Makale

Kamu hizmetlerinin ifası bağlamında kamu idareleri, günümüzde teknolojik gelişmelerin de etkisiyle büyük ölçekte kişisel veri toplayan ve işleyen en büyük veri sorumlusu konumundadır. İdarenin bu tekel niteliğindeki konumu, verilerin işlenmesi sürecinde kanunilik ilkesine ve ilgili mevzuat hükümlerine sıkı sıkıya bağlı kalınmasını zorunlu kılmaktadır. Kamu idarelerinin, özel hukuk tüzel kişilerinden farklı olarak, yetkilerini ve sınırlarını belirleyen anayasal ve yasal düzenlemeler çerçevesinde hareket etmesi gerekmektedir. Bilişim hukuku uygulamaları açısından idarenin veri işlemesi, sıradan bir eylem değil, bizzat bir idari işlem niteliği taşımaktadır. Bu nedenle, idari usul kuralları ile veri koruma mevzuatının birlikte değerlendirilmesi, idarenin kişisel veri işleme rejiminin temelini oluşturur. Kamu kurumlarının bu faaliyetleri gerçekleştirirken uyması gereken katı usul kuralları, veri işleme faaliyetinin hukuka uygunluğunu sağlamanın yanı sıra kamuya olan güveni de inşa eden ana unsurdur.

İdarenin Veri İşleme Şartları ve Kanunilik İlkesi

İdare tarafından yürütülen veri işleme faaliyetlerinin hukuka uygun kabul edilebilmesi için, öncelikle kanunlarda açıkça öngörülme şartının sağlanması gerekmektedir. İdare, kamu gücüne dayanarak tek taraflı idari işlemler tesis ettiğinden, hukuki bir dayanağı bulunmadan veri toplayamaz veya işleyemez. Kamu hizmetlerinin yerine getirilmesi sırasında açık rıza alınması kuralı idare için çoğu zaman en son başvurulacak yöntemdir. Çünkü idare, kamu sağlığının korunması, istatistiksel verilerin derlenmesi veya kamu düzeninin sağlanması gibi asli görevlerini yerine getirirken, kanunun tanıdığı hukuka uygunluk sebepleri kapsamında rıza aranmaksızın veri işleme yetkisine sahiptir. Örneğin, kolluk faaliyetleri kapsamında bir kanun hükmünün emrettiği hallerde veya idari bir sözleşmenin ifası amacıyla kişisel verilerin işlenmesi hukuka uygun kabul edilmektedir. Ancak idare bu istisnai halleri veya hukuka uygunluk sebeplerini geniş yorumlayamaz. Her türlü veri işleme faaliyeti, idarenin sahip olduğu yetki sınırları içinde ve sadece yasanın açıkça izin verdiği amaçlarla gerçekleştirilmelidir.

Veri İşleme Faaliyetlerine Hakim Olan Genel İlkeler

Kamu makamları veri işlerken yalnızca kanuni dayanak bulmakla yetinemez, aynı zamanda kanunda belirtilen genel ilkelere de mutlak surette riayet etmek zorundadır. İdare hukuku perspektifiyle bu ilkeler, idari eylem ve işlemlerin hukuka uygunluk blokunu oluşturur. İlk olarak, verilerin hukuka ve dürüstlük kuralına uygun işlenmesi şarttır; idare veriyi gizli veya aldatıcı yollarla toplayamaz. İkinci olarak, işlenen verilerin doğru ve gerektiğinde güncel olması sağlanmalıdır. Güncel olmayan verilerle tesis edilecek idari işlemler vatandaşların mağduriyetine yol açabileceği için idare bu konuda aktif bir özen yükümlülüğü altındadır. Diğer taraftan, kamu gücüyle elde edilen veriler yalnızca belirli, açık ve meşru amaçlar doğrultusunda kullanılabilir. Toplanan bir verinin sonradan bambaşka bir idari faaliyet için kullanılması hukuka aykırılık teşkil eder. Son olarak idare, veri toplama amacının gerektirdiği ölçüde, bağlantılı, sınırlı ve ölçülü verileri işlemeli; kamu hizmetinin gerektirmediği fazladan verileri toplamaktan kaçınmalı ve bu verileri yalnızca mevzuatın öngördüğü gerekli süre kadar muhafaza etmelidir.

İdarenin Veri Sorumlusu Olarak Temel Yükümlülükleri

İdarenin, veri işleme usulünde uyması gereken önemli prosedürel adımlar bulunmaktadır. Bu usul kuralları, idarenin şeffaflığını ve hesap verilebilirliğini artırmanın yanı sıra, ilgili kişinin haklarını kullanabilmesine de zemin hazırlar. İdarelerin veri işleme sürecindeki temel yükümlülükleri şunlardır:

• Aydınlatma yükümlülüğü gereğince, veri işleme faaliyetinden önce veya en geç işlem anında, hangi verilerin ne amaçla toplandığı, kimlere aktarılabileceği ve hukuki sebebi açık, anlaşılır bir idari üslupla veri sahibine bildirilmelidir.
• Veri güvenliğini sağlama kapsamında idare, sahip olduğu devasa veri tabanlarını hukuka aykırı erişimlere, sızıntılara ve ifşalara karşı korumak zorundadır. Kurumsal politikaların belirlenmesi, yetki matrislerinin oluşturulması ve çeşitli önlemlerin alınması gibi idari ve teknik tedbirler şarttır.
• Kayıt ve bildirim gereğince, istisna tutulmayan idarelerin, veri işlemeye başlamadan önce sicile detaylı bir envanter kaydı yapması kanuni bir mecburiyettir.
• Silme ve yok etme sürecinde, veri işleme şartlarının veya idari amacın ortadan kalkması durumunda, kamu kurumlarının sahip oldukları kişisel verileri re'sen veya başvuru üzerine silmesi, yok etmesi veya anonim hale getirmesi gerekmektedir.

İdari Usulde Başvuru ve Kurul Kararlarının Etkisi

Bilişim hukuku uygulamasında, idarenin kişisel veri rejiminin en kritik parçalarından biri de ilgili kişilerden gelen taleplerin yönetimidir. Gerçek kişiler, mevzuat kapsamındaki haklarını kullanmak için öncelikle veri sorumlusu kamu idaresine başvurmak zorundadır. İdare, niteliği gereği bir idari başvuru olan bu talepleri, en geç otuz gün içinde etkin, hukuka ve dürüstlük kuralına uygun bir biçimde değerlendirerek sonuçlandırmalıdır. İdarenin, başvuruyu zımnen ya da gerekçesiz reddetmesi, iyi yönetim hakkı ile bağdaşmayan bir idari usul hatasıdır. Başvurunun reddi halinde ilgili kişiler, kurula şikâyet yoluna gidebilmektedir. Kurul, yapacağı inceleme neticesinde kamu kurumlarını hatalı uygulamaları gidermek amacıyla talimatlandırma kararları verebilir veya veri işlemenin durdurulması yönünde idari tedbir uygulayabilir. İdareler, ilgili idari otoritenin hem spesifik vakalardaki talimatlarına hem de yaygın usul hatalarını gidermek için çıkardığı ilke kararlarına uymak zorundadır. Bu kararlara riayet edilmesi, idare hukuku çerçevesinde kamu hizmetinin güvenilirliğini temin etmenin zorunlu bir adımıdır.