Kişisel verilerin korunması kavramı günümüzde bir insan hakkı olarak kabul edilmekte ve bu kapsamda korunmaktadır. Ülkemizde de bu bakış açısıyla; 7 Nisan 2016 tarihinde 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK.) Resmî Gazete'de yayımlanarak yürürlüğe girmiştir. Çerçeve kanun niteliğinde kaleme alınan söz konusu kanun, kişisel veriler ile ilgili temel kavramları, hak ve yükümlülükleri belirlemiştir.
Veri Sorumluları Sicili Nedir?
Veri Sorumluları Sicili, veri sorumlularının kaydedildiği, Kişisel Verileri Koruma Kurulunun gözetiminde Başkanlık tarafından kamuya açık olarak tutulan sicildir.
Veri Sorumluları Siciline Kayıt Ne Zaman Başlar?
Kanunun Geçici 1. maddesinde, Kanunun yürürlüğe girmesi akabinde veri sorumlularınca yerine getirilecek hususlar belirlenmiştir. Anılan maddenin 2. fıkrasında, “Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.” hükmü yer almaktadır. Bu kapsamda öncelikle Kişisel Verileri Koruma Kurulunca kayıt yükümlülüğü için bir başlangıç tarihinin belirlenmesi gerekmektedir. Söz konusu tarihin Kurul tarafından belirlenerek ilan edilmesiyle Veri Sorumluları Siciline kayıt yükümlülüğü başlayacaktır. Veri Sorumluları Siciline kayıt yükümlülüğü olan veri sorumluları, kişisel veri işleme faaliyetine başlamadan önce Sicile kayıt olmak zorundadır.
Öte yandan, anılan maddenin 5. Fıkrasında; “Bu Kanunun yayımı tarihinden itibaren bir yıl içinde, kamu kurum ve kuruluşlarında bu Kanunun uygulanmasıyla ilgili koordinasyonu sağlamak üzere üst düzey bir yönetici belirlenerek, Başkanlığa bildirilir.” hükmü yer almaktadır. Buna göre, veri sorumlusunun bir kamu kurumu olması halinde, Kanunun uygulanmasıyla ilgili iletişim sağlamak üzere üst düzey bir yönetici belirlenmesi Kuruma bildirilmesi gerekmektedir.
Veri Sorumluları Siciline Kimler Kayıt Olmalıdır?
Türkiye’de Yerleşik Olmayan Veri Sorumluları, Sicile Nasıl Kayıt Yaptırır? Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.
Veri Sorumluları Siciline Bildirim Hangi Unsurları İçerir?
Kanunun 28 inci maddesinde sayılan hallere ilave olarak, işlenen verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurul tarafından belirlenecek objektif kriterler göz önüne alınmak suretiyle, Sicile kayıt zorunluluğuna Kurul tarafından istisna getirilebilir. Sicile kayıt başvurusu bir bildirimle yapılır ve bu bildirim şu hususları içerir:
1. Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,
2. Kişisel verilerin hangi amaçla işleneceği,
3. Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar, ç. Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
4. Yabancı ülkelere aktarımı öngörülen kişisel veriler,
5. Kişisel veri güvenliğine ilişkin alınan tedbirler,
6. Kişisel verilerin işlendikleri amaç için gerekli olan azami süre,
Veri Sorumluları Sicilinin Kamuya Açık Olması Ne Demektir?
6698 Sayılı Kanunun 16 inci maddesinde Veri Sorumluları Sicilinin kamuya açık olarak tutulması öngörülmüştür. Buna göre, VERBİS’e veri sorumlularınca girilen bilgiler kurum internet sayfamız olan www.kvkk.gov.tr adresi üzerinden paylaşılacaktır. Sicil kamuya açık olarak tutulmakla birlikte Kişisel Verileri Koruma Kurumunun da çeşitli teknik ve idari tedbirleri alması gerektiğinden, ilgili kişilerce çeşitli doğrulama yöntemleri kullanılmak suretiyle söz konusu bilgilere erişim sağlanabilecektir.
6698 sayılı Kanunun Geçici 1 inci maddesinin 5 inci fıkrasına istinaden; kamu kurum ve kuruluşlarında bu Kanunun uygulanmasıyla ilgili koordinasyonu sağlamak üzere üst düzey bir yöneticinin belirlenerek, Kişisel Verileri Koruma Kurumuna bildirilmesi gerekmektedir. Veri Sorumluları Sicili hiçbir şekilde kişisel veri barındırmayacaktır. VERBİS sistemine, ilgili kişilerin kişisel verileri değil, aksine başlıklar halinde kategorik bazda hangi tür kişisel verilerin hangi amaçlarla işlendiği, ne kadar süreyle muhafaza edileceği ve kategorik bazda nerelere aktarılabileceği gibi bilgiler girilecektir. Bu nedenle, VERBİS kesinlikle kişisel veri içermeyecek ve dolayısıyla da kişisel verilerin kamuya ifşa edilmesi gibi bir durum da söz konusu olmayacaktır. Kanunun 16 ncı maddesi gereği; veri sorumlusu veya veri sorumlusu temsilcisinin adı soyadı ve adresi ile irtibat kişisinin adı soyadı ve adresi bilgisi ilgili kişilerce gerektiğinde başvuru yapılabilmesi için yayımlanmak zorunda olduğundan VERBİS’te bu bilgiler yer alacaktır.
