Anasayfa/ Makale/ İdarenin Veri İşleme Faaliyetlerinin Hukuki Temelleri ve KVKK Uyum Süreci

İdarenin Veri İşleme Faaliyetlerinin Hukuki Temelleri ve KVKK Uyum Süreci

İdarenin yürüttüğü faaliyetler kapsamında kişisel verilerin işlenmesi, KVKK bağlamında sıkı kurallara tabidir. Bu makalede, kamu kurumlarının veri işleme amaçları, temel ilkeleri, Kanun kapsamındaki istisnaları ve aydınlatma, veri güvenliği ile VERBİS kaydı gibi temel hukuki yükümlülükleri detaylı bir şekilde incelenmektedir.
search
7 dk okuma Yayınlanma: Güncelleme:
KVKK AYDINLATMA YÜKÜMLÜLÜĞÜ AÇIK RIZA CEZA HUKUKU

Modern devlet anlayışında idare, kamu hizmetlerinin etkin ve verimli bir biçimde sunulması amacıyla geniş bir faaliyet alanına sahiptir. Bu faaliyetlerin icrasında, idarenin kişisel verilere erişimi ve bu verileri işlemesi kaçınılmaz bir hale gelmiştir. Bilgi toplumuna geçiş süreciyle birlikte, idarenin vatandaşlara daha iyi hizmet sunabilmesi, kamu politikalarını oluşturabilmesi ve vergi toplama gibi yükümlülüklerini yerine getirebilmesi için kişisel verilerin korunması hakkı ile idari işlemler arasında hassas bir denge kurulması gerekmektedir. İdarenin faaliyetlerinde elde edilen kişisel verilerin işlenmesi, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde belirlenen kurallara ve anayasal güvencelere tabidir. Bu bağlamda, idarenin veri işleme süreçlerinde hem hukuki temellerin açık ve belirli olması hem de hukuki güvenliği sağlayacak mekanizmaların oluşturulması zorunludur. Kamu otoriteleri tarafından gerçekleştirilen veri işleme faaliyetlerinin kanuni sınırları, uyulması gereken temel ilkeler ve idarenin yerine getirmekle mükellef olduğu yükümlülükler, hem bireylerin temel hak ve özgürlüklerinin korunması hem de idari şeffaflığın sağlanması açısından büyük bir önem taşımaktadır.

İdarenin Kişisel Veri İşleme Sebepleri ve Temel İlkeleri

İdare, kişiler hakkında kayıt tutmaya kişinin doğumuyla başlamakta ve yaşamı boyunca çeşitli etkileşimleri kayıt altına almaktadır. İdarenin kişisel veri işlemesindeki temel amaçlar arasında sosyal refah programlarının yönetilmesi, vergilerin toplanması, kamu politikalarının oluşturulması ve idari faaliyetlerin performans yönetimi yer almaktadır. Büyük veri analizleri sayesinde, toplumun ihtiyaç duyduğu hizmetlerin tespiti ve mevcut hizmetlerin daha adil sunulması mümkün hale gelmektedir. Ancak bu süreçte idarenin, KVKK'nın 4. maddesinde belirtilen temel ilkelere sıkı sıkıya bağlı kalması gerekmektedir. İşlenen verilerin hukuka ve dürüstlük kurallarına uygun olması, doğru ve güncel tutulması, belirli, açık ve meşru amaçlar için işlenmesi esastır. Ayrıca, idarenin topladığı verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ile mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi yasal bir zorunluluktur.

KVKK Kapsamındaki İstisnalar ve İdarenin Muafiyetleri

6698 sayılı Kanun, bazı özel durumlarda idarenin veri işleme faaliyetlerini kanun kapsamı dışında tutmuştur. Kanunun 28. maddesinde belirtilen tamamen kapsam dışında tutulan haller arasında; kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini veya kamu düzenini sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurumları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi yer almaktadır. Aynı şekilde, yargı makamları veya infaz mercileri tarafından soruşturma, yargılama ve infaz işlemlerine ilişkin işlenen veriler de tam istisna kapsamındadır. Bunun yanı sıra, suç işlenmesinin önlenmesi, disiplin soruşturması yürütülmesi veya Devletin ekonomik ve mali çıkarlarının korunması amacıyla bütçe ve vergi konularında işlenen kişisel veriler bakımından idareye kısmi istisnalar tanınmıştır. Kısmi istisna hallerinde idarenin aydınlatma yükümlülüğü ve VERBİS'e kayıt yükümlülüğü bulunmamaktadır ancak veri güvenliğini sağlama zorunluluğu devam etmektedir.

İdarenin KVKK Kapsamındaki Yükümlülükleri

İdarenin kişisel veri işlerken uyması gereken en temel yükümlülüklerden biri veri güvenliğinin sağlanmasıdır. Kanunun 12. maddesi uyarınca veri sorumlusu konumundaki idare, kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere yetkisiz erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin edecek teknik ve idari tedbirleri almak zorundadır. Bu kapsamda, erişim loglarının tutulması, yetki matrislerinin oluşturulması ve kurum içi siber güvenlik önlemlerinin alınması kritik önem taşır. Bir diğer önemli yükümlülük ise aydınlatma yükümlülüğüdür. İdare, kişisel verilerin elde edilmesi sırasında ilgili kişilere veri sorumlusunun kimliği, verilerin hangi amaçla işleneceği, kimlere aktarılabileceği ve veri toplamanın hukuki sebebi hakkında şeffaf bir şekilde bilgi vermekle mükelleftir.

Veri Sorumluları Siciline (VERBİS) Kayıt

İdarelerin veri sorumlusu sıfatıyla yerine getirmesi gereken bir diğer önemli adım, Veri Sorumluları Siciline (VERBİS) kayıt yükümlülüğüdür. İstisna kapsamına giren faaliyetler hariç olmak üzere, kamu kurum ve kuruluşları veri işlemeye başlamadan önce bu sicile kayıt yaptırmak zorundadır. VERBİS kaydı sırasında, kişisel verilerin hangi amaçla işleneceği, veri kategorileri, yurt dışına aktarım durumu ve kişisel veri güvenliğine ilişkin alınan tedbirler kamuoyuna açıklanmalıdır. Ayrıca idareler, Kanunun uygulanmasıyla ilgili koordinasyonu sağlamak üzere bünyelerinde üst düzey bir yönetici belirleyerek Kuruma bildirmek zorundadır. Bu yükümlülüklerin eksiksiz yerine getirilmesi, idarenin hesap verebilirliği ve vatandaşların kişisel verilerinin şeffaf bir biçimde yönetilmesi adına hukuki bir gerekliliktir.

Genel ve Özel Nitelikli Kişisel Verilerin İşlenme Şartları

KVKK uyarınca kişisel veriler kural olarak ilgili kişinin açık rızası olmaksızın işlenemez. Ancak idare, mevzuatın kendisine verdiği görevleri yerine getirirken sıklıkla açık rıza istisnalarına dayanmaktadır. İdarenin kişisel verileri hukuka uygun olarak işleyebileceği ve Kanun'da belirtilen bazı temel hukuki dayanaklar şunlardır:

  • Kanunlarda açıkça öngörülmesi.
  • Veri sorumlusu idarenin hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması.
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin mecburi olması.
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, idarenin meşru menfaatleri için veri işlenmesinin zorunlu olması.

Bu şartlar sağlandığında idare, genel nitelikli verileri rıza olmaksızın işleyebilir. Diğer taraftan, ırk, siyasi düşünce veya sağlık bilgileri gibi özel nitelikli kişisel verilerin işlenmesi daha sıkı kurallara bağlanmıştır. Yeni düzenlemeler doğrultusunda bu veriler de ancak kanunlarda açıkça öngörülme veya sağlık hizmetlerinin yürütülmesi gibi istisnai hallerde gerekli teknik ve idari tedbirler alınarak işlenebilir.

Vergi toplarken devlet benden izin almak ya da bana bilgi vermek zorunda mı? expand_more
Vergi idaresinin faaliyetleri, Devletin ekonomik ve mali çıkarlarının korunması amacıyla yürütüldüğü için 6698 sayılı KVKK kapsamında kısmi istisna alanına girmektedir. Bu sebeple kamu kurumları bütçe ve vergi konularında kişisel verilerinizi işlerken size aydınlatma yapmak veya rızanızı almak zorunda değildir. Aynı şekilde bu işlemleri yürütürken Veri Sorumluları Siciline (VERBİS) kayıt yaptırma yükümlülükleri de bulunmaz. Ancak aydınlatma yükümlülüğü olmasa dahi, kurumların bu verilerin güvenliğini sağlama zorunluluğu hukuken her zaman devam etmektedir.
İstihbarat ve polis gizlice verilerimi toplarken KVKK'ya tabi mi? expand_more
6698 sayılı Kanun'un 28. maddesi uyarınca millî savunma, millî güvenlik, kamu güvenliği veya kamu düzenini sağlamaya yönelik yürütülen istihbari, önleyici ve koruyucu faaliyetler KVKK'dan tamamen muaf tutulmuştur. Dolayısıyla kanunla bu konularda görev ve yetki verilmiş kamu kurumları, yürüttükleri faaliyetler sırasında KVKK kurallarına ve kısıtlamalarına tabi olmazlar. Benzer şekilde, yargı makamları veya infaz mercileri tarafından yürütülen adli soruşturma, yargılama ve infaz işlemleri de bu tam istisna rejimi kapsamında değerlendirilmektedir.
Bir kamu kurumuna verdiğim verilerin ne yapıldığını bana açıklamak zorundalar mı? expand_more
Evet, Kanun'da belirtilen özel istisnai durumlar dışında kamu kurumları birer veri sorumlusu olarak size karşı aydınlatma yükümlülüğünü yerine getirmekle mükelleftir. İdare, kişisel verilerinizi elde ettiği sırada kimliğini, verilerin hangi amaca yönelik olarak işleneceğini, kimlere aktarılabileceğini ve veri toplamanın hukuki sebebini şeffaf bir biçimde size bildirmelidir. Ayrıca, kamu kurumları bu verileri sadece işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak kullanmalı ve mevzuatta öngörülen süre dolduğunda saklamaya son vermelidir.
Devlet kurumlarındaki dosyalarıma memurların yetkisiz erişimini kim engelliyor? expand_more
İdare, kişisel verilerinize yetkisiz kişilerin erişmesini engellemek ve verilerin hukuka aykırı şekilde işlenmesinin önüne geçmek için gerekli tüm teknik ve idari tedbirleri almakla kanunen yükümlüdür. Kanunun 12. maddesi gereğince, idare tarafından dijital sistemlerde erişim logları tutulmalı, hangi personelin hangi veriye ulaşabileceğini belirleyen yetki matrisleri oluşturulmalı ve kurum içi siber güvenlik önlemleri alınmalıdır. Kurum, hukuki istisnalar sebebiyle veri işlemlerini aydınlatma yapmadan yürütüyor olsa dahi, verilerin güvenliğini sağlama yükümlülüğü hiçbir şekilde ortadan kalkmaz.
Devlet benim kişisel verilerimi işlemek için her zaman rıza almak zorunda mı? expand_more
Hayır, kural olarak kişisel verilerin işlenmesi açık rızaya tabi olsa da idarenin yürüttüğü birçok faaliyette buna gerek duyulmaz. KVKK uyarınca, kanunlarda açıkça öngörülmesi, idarenin hukuki yükümlülüğünü yerine getirmesi veya ilgili kişinin haklarına zarar vermemek şartıyla idarenin meşru menfaatinin zorunlu olması gibi hallerde açık rızanız olmadan da veri işlenebilir. Ancak ırk, siyasi düşünce veya sağlık bilgileri gibi özel nitelikli kişisel veriler söz konusu olduğunda süreç daha sıkı kurallara bağlanmıştır ve bunlar ancak sağlık hizmetlerinin yürütülmesi gibi kanunda açıkça yer alan istisnai hallerde işlenebilir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir