“Kişisel Verilerin Korunması Kanunu”nun 16. maddesinin 2. fıkrası ile kısaca “VERBİS” olarak adlandırılan Veri Sorumluları Sicili’ne kayıt yaptırma yükümlülüğü düzenlenmişti. Aynı madde ile veri sorumluları siciline kayıt olma yükümlülüğüne istisnalar getirilebileceği ve hem sicilin kurulması ve işleyişi hem de istisnaların neler olacağının çıkarılacak bir yönetmelikle düzenleneceği belirtilmişti. Bu amaçla çıkarılan Veri Sorumluları Sicili Hakkında Yönetmelik’in 15. maddesinde istisna uygulanacak haller, 16. maddesinde ise istisna kriterleri düzenlenmişti. Yönetmeliğin 16. maddesinin 2. fıkrasında; Kurulun, birinci fıkrada sayılan kriterler çerçevesinde belirlenen istisnaların kapsamı ile uygulama usul ve esaslarını belirlemek amacıyla karar alma yetkisini haiz olduğu ve Kurul kararlarını uygun yöntemlerle yayımlayarak kamuya duyuracağı ifade edilmişti. Kişisel verilerin korunmasına ilişkin planlama yapmak durumunda olan tüm sektörlerde ve bu konuyla ilgilenen tüm kesimlerde uzun zamandır istisnaların yayınlanmasına ilişkin bir beklenti bulunmaktaydı. Kurul’un buna ilişkin olarak 2.4.2018 tarihli ve 2018/32 sayılı kararı, 15 Mayıs 2018 tarihli ve 30422 sayılı Resmi Gazete’de yayımlandı. Bu makalemde söz konusu karara ilişkin öne çıkan hususları inceleyeceğim.
Karara Ek Liste, 1. Madde
Buna göre; “herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler” VERBİS’e kayıt yükümlülüğünden istisna tutulmuşlardır. Bu maddenin anlamı, 6698 sayılı KVKK’nın 3. maddesinin 1. fıkrasının (e) bendinde yer alan “kişisel verilerin işlenmesi” kavramının tanımına bakılarak çıkarılabilir. Bu tanıma göre: “Kişisel verilerinin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla … veriler üzerinde gerçekleştirilen her türlü işlem” veri işleme anlamına gelir. Aynı hüküm Veri Sorumluları Sicili Hakkında Yönetmelik’in 4. maddesinin 1. fıkrasının (i) bendinde de yer almaktadır.
Söz konusu istisna hali ile Kanun ve ilgili Yönetmelikte yer alan kişisel verilerin işlenmesi tanımı birlikte ele alındığında “kişisel verileri tamamen veya kısmen otomatik olan yollarla” işleyen tüm veri sorumlularının VERBİS’e kayıt yaptırmak durumunda oldukları sonucu çıkmaktadır. Bunlar hiçbir şekilde VERBİS’e kayıt yaptırma yükümlülüğünden kaçınamazlar; dolayısıyla bunların Yönetmelik uyarınca Kişisel Veri Envanteri oluşturma yükümlülükleri de bulunmaktadır.
Herhangi bir veri kayıt sisteminin parçası olmadan veri işlenmesi halinde ise VERBİS’e kayıt yükümlülüğü zaten en baştan beri ne Yasa ne de Yönetmelik gereği bulunmamaktadır. Zira bu düzenlemeler uyarınca veri işlemenin söz konusu olabilmesi için otomatik olmayan yollarla işlem yapılsa dahi bunun bir veri kayıt sistemin parçası olarak yapılması gerekir. Veri kayıt sistemine bağlı bir veri işleme söz konusu değilse, 6698 sayılı Yasa kapsamında bir kişisel veri işleme faaliyeti de söz konusu değildir ve dolayısıyla Yasanın getirdiği yükümlülüklerden bahsedilmesi de mümkün değildir.
