KVKK KAPSAMINDA E-DEVLET KAMU HİZMETLERİNDEN İDARENİN SORUMLULUĞU HAKKINDA
Çalışmamızda, hem kişisel verilerin korunmasında idarenin sorumluluğunu hem de kamu otoritesinin kendi verisinin güvenliği boyutunu inceleyeceğiz. Burada, literatürde daha çok incelenme konusu yapılan özel hukuk tüzel kişilerinin sorumluluğu yerine, idarenin sorumluluğu noktasına değineceğiz. Bu incelemeyi yaparken özellikle e-devlet sistemi üzerinden idarenin kişisel verilerin korunmasından almış olduğu veri güvenliği koruma yöntemlerini anlatmaya çalışacağız.
KVKK KAPSAMINDA E-DEVLET KAMU HİZMETLERİNDEN İDARENİN SORUMLULUĞU HAKKINDA
-HUKUK BÜLTENİ-
BÜLTEN TARİHİ: 14/01/2021
6698 sayılı Kişisel Verilerin Korunması Kanunu(“KVKK”) muhtevası itibariyle ekseriyetle özel hukuk tüzel kişilerinin ve gerçek kişilerin veri sorumlusu niteliğindeki sorumluluklarını inceler. Her ne kadar KVKK 3.’üncü madde kapsamında veri sorumlusunun tanımı yapılırken kamu veya özel hukuk tüzel kişisi ayrımına gidilmese bile Kanun’un kabahatlerden kamu hukuk tüzel kişisini ayrık tutması idarenin sorumluluk kapsamını KVKK açısından daraltmaktadır. Gerçekten 6698 sayılı KVKK’nın tam istisna (m.28/1) ve kısmi istisna (m.28/2) hallerini düzenleyen 28.’inci maddesi idarenin eylem ve işlemlerinin sayılı faaliyet alanlarında KVKK kapsamında değerlendirilemeyeceği söylenmektedir. Diğer taraftan Kanun’a göre kişisel verisi işlenenden kasıt gerçek kişilerdir[1]. Bu durum gerçek ve kamu hukuk tüzel kişilerinin verilerinin olmayacağı veya verilerinin korunmaya değer olmadığı manasına gelmemektedir. Buradan anlaşılması gereken 2016 yılında yürürlüğe giren 6698 sayılı KVKK’nın halen birçok eksikliklerinin bulunduğu veya daha yapıcı bir tabirle bazı alanlarda henüz düzenleme olmadığı gerçeğidir. Bu Kanun’un yeni olması literatürde yazılan eserlerinde yeni olduğu sonucuna bizi götürmektedir.
Bu noktada çalışmamızda, hem kişisel verilerin korunmasında idarenin sorumluluğunu hem de kamu otoritesinin kendi verisinin güvenliği boyutunu inceleyeceğiz. Burada, literatürde daha çok incelenme konusu yapılan özel hukuk tüzel kişilerinin sorumluluğu yerine, idarenin sorumluluğu noktasına değineceğiz. Bu incelemeyi yaparken özellikle e-devlet sistemi üzerinden idarenin kişisel verilerin korunmasından almış olduğu veri güvenliği koruma yöntemlerini anlatmaya çalışacağız. Bunun yanında yine idarenin sorumluluğunun büyük bir kapsamını oluşturan sağlık verilerini (hassas nitelikli veriler) Danıştay kararları ışığında değerlendireceğiz.
II. KİŞİSEL VERİLERİN KORUNMASI HAKKININ HUKUKİ DAYANAĞI
Devlet kişisel verilerin korunmasının muhatabıdır[2]. Bu noktada kanun hazırlamak en doğal haliyle idarenin yükümlülüğünde olacaktır. Nitekim kişisel verilerin korunması hakkında ilk düzenlemenin temelleri Anayasanın “Temel hak ve ödevler” başlıklı ikinci kısmı altında “Kişinin hakları ve ödevleri” bölümleri içerisinde “Özel hayatın Gizliliği ve Korunması” hükümleri münderecatında bulunmaktadır. Anayasa’nın 20’nci maddesinin 3’üncü fıkrasının son cümlesinde kişisel verilerin alternatif iki farklı yöntemle alınabileceği kanunlaştırılmıştır. Bunlardan ilki kanunla öngörülmesi ikincisi ise kişisel verisi alınan kişinin açık rızasının mevcudiyetidir. Bunun yanında kişisel verilerin korunması ile ilgili yapılacak her türlü düzenlemenin kanunla yapılacağı öngörülmüştür[3].
B. KİŞİSEL VERİLERİN KORUNMASI HAKKININ SINIRLANMASI
1982 Anayasasında düzenlenen her bir temel hak ve hürriyet ancak yine kanunla sınırlandırılabilir. Bu sınırlama Anayasada belirtilen özel sınırlama sebepleri içerisinde kalmak ve hakkın özüne dokunulmayacak şekilde olabilecektir[4]. Fakat kişisel verilerin korunması hakkı ile ilgili olarak Anayasa’nın ilgili maddesinde özel sınırlama sebebi belirtilmemiş kişisel verilerin işlenmesinin ne tür şartlar altında işlenebileceğinin yasa ile tayin edileceği hüküm altına alınmıştır[5].
1982 Anayasanın özel hayatın gizliliği kapsamında değerlendirilen kişisel verilerin korunması hakkı ile ilgili olarak düzenleme ve sınırlamaları içeren kanun ise 2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’dur. Bu kanun kapsamında KVKK 4’üncü maddede kişisel verilerin işlenmesi prosedürü bazı usul ve esaslara bağlanmıştır[6]. KVKK 4’üncü maddesinin 2’nci fıkrasında kişisel verilerin işlenmesinde uyulması gereken zorunlu ilkeler şu şekilde sıralanmıştır[7]:
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Kısacası yukarıda sayılan ilkeler kişisel verilerin işlenmesinde uyulması gereken olmazsa olmaz ilkelerdir. Bu ilkelerin yanında KVKK’nın 5’inci ve 6’ncı maddelerinde kişisel verilerin ne şekilde işlenebileceği dolayısıyla kişisel verilerin korunmasını isteme hakkının sınırlanabileceği belirtilmiştir. İlk olarak kişisel veriler işlenirken ilgili kişinin açık rızası bir hukuka uygunluk sebebi olarak zikredilmiştir[8]. İlgili kişinin açık rızasının aranmadığı durumlar ise Kanun’un 5’inci maddesi 2’nci fıkrasında düzenlenmiştir[9]. Yine Kanun’un 6’ncı maddesinin 1’inci fıkrasında özel nitelikli kişisel verilerin diğer kişisel verilerden ayrık tutulduğu ve sınırlı şekilde sayılan bu hassas verilerin daha sıkı bir korunmaya haiz olduğu hükme bağlanmıştır[10]. Zira bu hassas kişisel verilerden sağlık ve cinsel hayat kategorisi dışındakilerin açık rıza olmaksızın işlenme şartlarının yine kanunla düzenleneceği, sağlık ve cinsel hayat kapsamındaki kişisel verilerin ise ilgili fıkrada sınırlı sayıda zikredilen özel kısıtlama sebeplerine tabi tutulduğunu görmekteyiz[11].
III. İDARENİN KİŞİSEL VERİ TOPLAMA GEREKÇESİ
İdare, görevi ve sunduğu kamu hizmetleri nedeniyle kamu hizmetlerini yerine getirirken kaçınılmaz şekilde kişisel verilerin işlenmesine ihtiyaç duymaktadır. Gerçekten idarenin kişisel verileri işleme amaçları arasında sayabileceğimiz[12]: “b) Planlama ve istatistik, c) sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında, ç) güvenliğin sağlanması amacıyla önleyici, koruyucu ve istihbari faaliyetler kapsamında, d) soruşturma ve kovuşturma aşamasında” verilerin işlenmesi KVKK kapsamı dışında tutulmuştur[13]. Kanun bu tarz kişisel verilerin işlenmesi hallerini tam istisna halleri olarak adlandırmaktadır. Yine Kanun’un düzenlediği bazı durumlarda kişisel verilerin işlenmesi, KVKK’nın aydınlatma yükümlülüğünü düzenleyen 10’uncu maddesi, zararın giderilmesini talep etme hakkı dışındaki ilgili kişinin haklarını düzenleyen 11’inci maddesi ve veri sorumluları siciline kayıt yükümlülüğünü düzenleyen 16’ncı maddesinin uygulanmaması sebebiyle kısmi istisna halleri olarak sayılmıştır[14]. Fakat her halükârda kısmi istisna kapsamında kişisel veriler sınırsız şekilde işlenemeyip “Kanun’un amacına[15] ve temel ilkelerine[16] uygun ve orantılı[17]” olmak zorundadır[18].
IV. İDARENİN KAMU HİZMETLERİNDEN SORUMLULUĞU
Türk İdare Hukuk Sisteminde idarenin hukuki sorumluluğunda genel kural kusur sorumluluğudur. Kusur sorumluluğunun bir diğer adı hizmet kusurudur. Hizmet kusuru denildiğinde hizmetin kötü işlemesi, geç işlemesi veya hiç işlememesi akla gelmektedir[19]. İdarenin bir diğer sorumluluk rejimi kusursuz sorumluluk halidir. Kusursuz sorumluluk kamu külfetlerinde eşitlik (fedakarlığın denkleştirilmesi) ilkesine dayanır[20]. Çalışmamızda kamu hizmetlerinden sorumluluk yani hizmet kusuru halleri işleneceği için kusursuz sorumluluk bahsine değinmeyeceğiz.
En genel manada kamu hizmeti, kamu otoritelerinin kamu yararı sağlanması maksadıyla resen ifa ettiği veya gözetimi, denetimi altında tayin ettiği temsilcileri vasıtasıyla yürüttüğü faaliyetlerdir[21]. Bu meyanda klasik kamu hizmetlerinden dijital kamu hizmetlerine geçişi inceleyeceğiz.
B. E- DEVLET KAMU HİZMETLERİNDE İDARENİN SORUMLULUĞU
Teknolojik gelişmelerin artmasıyla devletler, idareler veya kamu otoriteleri tüm dünyada kamu hizmetlerinde dijitalleşmeye gitmişlerdir. Gerçekten, Türkiye’de 2000’li yılların başlarından beri Avrupa Birliği’ne entegrasyon süreci çerçevesinde bu yolda e-dönüşüm adımları atılmış, e-dönüşümün bir parçası olarak e-devlet yani elektronik kamu hizmetlerini vatandaşlarına hatta tüzel kişilerine sunmaya başlamıştır. Pek tabi hizmetlerin dijitalleşmesiyle beraber gerçek ve tüzel kişilerin verileri elektronik ortamlarda işlenmeye, muhafaza edilmeye ve aktarılmaya başlanmıştır.
Dijital kamu hizmeti denildiğinde açık veya kapalı ağlar üzerinden verilerin iletilmesi, barındırılması ve işlenmesine imkân veren kamu hizmetleri akla gelmektedir. Örneğin; Sosyal Güvenlik İşlemleri üzerinden hizmet günü dökümlerinin alınması, Nüfus işlemleri üzerinden ikametgâh veya vukuatlı nüfus kayıt işlemlerini tescili, Eğitim işlemleri üzerinden aktif veya pasif öğrenci belgesinin alınabilmesi, Vergi ve Mali Hizmetler servisleri üzerinden trafik cezası, MTV gibi ceza ve vergilerin ödenebilmesi bunlar arasında sayılmaktadır[22]. Gün geçtikçe idarenin dijital platformlarda verdiği kamu hizmetleri artış göstermektedir. Hatta Çin’in Wuhan kentinden tüm dünyaya yayılan Covid-19 salgını sonrasında vatandaşların evde kalma mecburiyeti, sokağa çıkma yasağı uygulamaları ve kamu hizmetlerinin sekteye uğramaması gerektiği ilkesi sebebiyle dijital kamu hizmetlerinin ve dijitalleşmenin gelecekte ne derece hayati önem taşıdığı aşikardır. Bu bağlamda idarenin her tür kamu hizmeti verirken kişisel verileri işlemesinin ihtiyaç olmaktan çıkıp belki de zorunluluk olacağını söyleyebiliriz. Bu noktada idarenin hem veri minimizasyonu[23] (amaca uygun olarak verinin işlenmesi) ilkesi hem de kamu hizmetinin sürekliliği ilkesi beraber işletilerek uygulanması gerektiği söylenmelidir.
Nitekim E-devlet tanımı yapılırken bir taraftan “kurumlar arası veri paylaşımı esasına dayalı olarak yürütülmesi için kurumlar tarafından hızlı, güvenli, etkili, verimli, şeffaf ve hesap verebilir” denilerek klasik kamu hizmeti anlayışı vurgulanmıştır[24]. Diğer taraftan “temel hak ve özgürlüklere riayet edilerek ve mahremiyet gözetilecek” ifadesiyle Anayasa ve KVVK düzenlemelerine uygun olarak kişisel verilerin işlenip ve uygun şekilde elektronik ortama aktarılan her bir kamu hizmeti olduğu tanımlanmıştır[25].
b. KİŞİSEL VERİLERİN DİJİTAL KAMU HİZMETLERİ BAKIMINDAN TABİ OLDUĞU HUKUKİ REJİM VE İLKELER
Dijital Kamu Hizmetlerine yön veren ilk hukuki rejim 655 sayılı Ulaştırma, Denizcilik ve Haberleşme “UDH” Bakanlığı’nın Teşkilat ve Görevleri Hakkında KHK ile düzenlenmiştir. Bu KHK ile dijital kamu hizmeti oluşturmaya yönelik “veri tabanları[26]”oluşturma görevi ve bu verilerin güvenliğine yönelik önlemler alınması görevi UDH Bakanlığı’na aittir[27]. Daha önce e-devlet tanımında belirttiğimiz üzere kişisel verilerin mahremiyeti ve temel hak ve özgürlüklere saygı gösterilmesi ve uyulması, E-devlet Hizmetlerinin Yürütülmesine İlişkin Yönetmelik’te düzenlenmiştir. Bunun yanında kişisel verilerin korunması ve amacı dışında kullanılmasından bilgiyi temin eden ve kullanan kuruluşların müteselsil sorumlu olacağını düzenleyen rehberler mevcuttur[28].
Bunun yanında dijital kamu hizmetlerinin aynı klasik kamu hizmetleri gibi tabi olduğu ilkeler bulunmaktadır. Bunlardan ilki olan süreklilik ilkesi idarenin dijital kamu hizmetlerini verirken kesintisiz ve sürekli bir şekilde veri güvenliğini sağlaması, kişisel verilere karşı yetkisiz erişimleri mütemadiyen önleme sistemlerini uygulaması manasına gelmektedir[29]. Zira bu veri güvenliği önlemlerinin aksatılması, sekteye uğraması idarenin kusur sorumluluğunu doğuracaktır. İkincisi zikredeceğimiz uyarlama ilkesi ise teknolojik gelişmelerin ışığında klasik kamu hizmetlerinin dijital kamu hizmetlerine dönüştürülmesidir. Bu noktada kamu hizmetini alanlar kamu hizmetinin yeni görünümüne uyum sağlamak zorundadırlar[30]. Bir diğer dijital kamu hizmeti ilkesi olan eşitlik ilkesi hem gerçek hem de tüzel kişilerin veri güveliğinin sağlanmasında idare nezdinde aynı konumda olduğunu ve idarenin sorumluluğunun verisi işlenenler açısından öncelik, sonralık oluşturmaması gerektiğini anlatmaktadır[31]. Son olarak bedelsizlik ilkesi tam anlamıyla bir kamu hizmeti ilkesi olmamakla beraber kamu hizmetinin de bedelsiz olacağını kastetmemektedir. Kamu hizmetinin karşılığı olarak ilgililere bedelin adil olarak yansıtılacağı manasına gelmektedir[32]. Dijital kamu hizmetleri bakımından idare açısından altından kalkılamaz masraflar oluştuğunda bu hizmetlerin ekonomik külfet oluşturmayacak şekilde ilgililere yansıtılabileceği söylenebilir[33].
c. DİJİTAL KAMU HİZMETLERİNDE SORUMLULUĞU KAPSAMI
AY. 125’inci madde “idarenin her türlü eylem ve işlemlerine karşı yargı yolu açıktır” demektedir[34]. İdare, kamu hizmetlerini ifa ederken idari eylem ve işlem şeklinde bunu yerine getirmektedir. Nitekim İYUK 12’nci maddesi “İlgililer haklarını ihlal eden bir idari işlem dolayısıyla…tam yargı davası açabilirler[35]” ve İYUK 13’üncü maddesi “İdari eylemlerden hakları ihlal edilmiş olanların… dava açılabilir[36]” demek suretiyle kamu hizmetlerinden idari işlem ve eylem sonrasında idarenin sorumluluğunu düzenlemişlerdir.
İdarenin kamu hizmetlerinden sorumluluğu idarenin hizmet kusurunun, diğer bir deyişle idarenin kusur sorumluluğunun bir yansımasıdır[37]. İdarenin kamu hizmetlerini sunarken, işleyişinde, başlangıcında ortaya çıkan her tür eksiklik, aksaklık, gecikme veya kötü ifa halleri idarenin kusur (hizmet kusurunu) sorumluluğunu ortaya çıkarmaktadır. Yine buradan hareketle dijital kamu hizmetlerinde sorumluluğun bir hizmet kusuru (kusur sorumluluğu) olduğunu söylemek yanlış olmayacaktır.
İdarenin kamu hizmetlerini yerine getirirken üç şekilde hizmet kusurunun ortaya çıktığını söylemiştik. Dijital kamu hizmetlerinde de bu durum farklı olamayacaktır. Zira kamu hizmetlerini bir yansıması olan dijital kamu hizmetlerinde de kötü işleyen, geç işleyen ve hiç işlemeyen bir hizmetin varlığında hizmet kusuru, başka bir deyişle kusur sorumluluğu ortaya çıkacaktır. Buradan hareketle kötü işleyen bir hizmet kişisel verilerin hukuka aykırı olarak açıklanması ve muhafaza edilememesi halidir[38]. Bu minvalde kişisel verilerin veri güvenliği ilkesi gereği şifre korumalarının yetkisiz erişimlere karşı yapılmaması, anti-virüs ve firewall yazılımları gibi veri güvenliği yöntemlerinin kullanılmaması durumunda kötü işleyen bir hizmetten bahsedebiliriz. Dijital kamu hizmetlerini sunarken kamu hizmetinin, yetkisiz erişimlerin gerçekleşmesinden sonra verilmesi, diğer taraftan güncelleme veya sızma testinin veri sistemlerinin virüs uyarısı vermesine karşın veri güvenliği duvarları delindikten sonra gerçekleştirilmesi geciken hizmetin tespitinde söyleyebileceğimiz bir hizmet kusuru halidir[39]. Son olarak dijital kamu hizmetleri ifa edilirken idarenin yapması gereken hizmeti resen veya personeli aracılığıyla hiç yerine getirmemesi sonucu idarenin hiç işlemeyen hizmetinden dolayı hizmet kusuru ortaya çıkacaktır. Bu zaviyeden yetkisiz erişimlerin tespitine yarayan log kayıtlarının hiç tutulmamış olması, veri güvenliği denetimlerinin ilgili iç yönetmelikte yapılmasının öngörülmemesini hiç işlemeyen hizmet olarak söyleyebiliriz[40].