Yukarıdaki bilgiler ışığında meslek gruplarını değerlendirecek olursak:
1.) Serbest Çalışan Uzman Hekimler, Diş Hekimleri Psikologlar, Pedagoglar, Diyetisyenler, Fizyoterapistler, Çocuk Gelişim Uzmanları:
Yukarıda sayılan meslek çalışanları kendi verilerini işleyecek hasta kayıt dosyaları veya hasta takip programları mevcut olup programlarında hastaların adı soyadı yaşı cinsiyeti ilgili sağlık verileri ekonomik durumları gibi bir takım kişisel ve özel nitelikteki verileri depolayıp arşivlemektedirler. İş bu işledikleri verileri işlerken Kişisel Verilerin Korunması Kurumu tarafından belirtilmiş olan standartlara erişilebilmiştir midir? Veri işlendikten sonra işlenen veriyi koruyabilecek standartta teknoloji bilgisine veya donanıma sahip olabilirler mi? Örnek vermek gerekirse; herhangi bir Uzman Doktorun muayenehanesinde kullandığı kablosuz ağ sisteminin şifresiz olması halinde tuttuğu tüm verileri, alenen açık bırakması durumunda verilecek olan ceza karşısında bir bilgisi var mıdır?
Yukarıda sayılan meslek çalışanları ve yukarıda sayılmayan serbest olarak çalışan, işi gereği veri işleyen meslek gruplarında Kişisel Verilerin Korunması Kanununa göre veri işleme standardı veya veri koruması için gerekli teknolojik donanımın mevcut olmadığı sabittir. “Veri sorumluları, kendi kurum veya kuruluşlarında, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Veri sorumluları öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.’’ Dolayısıyla Sağlık sektöründe serbest çalışanların veya herhangi bir veri işleyen veri sorumlusu kriterine denk gelen gerçek kişilerin de veri sorumlusu siciline kaydolmaları ve gerekli önlemleri almaları gerekir aksi halde aşağıda anlatacağımız çeşitli yaptırımlara maruz kalacaklardır.
2.) Aile Hekimleri:
Aile Hekimleri Sağlık Bakanlığınca Lisans verilmiş hasta takip programlarını kullanmaktadırlar. Çeşitli markalarca yapılmış hasta takip programlarının veri tabanları öncelikli olarak doktorun aile hekimliği yönetmeliğince kendi temin ettiği bilgisayarında bulunup sonrasında Sağlık Bakanlığına raporlama yapılmak suretiyle gönderilmektedir. Aile Hekimleri uygulamada Mahkemelerce tüzel kişi sayılmayıp, gerçek kişi sayılmaktadırlar ve ayrıca yaptıkları iş ve eylemlerden dolayı da direkt olarak doktorun sorumluğuna gidilmektedir. Bu durumda Aile Hekimleri verileri işlerken kanunun öngördüğü şekilde verilerini kaydedip, veri sorumlusu siciline kaydolması gerekmektedir. Çünkü tanı ve teşhis haricinde hastaların kapsamlı bilgilerini de kendi temin etmiş oldukları bilgisayarlarında depolayıp arşivlemektedirler. Aile Hekimlerimizin çoğu da, ne yazık ki iş bu kanundan sorumlu olduklarını ya da ne kadar önlem almaları gerektiğini bilmemektedirler.
Oysa ki, “Kişisel Sağlık Verilerinin İşlenmesi Ve Mahremiyetinin Sağlanması Hakkında Yönetmelik:
Madde 5/6: Sağlık hizmet sunucuları, Bakanlığın ve Kişisel Verileri Koruma Kurulunun belirlemiş olduğu standartlara uygun elektronik kayıt sistemlerinin kurulmasından ve işletilmesinden, güvenlik ve mahremiyetinin sağlanmasından, ayrıca elektronik sağlık kayıtlarının merkezi sağlık veri sistemine aktarılmasından sorumludur.
MADDE 6/1: Veri işleyen, bu görevinin gereği olarak öğrendiği verilerin mahremiyetini korumakla, veri işleme sürecine ilişkin olarak belirlenen kurallara ve standartlara uymakla yükümlüdür.
(2) Sağlık hizmet sunucuları, kişisel sağlık verilerinin mahremiyetini sağlamak amacıyla Bakanlıkça belirlenen tüm önlemleri alır.
Madde 7/2: Kişisel sağlık verilerinin, ilk fıkrada sayılan amaçlar dışında anonim hale getirilmeden işlenmesi için ilgili kişiye ait verilerin işlenme gerekçesi ile ilgili olarak ayrıntılı bir şekilde bilgilendirilmesi, yazılı rızasının alınması ve bu rızanın muhafaza edilmesi gerekir.