O halde, bu istisna kimler için getirilmiştir? İstisna, belli bir veri kayıt sisteminin parçası olmakla birlikte “yalnızca” otomatik olmayan yollarla veri işleyenler için getirilmiştir. Bunların VERBİS’e kayıt yükümlülüğü bulunmamaktadır. Açıkçası bu ifadeden neyin kastedildiğinin tam olarak anlaşılması mümkün değildir. Bana göre bunun gerçekten bir istisna olup olmadığı dahi tartışmalıdır. Çünkü günümüzün gelişen ve ucuzlayan bilgi işlem teknolojisi çözümlerinde, neredeyse köşe başındaki büfe veya mahalledeki kasap dahi veresiye defterini ya da müşterilerinin iletişim bilgilerini bilgisayarda bir “excel” tablosunda tutmaktadır. Bu ise hem bir veri kayıt sisteminin söz konusu olduğunu hem de bunun otomatik (hem de dijital) olarak işlendiğini gösterir. Küçük işletmenin bilgisayar kullanmayıp, kartoteks ya da baş harflere göre sıralanmış bir fihristte dahi müşteri listesi tutması, bir çeşit sistemin ve otomatikleşmenin bulunduğunu gösterir. Dolayısıyla bu istisnaya gerçek anlamda girecek bir veri sorumlusunun bulunması oldukça güçtür. Olsa olsa sanayi sitelerindeki küçük esnaf tamirciler bu tür sistemleri kullanmayabilirler.
Gerçekten bu alanda faaliyet gösteren kişiler ve veri sorumluları arasındaki genel kanı ve beklenti ya çalışan sayısı ya da yıllık ciroya göre bir sınırlama yapılması, belli bir çalışan sayısı ve/veya yıllık cironun altındaki veri sorumlularının istisna kapsamında tutulmasıydı. Ancak bugün yayınlanan karara göre Kurul’un “en azından şimdilik” böyle bir yaklaşımının olmadığı görülmektedir. Madde 1’de bulunan istisna hali çok dar bir alanda sınırlama getirmiş ve sınırlı sayıdaki veri sorumlusunu istisna kapsamına almıştır.
Bu Karar, en önemli etkisini şüphesiz KOBİ’ler üzerinde gösterecektir. Ülkemizde reel sektörün büyük bir kısmı KOBİ’lerden oluşmaktadır. Bu tarafta kendilerinin istisna kapsamında tutulacakları veya tutulmaları gerektiği yönünde beklentiler bulunmaktaydı. Ancak görülmektedir ki bu ölçekteki veri sorumluları da VERBİS’e kayıt yaptırmak ve en önemlisi Kişisel Veri Envanteri oluşturmak zorundadırlar. Bu ise hem zaman hem emek hem de para açısından belli bir maliyet anlamına gelmektedir. Özellikle yeterli kaynağı olmayan ya da bu konuda dışarıdan danışmanlık almak konusunda isteksiz davranan ya da buna ayıracak kaynağı bulunmayan KOBİ’ler açısından bu süreç sıkıntılı olacaktır. Belli bir ölçeğin üstündeki veri sorumlularının uyum sürecini ya bitirmiş ya devam etmekte ya da bu sürece başlamak için teklif alma aşamasında olduklarını gözlemlemekteyim, ancak KOBİ’lerde istisna kapsamında sayılacakları beklentisi dolayısıyla haklı olarak bir çekimserlik bulunmaktadır. İşte bu karar, söz konusu çekimserliğin ortadan kalkması için önemli bir uyarı işlevi görmektedir.
Bu durumun iki önemli etkisi olacağını düşünüyorum:
- İlk olarak bu durum teknik açıdan VERBİS sistemini zorlayacaktır. Zira istisnanın kapsamının oldukça dar tutulması nedeniyle çok sayıda veri sorumlusu sisteme kayıt yaptırmak yükümlülüğündedir. Dolayısıyla bunun için hem yeterli teknik alt yapının sağlanması, hem de sayısal çoğunluk düşünüldüğünde kayıt olmak için öngörülecek olan sürenin yeterli olarak belirlenmesi gerekir. Aksi takdirde sistemin sık sık çökmesi ve çalışmaz hale gelmesi kaçınılmaz olacaktır. Ancak Kurul’un da bu hususları düşündüğünü ve buna göre gerekli önlemleri alacağını düşünmekteyim. Bunun için önerilebilecek çözüm yöntemleri olarak ilk akla gelenler ise Rekabet Hukuku’nda olduğu gibi zaman içinde grup muafiyeti tebliğlerinin düzenlenmesi ya da İş Sağlığı ve Güvenliği alanında olduğu gibi belirli ölçeklere erteleye erteleye iş yükününün dengelenmesi ve azaltılmasıdır.