Nitekim dijital kamu hizmetleri denildiğinde vatandaşa sunulan kamu hizmetlerinin yine vatandaşların kişisel verileri yardımıyla oluştuğunu söylemeliyiz. Bu noktada idarenin yükümlülüğünün boyutu kamu hizmeti sunmak maksadıyla almış olduğu verilerin güvenliğini sağlamak haline dönüşmektedir. İdarenin her bir kurum ve kuruluşu işlediği veriler nev’inde KVKK 12’nci madde kapsamında veri sorumlusu hüviyetindedir. Bir diğer deyişle, bir taraftan verileri işlerken, muhafaza ederken ve aktarırken hukuka uygun davranmalı, diğer taraftan 3. Kişilerin bu verileri hukuka uygun olmayan şekilde erişimini önlemelidir[41]. Aynı düzenlemenin 2’nci ve devamı fıkralarında ayrım yapılmaksızın gerçek ve özel hukuk tüzel kişileri gibi idarenin de veri sorumlusu sıfatıyla müştereken sorumluluğunun devam edeceği, veri güvenliği açısından gerekli denetimlerin yapılması gerektiği belirtilmektedir. Ayrıca hizmet kusuruna sebep olan idari personelin veri güvenliğini sağlarken tarafsız olması, görevi gereği gibi ifa etmesi ve sır saklama ve sırları ifşa etmeme prensibine uyarak kişisel verileri işlemesi, muhafaza etmesi gerekmektedir[42]. Zira, ilgili personeller veri işleyen sıfatıyla öğrendikleri kişisel verilerden dolayı işlerinden ayrılması durumlarında dahi sorumlu olacaklardır[43]. Bu noktada dijital kamu hizmetlerinde sorumluluğun kapsamını şu şekilde özetleyebiliriz. İdari kurum ve kuruluşlar, yapısında oluşturulan verilerin e-ortama aktarılmasından, sahihliğinden, güncelliğinden, veri bütünlüğü ve güvenliğinin sağlanmasından ve muhafaza edilmesinden sorumludurlar. Yine kamu otoriteleri, dijital kamu hizmetlerinde yararlanılan elektronik verilerin ve dijital yöntemlerin bulundurulduğu veri merkezlerine yönelik gerekli altyapının sağlanmasından ve aralıksız ve kesintisiz işlevsel tutulmasından, kişisel verilere 3. Kişiler tarafından veya aynı idari yapı içerisinde bulunan yetkisiz erişimlerin önlenmesi ve kişisel verilerin muhafazasına yönelik önlemlerin alınmasından sorumlu olacaktırlar[44].
Nihayetinde hizmet kusurundan ve daha özelinde dijital kamu hizmetlerinin ifasında kusur sorumluluğundan bahsedebilmemiz için idarenin işlem ve eylemleri sonucunda bir zarar ortaya çıkmalı, diğer bir deyişle idari faaliyet ile meydan gelen zarar arasında bir illiyet bağı bulunması gerekmektedir[45]. Hizmet kusurunu ortadan kalkmasına yol açacak durumlar ise mücbir sebep hali, beklenmeyen hal ve zarar görenin kusurunun varlığıdır[46].Mücbir Sebep haline veri sistemlerinin depolandığı merkezlerde çıkan yangın durumuna örnek verebiliriz. Beklenmeyen veya öngörülmeyen hal için yeni bir virüs saldırısı beklenmeyen hal olarak kabul etsek bile teknolojik veri güvenliği önlemleriyle engellenebilen ve daha önce sistemlere sızan ve zarar veren bilindik bir virüs veya siber saldırı beklenmeyen hal kapsamına giremeyecektir.
Geçmişte, günümüzde ve gelecekte işlediği, muhafaza ettiği, aktardığı ve depoladığı kişisel verilerin mahiyeti ve kapsamı göz önünde bulundurulduğunda idarenin sorumluluğu karşılaştırma yapılamayacak derecede muazzamdır. Nitekim bu sorumluluğun büyüklüğünün en büyük sebebi idarenin kamu hizmeti ifa etme zorunluluğudur. Bu kamu hizmeti ifa edilirken ilgili kamu personelinin görevini gereği gibi ifa etmemesi sonucu ilgili kişilerin kişisel verilerini ihlal edebilecektir. Böyle bir durumda, idarenin hem kusur hem de kusursuz sorumluluğu kapsamında kişisel verisi ihlal edilen kişi bu durumu idari yargı kanalı ile çözebilecektir. Bu hususta kamu personeline yöneltilecek disiplin hükümleri ve TCK uyarınca ceza sorumluluğu bakidir. Bu zaviyeden bakıldığında suçlar nev’inden veri güvenliği önlemlerini almayan, kişisel verileri hukuka aykırı aktaran, kaydeden, ele geçiren memurun veri işleyen sıfatıyla ceza ehliyeti gerçek kişilerden farksızdır.
Kişisel veri ihlalleri siber ataklar ve idare nezdinde oluşan veri ihlalleri şeklinde karşımıza çıkmaktadır. Kanaatimizce ne kadar aynı sonuçları doğurduğu düşünülse de siber ataklar açısından veri sorumlusu sıfatıyla kamu kurum ve kuruluşlarının alması gereken tedbirler gerçek kişi ve özel hukuk tüzel kişisi veri sorumlularının alması gereken tedbirlerden daha gelişmiş ve kapsamlı olmalıdır. Zira özel hayatın gizliliğinin bir parçası olan kişisel verilerin korunmasına yönelik alınacak veri güvenliği tedbirleri, veri merkezlerinin ve altyapısının güvenliği adına temin edilecek veya sıfırdan icat edilecek anti-virüs ve firewall programları, oluşturulacak veri politikaları, diğer deyişle kimin hangi veriyi alacağına, ne kadar saklayacağına, nasıl işleyeceğine, ne zaman imha etmesi gerektiğine dair her bir düzenleme idarenin görevidir. Bir diğer veri güvenliği ihlali idarenin personelinin bilinçli veya bilinçsiz yöntemlerle kişisel verileri idari kurum dışarısına çıkarması, aktarması, sızdırması halidir. Pek tabi bu durumda yukarıda değindiğimiz üzere disiplin yönetmeliği ve cezai müeyyideler bulunmaktadır. Fakat bu ihlal durumunu önlemek adına kişisel verilere erişimler yetkilendirilmeli, kişisel verilerin kimler tarafından işleneceği biliniyorsa şifreleme yöntemlerine gidilmeli, yetkisiz erişimleri önlemek adına erişimi sağlayanların log kayıtları tutulmalıdır.
İdarenin bünyesinde tuttuğu veriler salt gerçek kişilerin verileri değildir. İdare verdiği kamu hizmetinden dolayı bünyesinde bütçe gibi finansal veriler tutabileceği gibi, vereceği kamu hizmetinin planlamasını yapmak adına istatistiki veriler de barındırabilir. Her ne kadar bu verilerin güvenliği KVKK’da işlenmiyor olsa da bu verilerin değersiz olduğunu göstermez. Zira bu veriler aslında kişisel verilerin toplamının analiz edilmesi yöntemiyle oluşmaktadır. Gerçekten finansal veri çerçevesindeki bütçeyi oluşturan veriler idarenin vergi mükelleflerinden elde ettiği vergiler sonucunda ortaya konmaktadır. Yine istatistiki bir öngörü, tahmin oluşturmak adına TÜİK’in aldığı veriler veya planlı ve stratejik bir büyüme ve gelişme elde etmek adına eski adıyla DPT’nin şimdiki adıyla SBB’nin aldığı veriler vatandaşların kişisel verilerinin toplamı niteliğindedir. Bu açıdan idarenin sorumluluğunun kapsamı hem kişisel verilerin korunmasına yönelik olmalı hem de idarenin verilerinin güvenliğinin sağlanmasına yönelik olmalıdır.
İdareden beklenilen kamu hizmetlerinin dijitalleşmesini sağlamak adına ilk ve gerekli adımları atması, lakin bunu yerine getirirken veri güvenliğine ve kişisel verilere azami hassasiyeti göstermesidir. Bu durum, dijital çağda idarenin en büyük dilemmalarından birisi olacaktır.
Saygılarımızla
Forensis Hukuk Bürosu
Not: Bültenimizde yer verilen açıklamalar, ilgili mevzuat çerçevesinde konuyu genel hatlarıyla ele alır tarzda hazırlanmıştır. Size özel detaylı bilgi için bir hukuk bürosuyla bağlantıya geçmenizi tavsiye ederiz.
[1] KVKK Rehberler, 100 soruda Kişisel Verilerin Korunması Kanunu, KVKK Yayınları, Ankara, 2018, s.14., https://www.kvkk.gov.tr/Icerik/2030/Rehberler (Son Erişim Tarihi: 11.12.2020)
[2] Damla Gürpınar, Kişisel Verilerin Korunamamasından Doğan Hukuki Sorumluluk, D.E.Ü. Hukuk Fakültesi Dergisi, Prof. Dr. Şeref ERTAŞ’a Armağan, C. 19, Özel Sayı-2017, s. 684., https://hukuk.deu.edu.tr/wp-content/uploads/2017/11/18-DAMLA-GURPINAR.pdf (Son E. T.: 11.12.2020)
[3] 1982 AY. m. 20/3 in fine https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=2709&MevzuatTur=1&MevzuatTertip=5, (Son E. T.: 10.12.2020)
[4] 1982 AY. m. 13.; Kemal Gözler, “Anayasa Değişikliğinin Temel Hak ve Hürriyetlerin Sınırlandırılması Bakımından Getirdikleri ve Götürdükleri Anayasanın 13’üncü maddesinin yeni şekli hakkında bir inceleme”, Ankara Barosu Dergisi, Yıl 59, Sayı 2001/4, s. 57., https://www.anayasa.gen.tr/madde13.pdf (Son E. T.: 10.12.2020)
[5] Elif Küzeci, Kişisel Verilerin Korunması, 4. b., İstanbul: Onikilevha, 2020, s. 324.
[6] 6698 sayılı KVKK m. 4/1.https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6698&MevzuatTur=1&MevzuatTertip=5 (Son E. T.: 10.12.2020)
[8] 6698 sayılı KVKK m. 5/1.; Murat Volkan Dülger, Kişisel Verilerin Korunması Hukuku, 1. b., İstanbul: Hukuk Akademisi, 2019, s. 214.
[9] 6698 sayılı KVKK m. 5/2: “a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.”
[10] Küzeci, op.cit., s. 403.; 6698 sayılı KVKK m. 6/1: “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.”
[13] Küzeci, op.cit., s. 378-382.
[14] Küzeci, op.cit., s. 383.; KVKK Rehberler, 100 soruda Kişisel Verilerin Korunması Kanunu, s. 15-16.
[15] Bu noktada Kanun’un amacı kişisel verilerin işlenme şartlarını düzenlemek, kişisel verisi işlenen ilgili kişinin temel hak ve hürriyetlerini korumak ve sorumluluk hukukunun bir gereği olarak kişisel veriyi işleyenlerin uyması gereken kuralları ve yükümlülükleri düzenlemektir. (6698 sayılı KVKK m.1)
[16] Temel ilkelerden kasıt hem Kanun’un 4’üncü maddesindeki genel ilkelerdir hem de veri güvenliği ilkesi olarak kabul ettiğimiz Kanun’un 12’nci maddesidir. (6698 sayılı KVKK m.12)
[17] 6698 sayılı KVKK m. 28/2
[18] Rıza Saka, Kişisel Verilerin Korunması ve İmhasına İlişkin Genel Açıklamalar, in: Rıza Saka, Ramazan Çağlayan, Mahmut Koca, Avrupa Birliği Hukuku, İdare Hukuku ve Ceza Hukuku Açısından Kişisel Verilerin İmhası, 1.b., Ankara: Seçkin Yayıncılık, 2020, s. 40.
[19] Ahmet Bozdağ, “İdare Hukukunda İdarenin Hizmet Kusuru ve Danıştay Uygulaması”, Türk İdare Dergisi, S. 468, 2010, s. 34. http://www.tid.gov.tr/Makaleler/ahmet%20bozdag.pdf (Son E.T: 12.12.2020)
[20] Müzeyyen Eroğlu Durkal, “İdarenin Sorumluluğunun Ortaya Çıkışı ve Temeli”, AHBVÜ HFD, C. XXIII, S. 1, 2019, s. 181. https://dergipark.org.tr/tr/download/article-file/686481(Son E.T: 12.12.2020); Hasan Nuri Yaşar, “İdarenin Sorumluluğu Üzerine Düşünceler”, İÜHFM, C. LXVI, S.1,2008, s. 209. https://dergipark.org.tr/en/download/article-file/95680 (Son E.T.: 12.12.2020)
[21] Metin Günday, İdare Hukuku, 9.b., Ankara: İmaj Yayıncılık. 2004, s. 296.
[22] Ceren Küpeli, Tüzel Kişi Verilerinin Korunmasında İdarenin Sorumluluğu, 1.b., Ankara: Adalet Yayınevi, 2020, s. 63.
[23] Mesut Serdar Çekin, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kanun Çerçevesinde Kişisel Verilerin Korunması Kanunu, 3.b., İstanbul: Onikilevha Yayıncılık, 2020, s.72.
[24] Dilşat Yılmaz, “Türk Hukukunda Kamu Hizmeti Kavramı ve Kriterleri”, Gazi Üniversitesi Hukuk Fakültesi Dergisi, C. XII, S. 1-2, 2008, s. 1220. https://dergipark.org.tr/tr/download/article-file/789756 (Son E.T.: 12.12.2020)
[25]E-Devlet Hizmetlerinin Yürütülmesine İlişkin Yönetmelik m.4/1-c https://www.mevzuat.gov.tr/File/GeneratePdf?mevzuatNo=22818&mevzuatTur=KurumVeKurulusYonetmeligi&mevzuatTertip=5 (Son E. T.: 15.12.2020)
[26] 655 sayılı KHK m. 19, 01.11.2011 tarihli, Mükerrer 28102 sayılı R.G. https://www.resmigazete.gov.tr/eskiler/2011/11/20111101M1-1.htm (Son E.T.: 15.12.2020)
[27] Küpeli, op.cit., s.95.
[28] Bilgi Toplumu Dairesi, E- Dönüşüm Türkiye Projesi Birlikte Çalışabilirlik Esasları Rehberi, Sürüm 2.0, 2009, s.6. http://www.bilgitoplumu.gov.tr/wp-content/uploads/2014/04/Birlikte_Calisabilirlik_Esaslari_Rehberi_2.pdf (Son E.T.: 15.12.2020)
[29] Küpeli, op.cit., s. 100.
[30] Günday, op.cit., s. 335.
[31] Küpeli, op.cir., s. 102.
[32]AYM. Kararı, RG,23.08.1988-19908. 19.04.1988 tarih ve E:1987/16, K:1988/8 sayılı karar http://cdn.istanbul.edu.tr/FileHandler2.ashx?f=kamu-hizmeti.docx (Son E.T.: 17.12.2020)
[33] Küpeli, op.cit., s. 104
[34] 1982 AY. m. 125.
[35] 2577 Sayılı İYUK m. 12.
[36] 2577 Sayılı İYUK m.13/1.
[37] Durkal, op.cit., s.163.
[38] Danıştay 10.D., 30.12.2011, E:2008/950, K: 2011/6169. “Danıştay, hasta kayıtlarının tutulması muhafaza edilmemesini hizmetin kusuru...” Danıştay 10. D., 31.10.2006, E:2003/4333, K:2006/6212., “davacıya ait röntgenlerin hasta dosyası içerisinde yer almaması ve idare tarafından ibraz edilememesi hizmet kusuru…” olarak görülmüştür; Aydın Akgül, “Danıştay Kararları Işığında Kişisel Sağlık Verilerinin Korunması”, Danıştay Dergisi, S. 133, 2013, s. 35. https://www.danistay.gov.tr/upload/yayinlar/12_03_2014_104620.pdf (Son E.T.: 17.12.2020).
[39] Ramazan Çağlayan, İdare Hukuku Açısından Kişisel Verilerin İmhası ve Denetimi, in: Rıza Saka, Ramazan Çağlayan, Mahmut Koca, Avrupa Birliği Hukuku, İdare Hukuku ve Ceza Hukuku Açısından Kişisel Verilerin İmhası, 1.b., Ankara: Seçkin Yayıncılık, 2020, s. 346.
[40] Çağlayan, op.cit. s.349.; Küpeli, op.cit. s. 133.
[41] 6698 Sayılı KVKK m. 12/1.
[42] Küpeli, op.cit., s.106.
[43] 6698 Sayılı KVKK m. 12/2 vd.
[44] Küpeli, op.cit., s. 70
[45] Danıştay 10.D. 31.10.2006. E:2003/4333, K:2006/6212.; Aydın Akgül, Kişisel Verilerin Korunması Açısından İdarenin Hukuki Sorumluluğu ve Yargısal Denetimi, (Doktora Tezi), Kocaeli: Kocaeli Üniversitesi Sosyal Bilimler Enstitüsü, 2013, s. 225-228. https://afyonluoglu.org/PublicWebFiles/Reports/PDP/akademik/tr/2013-Ki%C5%9Fisel%20verilerin%20korunmas%C4%B1%20a%C3%A7%C4%B1s%C4%B1ndan%20idarenin%20hukuki%20sorumlulu%C4%9Fu%20ve%20yarg%C4%B1sal%20denetimi.pdf (Son E.T.: 17.12.2020)
[46] Özge Karaege, “Sağlık Hizmetlerinde İdarenin Kusurlu Sorumluluğu”, CBÜ İ.İ.B.F. Yönetim ve Ekonomi Dergisi, C. 8, S. 2, 2001, s. 122. https://dergipark.org.tr/tr/download/article-file/145805 (Son E.T.: 17.12.2020)