Teşkilat Yönetmeliğinde, personeli arasında uyum, işbirliği ve işbölümünü temin etmek ve Başkan tarafından verilen diğer görevler başlıca yükümlülükleri olarak düzenlenmiştir.

Hizmet Birimleri ve Görevleri

Yönetmelikle belirlenen Kuruma ait hizmet birimleri şu şekildedir:

- Veri Yönetimi Dairesi Başkanlığı:

Kişisel verilerin işlenmesine ilişkin usul ve esasların belirlenmesi ile veri sorumlusu, temsilcisi ve irtibat kişisinin görev ve sorumluluklarına ilişkin çalışmalar yürütmek Dairenin başlıca görevlerindendir. Ayrıca Veri Sorumluları Sicili ile ilgili her türlü iş ve eylem ve aydınlatma yükümlülüğünü yerine getirmeyenler hakkında yapılacak işlemler Veri Yönetimi Dairesi’nin görevleri arasında düzenlenmiştir.

- İnceleme Dairesi Başkanlığı:

Dairenin en önemli görevi veri sorumlusuna şikâyet ve Kurula yapılacak başvurularla ilgili ön veya esas inceleme yapmakla beraber her türlü iş ve eylemi yürütmektir. Kurula yapılan başvuruların yanında resen incelemenin söz konusu olması halinde de konuyla ilgili İnceleme Dairesi görev yapacaktır. Kurul tarafından verilen kararları yerine getirilmeyenler hakkında işlemler, Kurul kararları ve toplantılarına ilişkin işlemleri yürütmek de Dairenin görevleri arasında sayılmıştır.

- Hukuk İşleri Dairesi Başkanlığı:

İsminden de açıkça anlaşılacağı üzere Hukuk İşleri Dairesi’nin temel görevi Kurumun taraf olduğu hukuki işlemleri yürütmek ve sonuçlandırmak ayrıca hukuki konularda görüş ve danışmanlık hizmeti sunmaktır.

- Veri Güvenliği ve Bilgi Sistemleri Dairesi Başkanlığı:

Kanun’a uyumlu hale gelmek ve kişisel verilerin korunmasının sağlanması için tek başına hukuki önlemlerin alınmasının yeterli olmadığı kabul edilmelidir. Özellikle Kanun’a uyumluluk projelerinde kişisel veriler konusunda uzman hukukçuların yanında veri güvenliği sağlayan şirketler de muhakkak yer almalıdır. Tam da bu noktada kişisel verilerin korunmasında alınması gereken teknik önlemlerin belirlenmesi ve denetimi ile veri güvenliğine ilişkin her türlü iş ve eylemi yürütmek Veri Güvenliği ve Bilgi Sistemleri Dairesi Başkanlığı’na bırakılmıştır.

- Rehberlik, Araştırma ve Kurumsal İletişim Dairesi Başkanlığı:

Kurumun görev aldığı konularda ulusal ve uluslararası düzeylerde araştırmalar yapmak, kişisel verilerin korunması ile ilgili standartları belirlemek ve ihtiyaç duyulan konularda projeler yürütmek Dairenin temel görevleri arasında yer alır. Böylece kişisel verilerin korunması alanındaki kurum ve kuruluşlar, üniversiteler ve sivil toplum örgütleriyle de iş birliği sağlanarak Kurum’un gelişmesi hedeflenmektedir. Kişisel veriler alanında bilinç seviyesinin arttırılması, yaşanan gelişmelere ayak uydurulması ve yeniliklerin sağlanması ile ilgili Rehberlik, Araştırma ve Kurumsal İletişim Dairesi Başkanlığının öncülüğü söz konusu olacaktır.

- İnsan Kaynakları ve Destek Hizmetleri Dairesi Başkanlığı:

Kurumun insan kaynakları politikasını belirlemek, personelin kariyer ve eğitim planlarını hazırlamak ve uygulamak başta olmak üzere kurum personeline ilişkin her türlü iş ve eylemden ilgili Daire sorumlu tutulmuştur.

- Strateji Geliştirme Dairesi Başkanlığı:

Kurumunun kendi içerisindeki stratejik planını hazırlamak, amaç ve hedeflerini, hizmet kalite standartlarını ve performans kriterlerini belirlemek ve buna paralel biçimde mali bütçe oluşturup; kurumun performansı da dahil olmak üzere mali durumu ve yıllık faaliyetleri hakkında rapor hazırlamak Dairenin temel görevleri arasında düzenlenmiştir. Kurumun hesap planları, mali harcamaları, yıllık mali raporları gibi bütçe ve mali durumuna ilişkin bütün işlemler burada yürütülür.

Kurum Personeli

Toplam kadro sayısını geçmemek ve ilgili yasal düzenlemelerle belirlenen kadro unvanlarıyla sınırlı olmak kaydıyla unvan ve derece değişikliği yapma, yeni unvan ekleme ve boş kadroların iptalinin Kurul kararıyla gerçekleştirileceği belirtilmiştir. Personelin dağılımını yapmak yetkisi, yukarıda açıkladığım hizmet birimlerinin de etkisiyle Başkan’a verilmiştir.