- İkinci sonuç ise, KOBİ’lerin KVKK’ya uyum sürecini nasıl gerçekleştireceğine ilişkin çözümler noktasındadır. Şu an için veri sorumluların KVKK’ya uyumu için önerilen danışmanlık ücretleri de, yazılımlar da oldukça yüksektir. Zira bu, nitelikli bir iş olduğu için, hem danışmanlığın hem de buna ilişkin üretilen yazılımların adam/gün maliyeti oldukça yüksek düzeyde kalmaktadır. Ancak ben, danışmanlık ve BT sektörünün kısa zamanda buna bir çözüm bulacağını, bu iki hizmeti birleştiren ve işin mümkün olan kısımlarını otomasyona bırakan, özellikli kısımlarında danışmanlık hizmeti gerektiren, adam/gün sayısını azaltarak maliyetleri düşüren ve böylelikle KOBİ’lere de hitap eden ve onlar tarafından erişilebilir olan çözümler üreteceğini düşünüyorum. Böylelikle küçük ölçekli veri sorumluları için, düşük bir bütçeyle Yasanın getirdiği sorumlulukların yerine getirilmesi ve Yasa kapsamındaki tüm süjelerin uçtan uça sürece uyumlu olduğu bir ekosistemin oluşturulması mümkün olacaktır.
Bu ekosistem olmaksızın KVKK’nın ve öngördüğü kişisel veri koruma sisteminin işlemesi mümkün değildir. Nitekim bu sürecin Avrupa’daki işleyişi de benzer şekilde gerçekleşmiştir. Öte yandan veri sorumlusunun VERBİS’e kayıt yükümlülüğü için istisna kapsamına alınması, hiçbir şekilde Yasanın ve Yönetmeliklerin getirdiği diğer yükümlülüklerden (örneğin aydınlatma yükümlülüğü ya da veri güvenliğinin sağlanması gibi) de muaf tutulduğu anlamına gelmemektedir. Diğer yükümlülükler için ayrıca bir istisna düzenlenmemişse, bunlar aynen geçerlidir.
Karara Ek Liste, 2., 4., 5. ve 6. Madde
Bu maddelerde noterler, siyasi partiler, avukatlar, serbest muhasebeci mali müşavirler ve yeminli mali müşavirler istisna kapsamına alınmışlardır.
- Noterler:
18.1.1972 tarihli ve 1512 sayılı Noterlik Kanuna’na uygun olarak faaliyet gösteren noterler çok sayıda kişisel veriyi tutmakta ve işlemektedir. Noterler bu faaliyetlerini hem kendi yasalarında hem de çeşitli yasalarda yer alan hükümlere dayanarak (örneğin TTK, MK, BK vb.) yürütmekte ve söz konusu verileri de bu kapsamda kaydetmekte ve işlemektedir. Ayrıca Adalet Bakanlığı’na bağlı olarak Noterler Birliği çatısı altında faaliyet gösteren noterler, son derece hassas ve güvene tesisine dayaklı bir iş yürüttükleri için veri güvenliğine önem vermektedirler. Bunun yanı sıra Adalet Bakanlığı tarafından düzenli bir şekilde denetlenmektedirler. Diğer yükümlülükler açısından istisna kapsamına alınmayan noterlerin bu açıdan istisna kapsamına alınmış olmaları bana göre uygun bir yöntem olmuştur.
- Siyasi Partiler:
22.4.1983 tarihli ve 2820 sayılı Siyasi Partiler Kanuna göre kurulmuş olup faaliyet gösteren ve demokrasinin vazgeçilmez unsurları olan siyasi partiler; parti üyeleri, seçmen listelerine ilişkin çok sayıda kişisel ve özel nitelikteki kişisel veriyi bünyelerinde barındırmaktadır. Bunları gelişi güzel işleyen, aktaran ve silmeyen siyasi partilerin neden istisna kapsamına alındığını anlayabilmek ve açıklayabilmek zordur. Bunun ardında pratik gerekçelerden çok politik gerekçeler olsa gerekir. Politikacı olmadığım için bu konuda görüş belirtmemeyi tercih ediyorum.
