Kişisel Verilerin Korunması Hakkında Aylık Bülten – Kasım 2021
Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından Kasım ayı içerisinde belediyeler hakkında kamuoyu duyurusu yayımlanmış ve I. Uluslararası Kişisel Verileri Koruma Kongresi, Kişisel Sağlık Verilerinde Mahremiyet ve Kişisel Verilerin Kabahatler Hukukunda Korunması konularında seminerler düzenlenmiştir.
1. Belediyeler Hakkında Kamuoyu Duyurusu
5 Kasım 2021 tarihinde Kurum, belediyelere ait internet siteleri üzerinden emlak vergisi veya beyan bilgisi sorgulama sayfalarında T.C. kimlik numarası girilerek, kişilerin emlak bilgilerine ulaşılmasına dair çok sayıda şikâyet almaları sebebiyle bu konuyu 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında inceledikleri kamuoyu duyurusu yayımlamıştır.
Bu konu hakkında Kurum tarafından 25/02/2021 tarih ve 2021/140 sayılı kararda belediyeler tarafından sunulan hızlı sorgulama ya da borç ödeme uygulamalarında sadece tek bir bilgi girilerek kişilerin borç bilgisine ulaşılabilmesinin KVKK’ya aykırı olduğuna karar verilmiştir. Kişisel Veri Güvenliği Rehberi’nde de kişisel verilere uzaktan erişim için iki kademeli kimlik doğrulama kontrolü uygulanması tavsiye edilmektedir.
İlgili Karar kapsamında 09.04.2021 tarihinde Kurum tüm büyükşehir, il, ilçe ve belde belediyelerine; söz konusu uygulamaları yürüten belediyelerin bu yazı tarihinden itibaren 3 ay içerisinde bu uygulamaları sonlandırmaları ve KVKK’ya aykırı veri işleme faaliyetini sürdüren Belediyeler hakkında KVKK’nın 18.maddesi kapsamında idari işlem uygulanacağı hususları iletmiştir. 3 aylık sürenin dolmasını müteakip Kurum tarafından yapılan inceleme neticesinde bazı belediyelerin gerekli değişiklikleri yapmasına karşın birçok Belediyenin gerekli güvenlik tedbirlerini almadığı ve emlak vergisi borç sorgulama ve ödeme hizmetleri sunumunda tek faktörlü doğrulama uyguladığı tespit edilmiştir.
KVKK’ya aykırı uygulamalara devam ettiği anlaşılan belediyeler hakkında KVKK’nın 18/3 maddesi kapsamında disiplin hükümlerine göre işlem yapılması ve sonucundan Kuruma bilgi verilmesi hususunda ilgili belediyelerin talimatlandırılmasına karar verilmiştir.
2. I. Uluslararası Kişisel Verileri Koruma Kongresi
Kurum ile İstanbul Üniversitesi Hukuk Fakültesi ve Türk-Alman Üniversitesi Hukuk Fakültesi iş birliğinde, I. Uluslararası Kişisel Verileri Koruma Kongresi 12-13-14 Kasım tarihlerinde düzenlenmiştir. Kişisel verilerin korunması teması ile üç gün boyunca devam eden Kongre’de toplamda 14 oturum, Türkçe ve İngilizce olarak eş zamanlı şekilde yüz yüze ve çevrimiçi oturumlarla gerçekleştirilmiştir.
Kongre’ye Alman Federal Veri Koruma Otoritesi Başkanı Prof. Dr. Ulrich KELBER, Almanya-Schleswig Holstein Veri Koruma Otoritesi Başkanı Marit HANSEN, Bulgaristan Veri Koruma Otoritesi Başkanı/EDPB Başkan Yardımcısı Ventsislav KARADJOV ve KKTC Kişisel Verileri Koruma Kurulu Başkanı Hürol MEAR başta olmak üzere; yurt içinden ve yurt dışından akademisyenler ve uzmanlar konuşmacı olarak katılım sağlamıştır.
Kurum başkanı Faruk BİLİR, kişisel verilerin korunması anlayışının, kişinin şeref ve saygınlığının muhafaza edilmesi ve mahremiyetinin sağlanması hedefini taşıdığını belirterek, kişisel verilerin korunmasının hayatın her alanında gözetilmesi gereken bir husus olduğunu belirtmiştir. Ayrıca Kurum’un çalışmalarından bahsederek ulusal ve uluslararası alanda faaliyetlerde yer aldıklarını paylaşmıştır.