Madde 11/2: Veri sorumlusu; a) Kişisel sağlık verilerinin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel sağlık verilerine hukuka aykırı olarak erişilmesini önlemek, c) Kişisel sağlık verilerinin muhafazasını sağlamak, ç) Sorumlu olduğu sistemlerde yaşanabilecek muhtemel veri kayıplarının önüne geçmek, amaçlarıyla, uygun güvenlik düzeyini temin etmeye yönelik olarak Bakanlıkça belirlenen her türlü tedbiri almak zorundadır.
(3) Veri sorumlusu, kişisel sağlık verilerinin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
(4) Veri sorumlusu, kendi kurum veya kuruluşunda, Kanun ve bu Yönetmelik hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.’’
Yukarıda izah etmeye çalıştığımız nedenlerden dolayı; Aile Hekimlerinin de veri sorumluları siciline kayıt olarak, herhangi bir veri çalınması durumuyla karşı karşıya gelmemeleri için veri korunması hakkındaki standartlara erişmeleri gerekecektir. Dolayısıyla, Aile Hekimleri Kişisel Sağlık Verilerinin, Kişisel Verilerin korunması hakkındaki yaptırımlardan sorumlu tutulacaklarını önemle belirtmek isteriz.
3.) Avukatlar:
Değerli meslektaşlarımız Kişisel Verilerin Korunması Kurumunun hazırlamış olduğu Veri Sorumlusu ve Veri İşleyen kitapçığında aynen şu hususa yer verilmiştir:
“Avukatlar Bir firmanın işten ayrılan çalışanlarından birinin firmanın müşteri listesini çaldığı ve buna karşılık firma sahibinin listeyi nasıl geri alabileceği ile ilgili bir avukata başvurmuş olduğu bir örnekte; firma sahibinin eski çalışanıyla ilgili kişisel verileri avukata teslim etmesiyle, avukat da veri sorumlusu statüsüne sahip olur. Bu durumda avukatın firma sahibinin adına işlem yapıyor olması bunu değiştirmez. Zira avukat elde edilen kişisel verilerin nasıl işleneceğini kendisi belirleyecektir. Dolayısıyla, sağlanan kişisel veriler bakımından hem firma sahibi hem de avukat veri sorumlusu statüsündedir. Bu anlamda her birinin uyması gereken kendi yükümlülükleri bulunmaktadır (örneğin; ilgili kişinin kişisel veriye erişim talebinin yerine getirilmesi bakımından ikisi de ayrı ayrı sorumludur).”
Değerli meslektaşlarımızın UYAP sistemi hariç, icra takip programlarında borçluların hakkında ve müvekkillerinin hakkında kapsamlı şekilde veri işledikleri ayrıca dava takip programlarında karşı taraf hakkında ve müvekkillerinin hakkında veri işlenmesini gerçekleştirmekte olup, ayrıca işledikleri verileri de arşivlemektedirler. Ayrıca avukatların sahip oldukları internet sitelerinde de kişisel verilerin otomatik olarak işlenmesini sağlayacak yazılımların mevcut olması nedeniyle; veri sorumluları siciline kayıt olarak, kullanmış oldukları donanımların güvenlik standartlarına getirilmesi gerekmektedir, aksi halde Kişisel Verilerin Korunması Kanuna göre sorumlulukları doğacağı hususu aşikârdır.
Kişisel Verilerin Korunması Kanunu’na göre yaptırımlar:
Sonuç Olarak:
Kişisel Verilerin Korunması Kanunu yürürlüğe girmesiyle birlikte veri işleyenlerin Veri Sorumlusu Siciline kaydolması gerekmektedir. Özetle; yukarıda izah etmeye çalıştığımız konuda; değerli meslektaşlarımızın ve farkında olmadan veri işleme işini gerçekleştiren veri işleyenlerin, bu konuda kısıtlı bilgi sahibi olmaları nedeniyle, öncelikle bu konuda kişilere gerekli eğitimlerin verilmesini ve bu sayede bu kişilerinde kişisel verileri koruyabilmesi ve ayrıca yukarıdaki yaptırımlara karşı karşıya kalmamaları için “Veri Sorumlusu Sicili” kayıtlarına kaydolmalarını ve bu husus ta gerekli önemleri almalarını temenni ederiz.
.
Stj. Av. Berke KAŞIKARALAR
.
(Bu köşe yazısı, sayın Stj. Av. Berke Kaşıkaralar tarafından www.hukukihaber.net sitesinde yayınlanması için kaleme alınmıştır. Kaynak gösterilse dahi köşe yazısının tamamı özel izin alınmadan kullanılamaz. Ancak alıntılanan köşe yazısının bir bölümü, aktif link verilerek kullanılabilir. Yazarı ve kaynağı gösterilmeden kısmen ya da tamamen yayınlanması şahsi haklara ve fikri haklara aykırılık teşkil eder.)