- Avukatlar:
19.3.1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar da VERBİS’e kayıt yaptırma yükümlülüğünün istisnaları arasında sayılmıştır. Avukatlık mesleğini icra edenler; ister bir ceza hukuku uyuşmazlığı, ister özel hukuk, ister idare hukuku uyuşmazlığı olsun çok sayıda kişisel veriyi ofislerindeki dosyalarında ve bilgisayarlarında saklamakta ve işlemektedirler. Bilhassa boşanma, çocuk istismarı, cinsel saldırı ya da müstehcenlik ile ilgili uyuşmazlıklarda bulunan verilerin niteliği genellikle özel nitelikte kişisel veri olmaktadır. Ülkemizde son yıllarda çok sayıda hukuk fakültesinin açılması, bunların bir süzgeç işlevi görmeksizin her kayıt yaptıranı mezun etmesi, baroların bu konuda hiç inisiyatif almayıp her hukuk fakültesinden mezun olanın başvurusunu kabul edip avukatlık ruhsatı vermesi, meslek içinde de hiçbir zaman bir yetkinlik ve yeterlilik denetimi yapılmaması nedeniyle son on yılda ülkemizde ama özellikle de İstanbul’da avukat sayısında bir patlama gerçekleşmiştir. Bu meslek grubu istisna tutularak önemli sayıdaki veri sorumlusunun sisteme giriş yapmasının önüne geçilmiştir. Zaten 6698 sayılı KVKK’nın 5/2-e maddesinde açık rıza alınmasının istisnalarından birisi olarak “bir hakkın tesisi, kullanılması veya korunması için veri işleminin zorunlu olması” gösterilmiştir. Dolayısıyla avukatlar veri işlemek için açık rıza almak zorunda olmadıkları gibi söz konusu kararla VERBİS’e kayıt yaptırma zorunlulukları da ortadan kaldırılmıştır. Ancak bu durum avukatlara tanınmış bir ayrıcalık değil, yaptıkları mesleğin bir gereğidir. Yasa ve Yönetmeliklerle getirilen diğer yükümlülükler ise diğer veri sorumluları açısından olduğu gibi avukatlar açısından da geçerlidir.
- Serbest Muhasebeci Mali Müşavir ve Yeminli Mali Müşavirler:
1.6.1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren mali müşavirler ve yeminli mali müşavirler de VERBİS’e kayıt yaptırma yükümlülüğünün istisnaları arasında sayılmıştır. Bu serbest meslek mensupları da vergi mükellefi gerçek ve tüzel kişilerin, bu yükümlülüklerini yerine getirmelerinde, devlete olan vergi borçları ya da sigorta primleri gibi ödemelerini yapmalarında teknik destek vermektedir. Bu desteğin/hizmetin verilebilmesi için söz konusu meslek grubu çeşitli yasalardan kaynaklanan nedenle çok sayıda kişisel verileri tutmaktadırlar. Yine avukatlarda olduğu gibi, bu meslek grubu açısından da sayısal bir çokluk bulunmaktadır. Böylelikle çok sayıda meslek mensubunun VERBİS’e kayıt yapma zorunluluğu ortadan kaldırılmıştır. Bu meslek grubu açısından, 6698 sayılı Yasa’dan kaynaklanan diğer yükümlülükler ise devam etmektedir.
Karara Ek Liste, 3. Madde
Bu maddenin dikkatli okunması gerektiren hükümlere yer verdiğini düşünüyorum. Buna göre “4.11.2004 tarihli ve 5253 sayılı Dernekler Kanunu’na göre kurulmuş derneklerden, 20.2.2008 tarihli ve 5737 sayılı Vakıflar Kanuna göre kurulmuş vakıflardan ve 18.10.2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanunu’na göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun faaliyet alanları ile sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler”, VERBİS’e kayıt yaptırma yükümlülüğünden istisna tutulmuşlardır.
