Anasayfa/ Makale/ İdarenin Kişisel Veri İşleme Rejimi ve Usulü

İdarenin Kişisel Veri İşleme Rejimi ve Usulü

Bu makale, kamu idarelerinin veri sorumlusu sıfatıyla kişisel verileri işlerken tabi olduğu hukuki rejimi, kanuni sınırları ve idari usul kurallarını bilişim hukuku perspektifiyle incelemektedir. İdarenin hukuka uygun veri işlemesinde izlemesi gereken ilkeler ve yükümlülükler pratik boyutlarıyla ele alınmaktadır.
search
6 dk okuma Yayınlanma: Güncelleme:
KANUNİLİK İLKESİ AÇIK RIZA HUKUKA AYKIRILIK AYDINLATMA YÜKÜMLÜLÜĞÜ

Kamu hizmetlerinin ifası bağlamında kamu idareleri, günümüzde teknolojik gelişmelerin de etkisiyle büyük ölçekte kişisel veri toplayan ve işleyen en büyük veri sorumlusu konumundadır. İdarenin bu tekel niteliğindeki konumu, verilerin işlenmesi sürecinde kanunilik ilkesine ve ilgili mevzuat hükümlerine sıkı sıkıya bağlı kalınmasını zorunlu kılmaktadır. Kamu idarelerinin, özel hukuk tüzel kişilerinden farklı olarak, yetkilerini ve sınırlarını belirleyen anayasal ve yasal düzenlemeler çerçevesinde hareket etmesi gerekmektedir. Bilişim hukuku uygulamaları açısından idarenin veri işlemesi, sıradan bir eylem değil, bizzat bir idari işlem niteliği taşımaktadır. Bu nedenle, idari usul kuralları ile veri koruma mevzuatının birlikte değerlendirilmesi, idarenin kişisel veri işleme rejiminin temelini oluşturur. Kamu kurumlarının bu faaliyetleri gerçekleştirirken uyması gereken katı usul kuralları, veri işleme faaliyetinin hukuka uygunluğunu sağlamanın yanı sıra kamuya olan güveni de inşa eden ana unsurdur.

İdarenin Veri İşleme Şartları ve Kanunilik İlkesi

İdare tarafından yürütülen veri işleme faaliyetlerinin hukuka uygun kabul edilebilmesi için, öncelikle kanunlarda açıkça öngörülme şartının sağlanması gerekmektedir. İdare, kamu gücüne dayanarak tek taraflı idari işlemler tesis ettiğinden, hukuki bir dayanağı bulunmadan veri toplayamaz veya işleyemez. Kamu hizmetlerinin yerine getirilmesi sırasında açık rıza alınması kuralı idare için çoğu zaman en son başvurulacak yöntemdir. Çünkü idare, kamu sağlığının korunması, istatistiksel verilerin derlenmesi veya kamu düzeninin sağlanması gibi asli görevlerini yerine getirirken, kanunun tanıdığı hukuka uygunluk sebepleri kapsamında rıza aranmaksızın veri işleme yetkisine sahiptir. Örneğin, kolluk faaliyetleri kapsamında bir kanun hükmünün emrettiği hallerde veya idari bir sözleşmenin ifası amacıyla kişisel verilerin işlenmesi hukuka uygun kabul edilmektedir. Ancak idare bu istisnai halleri veya hukuka uygunluk sebeplerini geniş yorumlayamaz. Her türlü veri işleme faaliyeti, idarenin sahip olduğu yetki sınırları içinde ve sadece yasanın açıkça izin verdiği amaçlarla gerçekleştirilmelidir.

Veri İşleme Faaliyetlerine Hakim Olan Genel İlkeler

Kamu makamları veri işlerken yalnızca kanuni dayanak bulmakla yetinemez, aynı zamanda kanunda belirtilen genel ilkelere de mutlak surette riayet etmek zorundadır. İdare hukuku perspektifiyle bu ilkeler, idari eylem ve işlemlerin hukuka uygunluk blokunu oluşturur. İlk olarak, verilerin hukuka ve dürüstlük kuralına uygun işlenmesi şarttır; idare veriyi gizli veya aldatıcı yollarla toplayamaz. İkinci olarak, işlenen verilerin doğru ve gerektiğinde güncel olması sağlanmalıdır. Güncel olmayan verilerle tesis edilecek idari işlemler vatandaşların mağduriyetine yol açabileceği için idare bu konuda aktif bir özen yükümlülüğü altındadır. Diğer taraftan, kamu gücüyle elde edilen veriler yalnızca belirli, açık ve meşru amaçlar doğrultusunda kullanılabilir. Toplanan bir verinin sonradan bambaşka bir idari faaliyet için kullanılması hukuka aykırılık teşkil eder. Son olarak idare, veri toplama amacının gerektirdiği ölçüde, bağlantılı, sınırlı ve ölçülü verileri işlemeli; kamu hizmetinin gerektirmediği fazladan verileri toplamaktan kaçınmalı ve bu verileri yalnızca mevzuatın öngördüğü gerekli süre kadar muhafaza etmelidir.

