Ecz. Serhat Salim Aktaş
Kişisel Veriler Konusunda Neler Oluyor, Ne Olmalı?
3 Ekim 2019 tarihinde KVKK-VERBİS ile ilgili yazımın ardından, pek çok katkı sunuldu, eğitimler yapıldı, fikirler öne sürüldü.
Eksik kalan hususlar var ve soru-yanıtlarla açıklamaya çalışayım. Hap gibi ve basit ,kanun ve sayılara boğmadan.
-Kişisel veri nedir?
-Kanunda “bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgidir” denmektedir. Bu bağlamda kişilerin kimlik, iletişim, sağlık ve mali bilgileri ile özel hayatına dini inancına ve siyasi görüşüne ilişkin bilgiler kişisel veri olarak nitelendirilmektedir. Gerek kamu gerekse özel sektör tarafından işlenmektedir.
Kişisel verinin tanımı oldukça basit görünse de kapsamı oldukça geniştir. “İletişim bilgileri, hobiler, tutulan takım, e posta adresi, mektuplar, iş başvuru formları, performans değerlendirme raporları, özgeçmişler, kredi kartı ekstreleri, parmak izi, sağlık bilgileri, grup üyelikleri vs.”
-6698 sayılı kanun yürürlüğe girmeden kişisel veriler korunuyor muydu?
-Evet korunuyordu ancak AB uyum süreci gereği özel bir kanun kabul edildi.12 Eylül 2010 tarihinde halkoylaması ile kabul edilen Anayasa değişikliği ile Anayasanın 20. Maddesinde temel bir insan hakkı olarak tanımlanmıştır.5237 sayılı Türk Ceza Kanunun 135 ve devamı maddelerinde de kişisel verilerin hukuka aykırı olarak elde edilmesi, kaydedilmesi ve ifşa edilmesi filleri SUÇ olarak düzenlenmiş ve yaptırıma bağlanmıştır.
-Kişisel Verilerin Korunması Kanununda istisnalar var mıdır?
-İki çeşit istisna mevcuttur.
Tam istisna halleri: Resmi istatistik, anonim hale getirmek, milli savunmayı ve milli güvenliği ilgilendiren konular, Yargılama, soruşturma ve infaz işlemleri ile ilgili işlemler.
Kısmi istisna halleri: Kişinin kendisi tarafından alenileştirilmiş verilerin, bütçe, vergi ve mali konularla ilişkin verilerin, denetleme düzenleme görevleri ile ilgili verilerin, suçun önlenmesi ile ilgili verilerin işlenmesi ile ilgili hususlarda kurum kısmi istisna uygulayabiliyor.
Yani istisna halleri çok çok az ve genellikle devlet kurumları ile ilgili.
-Hangi işyerleri kanun kapsamında?
-Teknik olarak “işyeri” değil “veri sorumlusu” kavramını kullanmak gerekir. Sahada kafa karışıklığı sonucu 50 ve üstünde çalışanı olan, ya da yıllık bilançosu 25 Milyon TL’den çok olan işyerleri kanun kapsamında diye düşünülüyor. Oysa kanun yürürlükte ve hepimiz kanunun emredici hükümlerine tabiiyiz.
Yukarıdaki sınırlama VERBİS kaydı ile ilgili. Kurum VERBİS diye bir sicil oluşturuyor ve bu sicile kayıt için “Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 Milyon TL’den az olan gerçek ve tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların “VERBİS siciline kayıt yükümlülüğünden istisna tutmuştur.
Özetle; Türkiye’de bulunan ve kişisel veri işleyen HERKES ve HER KURULUŞ kanun kapsamındadır. Sadece 1 kişi çalıştıran işyeri de, özel sektörde, kamu sektörü de kanunun emredici hükümlerinden etkilenmektedir.
-Özel nitelikli kişisel veri ne demek?
-VERBİS’e kayıtta belli bir çalışan sayısı ve ciro kriterinden başka bir de “ÖZEL NİTELİKLİ KİŞİSEL VERİ” kriteri yer almaktadır. Bu nedenle eczaneler ve sağlık kuruluşları, ciro ve çalıştırılan kişi sayısına ulaşmasa da, bu nedenle VERBİS e kayıt olmak zorunda.
Bazı özel kişisel verileri sayarsak: Irk, etnik köken, siyasi düşünce, din, mezhep ve diğer inançlar, kılık kıyafet, dernek-vakıf üyeliği, sağlık, cinsel hayat…
-VERBİS e kayıt zorunluluğu iptal edilir mi, Kanun yürürlükten kalkar mı? Eczacılar istisna olur mu?
-Ülkemizde bunlar olur ya da olmaz diyemem. Bu konuda kendimi yetkili görmem. Ancak, AB müktesebatı sürdürülecek ise, insan hakları hukuku gereği, kanun yürürlükte kalır diye düşünüyorum.
Bence; Eczacı odaları, TEB Merkez Heyet, SGK ve hatta TITCK özel nitelikli sağlık kişisel verilerin güvenliğine yönelik sistemli, kuralları net, yönetilebilir ve sürdürülülebilir prosedürü belirlemesi gerekiyor. Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik, yasal konular ile ilgili veri güvenliği ile ilgili eğitimler verilmeli. Gizlilik sözleşmeleri yapılmalı. Verilere erişim yetkisine sahip kullanıcıların yetki kapsamları süreleri net olarak belirlenmeli. Görev değişikliği olan personelin, ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması da önemsenmeli. Bu verilerin işlendiği MEDULA sistemi ve Eczane Otomasyon Sistemleri de prosedüre ortak edilmeli diye düşünüyorum.
Saygılarımla…