Kurum personeline ilişkin Yönetmelik hükümlerinde iki yeni unvana yer verildiğini görüyoruz. Buna göre; Başkan’a danışmanlık hizmeti vermek ve Başkan’ın belirleyeceği diğer görevleri yerine getirmek üzere sayısı onu geçmemek üzere “başkanlık müşaviri” atanabilecektir. Ayrıca Başkan’ın programını düzenlemek ve yürütmek görevini yerine getirmek üzere “özel kalem müdürü” atanacaktır.

Çeşitli ve Son Hükümler

Yönetmeliğin çeşitli ve son hükümler başlıklı yedinci sayılı sonuncu bölümü kurum içi denetim ile düzenleme yetkisine ilişkin hükümleri içermektedir. Buna göre;

- Kurum içi denetim ile inceleme ve soruşturma işlemleri, Başkan tarafından görevlendirilecek yetkili kişiler aracılığıyla yerine getirilecektir. Ancak söz konusu işlemler veya bu işlemlerin sonuçları arasından Kurulun görev ve yetki alanına giren hususların Kurulun bilgisine sunulması zorunludur.

- Kişisel Verileri Koruma Kurumu’nun teşkilat yapısına ilişkin olarak bu Yönetmelikte yer almayan ya da açıklık bulunan konulara ilişkin, ilgili yasal düzenlemelere bağlı kalmak kaydıyla karar verme yetkisi Kurula aittir.

Sonuç

Kişisel verilerin korunması alanına ilişkin yaşanan gelişmelerin son basamağı, 6698 sayılı Kanun ile de öngörülmüş olan “Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliği” ve “Kişisel Verileri Koruma Kurumu Personeli Görevde Yükselme Ve Unvan Değişikliği Yönetmeliği” ile gerçekleştirilmiştir. Bu nedenle Yönetmeliğin yayınlanmasını ilk olarak Kanun ile öngörülmüş yasal düzenlemelerin yapılması ve kişisel verilerin alanındaki çalışmaların etkin bir biçimde devamının sağlanmaya çalışılması açısından olumlu bir gelişme olarak değerlendiriyorum.

Yönetmeliğin özellikle iki noktada önemine değinmek istiyorum. Bun hususlardan ilki, Kurulun görevleri arasında 6698 sayılı Kanun’da belirtilen görevlerine ek olarak sayılan fıkralarıdır. Yukarıda detaylı olarak açıkladığım üzere Kurulun görevleri arasına yenileri eklenmiş ve kişisel verilerin korunmasının sağlanması amacıyla yeni çalışmaların yapılacağı öngörülmüştür. İlgili maddede sayılan bu yeni görevlerin Kanunun uygulanması bakımından oldukça etkili olacağını düşünüyorum.

Diğer önemli nokta Kurumun teşkilat yapısının bir kolunu oluşturan hizmet birimi dairelerinin Yönetmelik ile belirlenmiş olması ve belirlenen dairelerin görev ve yetkilerinin sayılarak görev dağılımının yapılmış olmasıdır. Böylece her daire kendi görev alanına ilişkin hizmet yürütecek; ortak alanlarda da diğer dairelerle beraber çalışmalar yapabilecektir. Özellikle Kanun’a uyumlu olmak için belirlenen sürelerin 7 Nisan 2018 itibariyle geçmiş bulunması Kurulun çalışmalarını yoğunlaştıracak niteliktedir. Bu nedenle de özellikle Kurulun şikâyet halinde veya resen incelemeleri ile bu incelemeler sonucunda vereceği kararları noktasında görevlerin belirlenmiş olması zamanında olmuştur.

Teşkilat Yönetmeliğiyle, Kişisel Verileri Koruma Kurumu’nun teşkilat yapısıyla, hizmet birimlerinin görev, yetki ve sorumlulukları ile çalışma usul ve esasları belirlenmiştir. Böylece 6698 sayılı Kanun ve ilgili diğer yasal düzenlemelerle Kurum’a verilen görev ve yetkilerin Başkan ve Başkan Yardımcısının yanında öngörülen hizmet birimleri aracılığıyla da gerçekleştirilmesi amaçlanmıştır. Hizmet birimleri arasında iş dağılımı yapılarak bu birimler arasında gerçekleştirilecek iş birliği çerçevesinde kişisel verilerin korunması ve Kanun’a uyumluluk sağlanmaya çalışılacaktır.

Görevde Yükselme ve Unvan Değişikliği Yönetmeliği ile, liyakat ve kariyer ilkeleri çerçevesinde, hizmet gerekleri ve personel planlaması esas alınarak, Kişisel Verileri Koruma Kurumunda görev yapan personelin görevde yükselme ve unvan değişikliğine ilişkin usul ve esasları belirlenmiştir. Kurum çalışanlarının da hangi esas ve usullerle meslekte yükseleceğinin belirlenmesi, kurumsallaşmasının sağlanması açısından önemli bir gelişmedir.

(Bu köşe yazısı, sayın Doç. Dr. Murat Volkan DÜLGER tarafından www.hukukihaber.net sitesinde yayınlanması için kaleme alınmıştır. Kaynak gösterilse dahi köşe yazısının tamamı özel izin alınmadan kullanılamaz. Ancak alıntılanan köşe yazısının bir bölümü, aktif link verilerek kullanılabilir. Yazarı ve kaynağı gösterilmeden kısmen ya da tamamen yayınlanması şahsi haklara ve fikri haklara aykırılık teşkil eder.)