Buna göre, dernek, vakıf ya da sendikaların bu yükümlülüğü yerine getirmek zorunda olmamak üzere istisna kapsamında olabilmesi için üç şartın bir arada bulunması gerekir. Bunlardan ilki; işledikleri kişisel verinin bu tüzel kişilerin ilgili mevzuatı ile sınırlı, ikincisi; amaçlarına uygun faaliyet alanları ile sınırlı ve üçüncüsü; sadece kendi çalışanlarına, mensuplarına ve bağışçılarına yönelik kişisel verilerin işlenmesidir. Bu şartlardan biri dahi gerçekleşmese ilgili tüzel kişinin VERBİS’e kayıt yaptırması gerekir.
Burada sorulması gereken soru şudur: Bu tüzel kişilerden herhangi birisinin ola ki, bu sınırlamalar dışında bir kişisel veri işlemesi halinde (örneğin tedarikçilerinden birinin gerçek kişi olması ya da tüzel kişi olsa dahi temsilcisinin kayıtlarının tutulması halinde) VERBİS’e kayıt yükümlülüğü ve dolayısıyla kişisel veri envanteri oluşturma zorunluluğu ortaya çıkacaktır. Bu durumda kişisel veri envanteri tüm kişisel veriler için mi yoksa istisna dışında kalan veriler için mi oluşturulacaktır? Bu soruya verilecek yanıt, hangi verilerin VERBİS’e kaydedileceği sorununun da yanıtını oluşturacaktır. Ayrıca böyle bir olasılığın gerçekleşmesi halinde yalnızca birkaç veri ya da çok az sayıdaki kişisel veri için envanter çıkarılması ve uyum süreci yürütülmesi ne kadar işlevsel olacaktır?
SONUÇ
KVK Kurulu’nun bu kararı, konunun ilgilileri tarafından VERBİS’e kayıt olmak zorunda olup olmadıklarından emin olmak adına uzun süredir beklenmekle birlikte, kararın yanıttan çok yeni sorulara neden olduğunu düşünmekteyim. Öncelikle ifade etmeliyim ki; beklenenin aksine istisnaların kapsamı son derece dar tutulmuştur. Bunun zaman içinde genişletilmemesi halinde kişisel verilerin korunmasına ilişkin ekosistemin hızlı bir biçimde oluşması adına olumlu bir karar olduğunu düşünüyorum. Ancak bunun yanında uygulamada kısa vadede sorunlara ve çeşitli pratik problemlere yol açabileceğini de öngörüyorum.
Burada esas özellikle istisna dışında tutulmamış olan KOBİ’lerin durumu önem göstermekte. Danışmanlık ve BT sektörlerinin, aten bir sürü mali külfet altında olan ve ekonominin de bel kemiğini oluşturan bu yapılar için daha çok otomasyona dayalı, böylelikle adam/gün sayısını ve maliyeti azaltan çözümler üretmesinin şart olduğunu düşünüyorum.
Dernek, vakıf ve sendikalar için getirilen istisnanın ise çok sayıda soru işaretini beraberinde getirdiğini ve çok işlevsel olmadığını düşünüyorum.
Umarım, Kurul’un vereceği yeni kararlar ve uygulama örnekleri bu endişelerimi boşa çıkarır ve hepimizin rahatlıkla uyum sağladığı ve uyguladığı bir sistem oluşur. Böylelikle kişisel verilerin korunduğu, ilke ve kuralların rahatlıkla uygulandığı bir ekosistem oluşur.
(Bu köşe yazısı, sayın Doç. Dr. Murat Volkan DÜLGER tarafından www.hukukihaber.net sitesinde yayınlanması için kaleme alınmıştır. Kaynak gösterilse dahi köşe yazısının tamamı özel izin alınmadan kullanılamaz. Ancak alıntılanan köşe yazısının bir bölümü, aktif link verilerek kullanılabilir. Yazarı ve kaynağı gösterilmeden kısmen ya da tamamen yayınlanması şahsi haklara ve fikri haklara aykırılık teşkil eder.)