3. Kişisel Sağlık Verilerinde Mahremiyet Semineri
Kurum tarafından düzenlenen Çarşamba seminerleri kapsamında 3 Kasım 2021 tarihinde kişisel sağlık verilerinde mahremiyet konulu seminer düzenlenmiştir. Seminere Gazi Üniversitesi Tıp Fakültesi Öğretim Üyesi Prof. Dr. F. Nur BARAN AKSAKAL konuşmacı olarak katılım sağlamıştır.
Seminerde, kişisel sağlık verileri kavramının içerisinde özel hayatın gizliliği, şeref, haysiyet, aile, kişisel ilişkiler, kişisel ve mesleki itibar gibi hususların yer alabileceği sebepleri doğrultusunda diğer kişisel verilere nazaran daha sıkı önlemler alarak korunması gerektiği belirtilmiştir.
Kişisel sağlık verilerinin mahremiyeti koruyarak işlenmesi için de öneriler sunulmuştur:
• Sağlık Bakanlığı ve ilgili kuruluşlarca gerekli kayıt ve bildirim sistemi kurulabilir.
• Söz konusu sistem e-devlet uygulanmasına entegre ortamda da oluşturulabilir.
• Ülke çapında bu amaç doğrultusunda bilişim sistemleri kurulabilir.
• Hiç kimse olağanüstü durumlar haricinde geçmiş verilerinin dökümünü sunmaya ve göstermeye zorlanmamalıdır.
4. Kişisel Verilerin Kabahatler Hukukunda Korunması Semineri
Kurum tarafından düzenlenen Çarşamba seminerleri kapsamında 17 Kasım 2021 tarihinde kişisel verilerin kabahatler hukukunda korunması konulu seminer düzenlenmiştir. Seminere Bursa Uludağ Üniversitesi Hukuk Fakültesi Öğretim Üyesi Prof. Dr. Zeynel T. KANGAL konuşmacı olarak katılım sağlamıştır.
Seminerde, KVKK’da; aydınlatma yükümünün yerine getirilmemesi, veri güvenliğine ilişkin hükümlerin yerine getirilmemesi, Kurum tarafından getirilen hükümlerin yerine getirilmemesi, VERBİS kayıt ve bildirim hükümlerinin yerine getirilmemesi olmak üzere 4 tane kabahat düzenlendiği belirtilmiştir.
Kurum tarafından gerçekleştirilen soruşturmalara ilişkin KVKK ve Kabahatler Kanunu’nda ayrıntılı bir düzenleme olmadığı belirtilerek tartışmalı hususlara ilişkin yorum sunulmuştur:
• Soruşturmada sözlü savunma istenilmesi: Kurum gerekli görürse sözlü savunma talep edebilir ama maddi gerçek yeterli olduğundan sözlü savunmaya gerek olmamaktadır.
• İdari para cezalarında gerekçenin kapsamı: Kabahatler Kanunu m.25 esas alınabilir. Yine de Kurum tarafından ayrıntılı bir gerekçe yazılması maddi gerçeği ortaya çıkarmak açısından daha uygun olmaktadır. Ayrıca Kurum mutlaka delil göstermelidir.
• İhlalin devam etmesi durumunda yeniden para cezası verilmesi: Kabahatlerin çoğu mütemadi nitelikte olup kanundan doğan yükümlülük belli bir süre boyunca yerine getirilmediğinde, Kurum Kabahatler Kanunu m.15/2 doğrultusunda hareket ederek mütemadi kabahat devam ettikçe her seferinde ayrı idari para cezası kesebilir. Bu durum veri sorumlusunun yükümlülüklerini yerine getirmesiyle son bulacaktır.
İdari para cezalarına karşı yargı yolu konusunda da Kabahatler Kanunu’nca belirlendiği üzere, özel kanunlarda bir hüküm yoksa kanun yolu Sulh Ceza Hakimliği’dir. KVKK’da idari yargı görevli kılınmadığı için Kurum tarafından verilen idari para cezalarına karşı Sulh Ceza Hakimliği’ne itiraz yoluna gidilebilecektir.
5. Sonuç
Yukarıda incelediğimiz kamuoyu duyurusu ve seminerler doğrultusunda:
• Belediyelerin sistemlerinde sadece T.C. kimlik numarası bilgisi girilerek kişisel verilere erişilmemesi gerekmekte olup iki kademeli kimlik doğrulama kontrolü uygulanmalıdır.
• Kişisel sağlık verilerin diğer kişisel verilere nazaran daha sıkı önlemler alarak korunması gerekmektedir.
• Kurum tarafından uygulanan idari para cezalarına karşı Sulh Ceza Hakimliği’ne itiraz yoluna gidilebilmektedir.