İdarenin Veri Sorumlusu Olarak Temel Yükümlülükleri

İdarenin, veri işleme usulünde uyması gereken önemli prosedürel adımlar bulunmaktadır. Bu usul kuralları, idarenin şeffaflığını ve hesap verilebilirliğini artırmanın yanı sıra, ilgili kişinin haklarını kullanabilmesine de zemin hazırlar. İdarelerin veri işleme sürecindeki temel yükümlülükleri şunlardır:

  • Aydınlatma yükümlülüğü gereğince, veri işleme faaliyetinden önce veya en geç işlem anında, hangi verilerin ne amaçla toplandığı, kimlere aktarılabileceği ve hukuki sebebi açık, anlaşılır bir idari üslupla veri sahibine bildirilmelidir.
  • Veri güvenliğini sağlama kapsamında idare, sahip olduğu devasa veri tabanlarını hukuka aykırı erişimlere, sızıntılara ve ifşalara karşı korumak zorundadır. Kurumsal politikaların belirlenmesi, yetki matrislerinin oluşturulması ve çeşitli önlemlerin alınması gibi idari ve teknik tedbirler şarttır.
  • Kayıt ve bildirim gereğince, istisna tutulmayan idarelerin, veri işlemeye başlamadan önce sicile detaylı bir envanter kaydı yapması kanuni bir mecburiyettir.
  • Silme ve yok etme sürecinde, veri işleme şartlarının veya idari amacın ortadan kalkması durumunda, kamu kurumlarının sahip oldukları kişisel verileri re'sen veya başvuru üzerine silmesi, yok etmesi veya anonim hale getirmesi gerekmektedir.

İdari Usulde Başvuru ve Kurul Kararlarının Etkisi

Bilişim hukuku uygulamasında, idarenin kişisel veri rejiminin en kritik parçalarından biri de ilgili kişilerden gelen taleplerin yönetimidir. Gerçek kişiler, mevzuat kapsamındaki haklarını kullanmak için öncelikle veri sorumlusu kamu idaresine başvurmak zorundadır. İdare, niteliği gereği bir idari başvuru olan bu talepleri, en geç otuz gün içinde etkin, hukuka ve dürüstlük kuralına uygun bir biçimde değerlendirerek sonuçlandırmalıdır. İdarenin, başvuruyu zımnen ya da gerekçesiz reddetmesi, iyi yönetim hakkı ile bağdaşmayan bir idari usul hatasıdır. Başvurunun reddi halinde ilgili kişiler, kurula şikâyet yoluna gidebilmektedir. Kurul, yapacağı inceleme neticesinde kamu kurumlarını hatalı uygulamaları gidermek amacıyla talimatlandırma kararları verebilir veya veri işlemenin durdurulması yönünde idari tedbir uygulayabilir. İdareler, ilgili idari otoritenin hem spesifik vakalardaki talimatlarına hem de yaygın usul hatalarını gidermek için çıkardığı ilke kararlarına uymak zorundadır. Bu kararlara riayet edilmesi, idare hukuku çerçevesinde kamu hizmetinin güvenilirliğini temin etmenin zorunlu bir adımıdır.

Devlet veya belediye benden izinsiz kişisel bilgilerimi toplayabilir mi? expand_more
Kamu idareleri, asli görevlerini yerine getirirken kanunların açıkça öngördüğü durumlarda açık rızanıza ihtiyaç duymadan kişisel verilerinizi toplayabilir. İdareler bunu yaparken kamu sağlığı veya idari sözleşmelerin ifası gibi hukuka uygunluk sebeplerine dayanırlar. Bu yüzden açık rıza alınması kuralı idare için genellikle en son başvurulacak yöntemdir. Ancak idarenin bu kanuni istisnaları keyfi olarak genişletemeyeceğini ve yalnızca yasanın izin verdiği sınırlarla hareket etmesi gerektiğini unutmamalısınız.
Kamu kurumundaki eski ve yanlış bilgilerim yüzünden mağdur oldum, ne yapmalıyım? expand_more
İdarelerin işledikleri kişisel verilerin her zaman doğru ve gerektiğinde güncel olmasını sağlama gibi aktif bir yasal sorumluluğu bulunmaktadır. İdareler verileri işlerken dürüstlük kuralına uygun hareket etmek zorundadır. Eski veya güncel olmayan verileriniz kullanılarak hakkınızda tesis edilecek idari işlemler doğrudan mağduriyete yol açar ve hukuka aykırılık teşkil eder. Bu nedenle, söz konusu veri sorumlusu kamu kurumuna resmi bir başvuru yaparak bu hatalı verilerin derhal düzeltilmesini talep edebilirsiniz.
Devlet kurumuna verdiğim veriler bambaşka bir iş için kullanılabilir mi? expand_more
Hayır, kamu gücüyle elde edilen veriler yalnızca toplanma amacına uygun, belirli, açık ve meşru amaçlar doğrultusunda kullanılmak zorundadır. Bir kamu idaresinin hizmet ifası sırasında topladığı bir veriyi, daha sonradan bambaşka bir idari işlem veya faaliyet için kullanması hukuka aykırılık teşkil eder. İdareler, sadece kamu hizmetinin gerektirdiği bağlantılı, sınırlı ve ölçülü verileri toplamalıdır. İhtiyacı aşan verilerin toplanması veya yasal süresinden daha uzun süre muhafaza edilmesi kanunen yasaktır.
Kurumdan verilerimi silmelerini istedim ama cevap vermediler, hakkım yok mu? expand_more
Veri işleme şartlarının veya idari amacın ortadan kalkması durumunda kurumlar, kişisel verileri re'sen veya sizin başvurunuz üzerine silmek, yok etmek ya da anonim hale getirmekle yükümlüdür. Haklarınızı kullanmak için ilgili idareye yaptığınız resmi başvuruların en geç otuz gün içinde etkin şekilde değerlendirilmesi ve sonuçlandırılması kanuni bir mecburiyettir. Talebinizin zımnen veya hiçbir gerekçe gösterilmeden reddedilmesi, iyi yönetim hakkı ile bağdaşmayan ciddi bir idari usul hatasıdır. Böyle bir durumda Kişisel Verileri Koruma Kurulu'na şikâyet yoluna giderek, kurumun hukuka aykırı işleminin durdurulması için idari tedbir kararı verilmesini sağlayabilirsiniz.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir