Anasayfa/ Makale/ İdarenin Veri İşleme Faaliyetlerinin Hukuki...

Makale

İdarenin yürüttüğü faaliyetler kapsamında kişisel verilerin işlenmesi, KVKK bağlamında sıkı kurallara tabidir. Bu makalede, kamu kurumlarının veri işleme amaçları, temel ilkeleri, Kanun kapsamındaki istisnaları ve aydınlatma, veri güvenliği ile VERBİS kaydı gibi temel hukuki yükümlülükleri detaylı bir şekilde incelenmektedir.

İdarenin Veri İşleme Faaliyetlerinin Hukuki Temelleri ve KVKK Uyum Süreci

CEZA HUKUKU AÇIK RIZA KVKK AYDINLATMA YÜKÜMLÜLÜĞÜ

Modern devlet anlayışında idare, kamu hizmetlerinin etkin ve verimli bir biçimde sunulması amacıyla geniş bir faaliyet alanına sahiptir. Bu faaliyetlerin icrasında, idarenin kişisel verilere erişimi ve bu verileri işlemesi kaçınılmaz bir hale gelmiştir. Bilgi toplumuna geçiş süreciyle birlikte, idarenin vatandaşlara daha iyi hizmet sunabilmesi, kamu politikalarını oluşturabilmesi ve vergi toplama gibi yükümlülüklerini yerine getirebilmesi için kişisel verilerin korunması hakkı ile idari işlemler arasında hassas bir denge kurulması gerekmektedir. İdarenin faaliyetlerinde elde edilen kişisel verilerin işlenmesi, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde belirlenen kurallara ve anayasal güvencelere tabidir. Bu bağlamda, idarenin veri işleme süreçlerinde hem hukuki temellerin açık ve belirli olması hem de hukuki güvenliği sağlayacak mekanizmaların oluşturulması zorunludur. Kamu otoriteleri tarafından gerçekleştirilen veri işleme faaliyetlerinin kanuni sınırları, uyulması gereken temel ilkeler ve idarenin yerine getirmekle mükellef olduğu yükümlülükler, hem bireylerin temel hak ve özgürlüklerinin korunması hem de idari şeffaflığın sağlanması açısından büyük bir önem taşımaktadır.

İdarenin Kişisel Veri İşleme Sebepleri ve Temel İlkeleri

İdare, kişiler hakkında kayıt tutmaya kişinin doğumuyla başlamakta ve yaşamı boyunca çeşitli etkileşimleri kayıt altına almaktadır. İdarenin kişisel veri işlemesindeki temel amaçlar arasında sosyal refah programlarının yönetilmesi, vergilerin toplanması, kamu politikalarının oluşturulması ve idari faaliyetlerin performans yönetimi yer almaktadır. Büyük veri analizleri sayesinde, toplumun ihtiyaç duyduğu hizmetlerin tespiti ve mevcut hizmetlerin daha adil sunulması mümkün hale gelmektedir. Ancak bu süreçte idarenin, KVKK'nın 4. maddesinde belirtilen temel ilkelere sıkı sıkıya bağlı kalması gerekmektedir. İşlenen verilerin hukuka ve dürüstlük kurallarına uygun olması, doğru ve güncel tutulması, belirli, açık ve meşru amaçlar için işlenmesi esastır. Ayrıca, idarenin topladığı verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ile mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi yasal bir zorunluluktur.

KVKK Kapsamındaki İstisnalar ve İdarenin Muafiyetleri

6698 sayılı Kanun, bazı özel durumlarda idarenin veri işleme faaliyetlerini kanun kapsamı dışında tutmuştur. Kanunun 28. maddesinde belirtilen tamamen kapsam dışında tutulan haller arasında; kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini veya kamu düzenini sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurumları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi yer almaktadır. Aynı şekilde, yargı makamları veya infaz mercileri tarafından soruşturma, yargılama ve infaz işlemlerine ilişkin işlenen veriler de tam istisna kapsamındadır. Bunun yanı sıra, suç işlenmesinin önlenmesi, disiplin soruşturması yürütülmesi veya Devletin ekonomik ve mali çıkarlarının korunması amacıyla bütçe ve vergi konularında işlenen kişisel veriler bakımından idareye kısmi istisnalar tanınmıştır. Kısmi istisna hallerinde idarenin aydınlatma yükümlülüğü ve VERBİS'e kayıt yükümlülüğü bulunmamaktadır ancak veri güvenliğini sağlama zorunluluğu devam etmektedir.

İdarenin KVKK Kapsamındaki Yükümlülükleri

İdarenin kişisel veri işlerken uyması gereken en temel yükümlülüklerden biri veri güvenliğinin sağlanmasıdır. Kanunun 12. maddesi uyarınca veri sorumlusu konumundaki idare, kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere yetkisiz erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin edecek teknik ve idari tedbirleri almak zorundadır. Bu kapsamda, erişim loglarının tutulması, yetki matrislerinin oluşturulması ve kurum içi siber güvenlik önlemlerinin alınması kritik önem taşır. Bir diğer önemli yükümlülük ise aydınlatma yükümlülüğüdür. İdare, kişisel verilerin elde edilmesi sırasında ilgili kişilere veri sorumlusunun kimliği, verilerin hangi amaçla işleneceği, kimlere aktarılabileceği ve veri toplamanın hukuki sebebi hakkında şeffaf bir şekilde bilgi vermekle mükelleftir.

Veri Sorumluları Siciline (VERBİS) Kayıt

İdarelerin veri sorumlusu sıfatıyla yerine getirmesi gereken bir diğer önemli adım, Veri Sorumluları Siciline (VERBİS) kayıt yükümlülüğüdür. İstisna kapsamına giren faaliyetler hariç olmak üzere, kamu kurum ve kuruluşları veri işlemeye başlamadan önce bu sicile kayıt yaptırmak zorundadır. VERBİS kaydı sırasında, kişisel verilerin hangi amaçla işleneceği, veri kategorileri, yurt dışına aktarım durumu ve kişisel veri güvenliğine ilişkin alınan tedbirler kamuoyuna açıklanmalıdır. Ayrıca idareler, Kanunun uygulanmasıyla ilgili koordinasyonu sağlamak üzere bünyelerinde üst düzey bir yönetici belirleyerek Kuruma bildirmek zorundadır. Bu yükümlülüklerin eksiksiz yerine getirilmesi, idarenin hesap verebilirliği ve vatandaşların kişisel verilerinin şeffaf bir biçimde yönetilmesi adına hukuki bir gerekliliktir.

Genel ve Özel Nitelikli Kişisel Verilerin İşlenme Şartları

KVKK uyarınca kişisel veriler kural olarak ilgili kişinin açık rızası olmaksızın işlenemez. Ancak idare, mevzuatın kendisine verdiği görevleri yerine getirirken sıklıkla açık rıza istisnalarına dayanmaktadır. İdarenin kişisel verileri hukuka uygun olarak işleyebileceği ve Kanun'da belirtilen bazı temel hukuki dayanaklar şunlardır:

  • Kanunlarda açıkça öngörülmesi.
  • Veri sorumlusu idarenin hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması.
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin mecburi olması.
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, idarenin meşru menfaatleri için veri işlenmesinin zorunlu olması.

Bu şartlar sağlandığında idare, genel nitelikli verileri rıza olmaksızın işleyebilir. Diğer taraftan, ırk, siyasi düşünce veya sağlık bilgileri gibi özel nitelikli kişisel verilerin işlenmesi daha sıkı kurallara bağlanmıştır. Yeni düzenlemeler doğrultusunda bu veriler de ancak kanunlarda açıkça öngörülme veya sağlık hizmetlerinin yürütülmesi gibi istisnai hallerde gerekli teknik ve idari tedbirler alınarak işlenebilir.

5 dk okuma Yayınlanma: Güncelleme: