Teknolojinin hızına yetişilmez şekilde ilerleyişi, beraberinde kişisel verileri kolaylıkla ulaşılabilir ve dolayısı ile korunmasını da güç hale getirmiştir. Kişisel verilerin korunması, AB’de olduğu gibi diğer ülke ve alanlarda da büyük önem taşımakta, çok çeşitli yasal düzenlemelerin yapılması yanında teknolojik tedbirlerin alınmasının önemini de giderek arttırmaktadır. (Laudon ve Laudon, 2014)
Türkiye’de de Kişisel Verileri koruma gereksinimi sonucunda oluşturulan mevzuat ve Kurum, gün geçtikçe daha çok önem kazanmaktadır. Zira yasal düzenlemelerin uygulamadaki yansıması ve sorunlara dair kurumun yapmakta olduğu her bir açıklama emsal niteliği taşımakta, yol gösterici olmaktadır. Bu sebeple öncelikle kanun koyucunun açık, anlaşılır ve eksiksiz düzenlemeler oluşturması; kurumun da yorum farklılıklarına dair belirli, açıklayıcı, istikrarlı kararlar alması çok önemlidir.
Bilindiği üzere Kanunun 16. maddesi gereği, Veri Sorumlularının sicili kurul gözetiminde tutulmaktadır. Veri Sorumlularının (istisnalar mevcuttur) bu sicile kayıt olmaları zorunluluk arz etmektedir. Kamuya açık tutulan bu kayıtların “şeffaflık” ilkesi ile tutulmasıyla; kişisel verilerin kontrolsüz, özensiz, keyfiyet arz eden şekilde tutulmasının önlenmesi amaçlanmaktadır.
Veri Sorumlularının siciline kayıt zorunluluğunu düzenleyen, Kişisel Verilerin Koruması Kanununun 16. maddesi ve Veri Sorumluları Sicili Hakkında Yönetmeliğin 13. maddesi gereğince sicile kayıt başlangıç ve bitiş tarihleri belirlenmiştir. Bu tarihler içerisinde kayıt sorumluluğunu yerine getirmemenin hukuki yaptırımları olacaktır.
Kurul tarafından bu sürelerin sonuna gelindikçe sorumluların kayıtları tamamlayamadıkları veya istenilen koşulları sağlamadığı öngörülmüş olacak ki sürelerin (iki kez) uzatılmasına dair karar alınmıştır. Böylece, veri sorumlularının kayıt zorunluluğunun bitiş tarihleri 2019/387 sayılı son karar ile uzatılmış olup, bu kararın içeriğinde yalnızca süre uzatımına yer verilmemiş, dikkat çeken bazı tespitlerde de bulunulmuştur.
2019/387 sayılı son süre uzatımı içeren kararından bazı bölümler;
“Sicile kayıt ve bildirim yükümlülüğünün sadece Kanunda öngörülen yaptırımlarla karşılaşmamak adına süresi içerisinde bir kayıt gerçekleştirmek olarak anlaşılmaması gerektiğinin, bu amaca yönelik kayıt ve bildirimlerin Kanuna aykırılık teşkil edebileceği”
“Özellikle son zamanlarda VERBİS’e iletilen bildirimler incelendiğinde, birçok bildirimde kişisel veriler ile işleme amaçları, alıcı/alıcı grupları, veri konusu kişi grupları, alınan teknik ve idari tedbirler, yeterli önlemler, yurtdışına veri aktarımı ve saklama sürelerinin örtüşmediği, bu konuda ciddi yanlışlıklar ve mevzuata aykırılıklar olduğunun görüldüğü”
“Veri sorumlularının VERBİS’e kayıt ve bildirim yükümlülüğünü yerine getirirken öncelikle kişisel veri işlenmekte olan tüm süreçleri içerecek şekilde kişisel veri işleme envanteri hazırlaması ve VERBİS’e bildirim yapılırken gelişigüzel değil mutlaka söz konusu envanter baz alınarak giriş yapılması gerektiği” belirtilerek, devamında bu hususların tüm veri sorumlularına hatırlatılması ifadesine yer verilmiştir.
Bu hatırlatmayı yapma gerekliliği duyan kurumun, akabinde yer alan açıklamaları da bir durum tespiti içermektedir.
“…kişisel veri işleme envanteri hazırlamadan gelişigüzel VERBİS’e kayıt ve bildirim gerçekleştiren veri sorumluları ile envanter hazırlama süreçlerini tamamlayamadığı için süresinde kayıt ve bildirim yükümlülüğünü yerine getiremeyecek olan veri sorumluları dikkate alınarak, VERBİS’e girilmiş olan bilgilerde herhangi bir hata veya Kanuna aykırılık varsa bu durumun bir an önce düzeltilmesi için gerekli çalışmaların yapılabilmesini teminen …” açıklaması ile sürelerin uzatılmasına dair kararını tesis etmiştir.
Kurulun bu kararı bize açıkça ifade etmektedir ki; Veri Sorumluları bu yükümlülüklerini yerine getirmeden önce, kişisel veri işleme envanteri hazırlanması gerekmektedir. Kişisel veri envanterine dair, Veri Sorumluları Sicili Hakkında Yönetmeliğin 4. maddesinin (h) bendinde tanım yer almaktadır.
“Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri.“ şeklinde ifade edilmiştir.
Dolayısıyla; veri envanteri, kişisel veri sahiplerini, veri işleme amaçları ve hukuki sebeplerini belirleyebilmek, verilerin aktarılmasına dair takip ve tespitte bulunabilmek, saklama süresi ve teknik veya idari tedbirleri incelemek, tüm verilere dair değerlendirme, irdeleme ve analiz yapabilmek için fayda sağlayan bir tür çalışmadır. Bu sayede, hem Kanuna aykırı bir kişisel veri işleme durumunun olup olmadığı belirlenebilmekte, hem de veri sorumlusu kolaylıkla iç denetleme yapabilmektedir. Envanterin düzgün ve tam olarak hazırlanması ile, ayrıca verilerin korunması için gerekli teknik tedbirlere yönelik iyi bir rehber de oluşturulmuş olacaktır.
Mevzuatta veri envanterinin ne olduğuna dair bir tanım mevcut ise de envantere dair şekli ve içerik olarak standart belirlenmemiş olmasının sonuçları yeni sorunların doğmasına sebebiyet verecektir. Her ne kadar Kurum tarafından VERBİS kayıtlarına dair bilgilendirme amaçlı yayım yapılmış ise de bu mevcut yayımlarda detaylı bir açıklama yer almamaktadır. Örneğin; yalnızca 7 kategorinin yer aldığı kayıt sisteminde aynı tür veri için hangi başlıkların seçilmesi gerektiğine dair standart sağlayacak bir rehber mevcut olmadığı için, bu kayıtlar keyfiyet ve çok sayıda farklılık içerecektir. Akabinde tartışmalar doğması da kuvvetle muhtemel olup, Kurumun yeni kararlar alması ve hatta veri envanterinin oluşturulmasına dair (net, açık, standart) şartları belirlemesi gerekecektir.
Kanımızca, bu belirsizliğin beraberinde bir keyfiyet yaratacağı kuşkusuzdur. Veri Sorumluları Siciline kaydın süresinde ve fakat “gelişigüzel” yapılmaması hatırlatmasında bulunan Kurumun, daha net, belirli ve yol gösterici bir “veri envanteri” rehberi paylaşmasını umut ediyoruz.
Tüm bu belirsizlik giderilene kadar da veri envanteri oluşturma ve sicile kayıtların, detaylı inceleme ve titizlikle yürütülmesi, en ufak bir riskin göz ardı edilmemesi gerekmektedir. Bu sebeple böylesine detaylı ve hassasiyet gerektiren bu çalışmaların, profesyonelce her riski değerlendiren, titiz çalışan ve prensip sahibi kişilerce yürütülmesi oldukça önemlidir.
Nitekim Veri Sorumlulari Sicili Hakkinda Yönetmeliğin 5. maddesinin (e) bendi de bu düşüncemizi desteklemektedir. Şöyle ki;
“…Veri sorumluları, sicile sunulan ve sicilde yayınlanan bilgilerin eksiksiz, doğru, güncel ve hukuka uygun olmasından sorumludur. Veri sorumlularının sicile kaydolması kanun kapsamındaki diğer yükümlülüklerini ortadan kaldırmaz…”
Kurumun söz konusu kararı bir kez daha incelendiğinde; kurum, süresi içerisinde kayıt yapmak amacı ile dikkatsizce ve özensizce yapılan sicil kayıtlarının da farkında olduğu, bunların düzeltilmesi için uyarı niteliğinde olan bu kararı aldığı ve aksi halde bu kayıtların mevzuat kapsamında “eksiksiz, doğru, güncel ve hukuka uygun kabul edilmeyeceği ve sorumluluk doğuracağı” dolayısıyla da Kanundaki yaptırımlara tabi olacağı sonucuna ulaşmak mümkündür.
O halde, sicile kayıt süresi sona erdikten sonra, sicile kaydı gerçekleştirmemiş olmak veya “gelişigüzel kayıt” gerçekleştirmiş olunduğuna karar verilmesi durumunda uygulanacak yaptırıma ilişkin olarak mevzuat maddesine yer vermek gerekir ise;
Kişisel Verilerin Koruması Kanununun ‘’Kabahatler’’ başlıklı 18. maddesi (ç) bendi;
“…16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir..”
Kişisel veri envanterine dair veri Sorumluları Sicili Hakkında Yönetmeliğin ‘’İdari Yaptırım’’ başlıklı 17. maddesi;
“…Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında Kanunun 18 inci maddesinin birinci fıkrasının (ç) bendinde yer alan idari para cezası uygulanır…”
Sonuç olarak; mevcut yasal düzenlemeler ışığında, Kurumun öngördüğü süre içerisinde, Veri Sorumlularının mevcut verileri her yönü ile değerlendirerek ciddi bir çalışma yürütmeleri, en ufak bir dikkatsizlik ya da ihmal olmaksızın veri envanteri oluşturması aşamasını titizlikle tamamlamaları, sicile kayıtlarını da bu envanter ile gerçekleştirmeleri, aksi halde “gelişigüzel” VERBİS kaydı yapmış olmakla idari yaptırıma maruz kalacaklarını söylemek yanlış olmayacaktır. 17.02.2020
