MEHMET BALiOGLU

Kişisel Verileri Korunması Kanunu’nun Gereklerini Yerine Getirecek Kurumsal Altyapının Oluşturulmaması

Rapor Özet

Ana Konu ve Temel Bulgular

  • Kurum, 6698 sayılı Kişisel Verilerin Korunması Kanunu’na uyum sağlamak için çalışmalar yürütmektedir.
  • Altyapısal yetersizlikler nedeniyle uyum çalışmaları tam olarak tamamlanamamıştır.
  • Kişisel verilere erişim yetkileri belirlenmemiş, veri işleyenleri atanmamıştır.
  • Kişisel veri envanteri oluşturulmamış, veri işleme süreçleri tanımlanmamıştır.
  • Kişisel verilerin silinmesi, yok edilmesi veya anonimleştirilmesi işlemleri yapılmamaktadır.
  • Kişisel verilere erişim kayıtları yetersizdir ve korunmaları için yeterli önlem alınmamıştır.
  • Kişisel veri işleyen yüklenicilerle imzalanan sözleşmeler, kanun gerekliliklerini karşılamamaktadır.

Yasal ve Düzenleyici Çerçeve

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu
  • Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
  • Veri Sorumluları Sicili Hakkında Yönetmelik

Önerilen Ana Eylem Noktaları

  • Veri sorumlusu olarak görevlendirilen Genel Sekreter Yardımcısı’na ek olarak veri işleyenleri de görevlendirilmelidir.
  • Kurum bilişim sistemlerinde yer alan kişisel verilere erişim sağlayan personel belirlenmeli ve yetkilendirilmelidir.
  • Kişisel veri envanteri oluşturulmalı ve veri işleme süreçleri tanımlanmalıdır.
  • Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemleri için süreçler ve kurallar belirlenmelidir.
  • Kişisel verilere erişim kayıtları (loglar) tanımlanmalı ve bu kayıtlara erişimin izlenmesi için önlemler alınmalıdır.
  • Kişisel verileri işleyen yüklenicilerle imzalanan sözleşmeler, Kişisel Verilerin Korunması Kanunu’nun gereklerini yerine getirecek şekilde tadil edilmelidir.

Rapor Metni

Kurum’un, 6698 sayılı Kişisel Verilerin Korunması Kanunu’na uyum göstermek için kapsamlı bir çalışma yürüttüğü, ancak altyapı niteliğinde olan beş hususta yetersizlikler olduğu tespit edilmiştir.

  1. Kişisel Verilere Kimlerin Erişim Sağlamaya Yetkili Olduğunun Belirlenmemesi

    6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde kişisel verilere erişim ve işleme yetkisini haiz olacak “Veri İşleyenlerin” henüz belirlenmediği ve ilgili iş süreçlerinin tanımlanmadığı görülmüştür.

    Kişisel Verilerin Korunması Kanunu’nun “Tanımlar” başlıklı 3’üncü maddesinde kişisel verilerle ilgili sorumlu kişiler şu şekilde tanımlanmıştır:

    “Bu Kanunun uygulanmasında (…)

    ğ) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi (…)

    ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

    ifade eder”

    Yürütülen çalışmalar kapsamında; Kurum’da Genel Sekreter Yardımcısı’nın veri sorumlusu olarak görevlendirildiği, ancak, veri işleyenlerin henüz görevlendirilmediği görülmüştür. Kanun’a uyum çalışmanın ilk aşaması olması gereken, Kuruma ait bilişim sistemlerinde yer alan kişisel verilere halihazırda hangi personelin erişim sağladığı da henüz tespit edilmemiştir.

    İlgili mevzuata uyumun sağlanabilmesi amacıyla;

    • Kurum’da kişisel veri işlemekle ilgili yetkilendirme, yetkiyi kaldırma ve yetki kullanımını izleme süreçlerinin belirlenmesi,

    • Kişisel verilere halihazırda erişim sağlayan personelin belirlenmesi,

    • Bu personelin Veri İşleyen olarak görevlendirilmesi veya kişisel verilere erişim yetkilerinin kaldırılması,

      gerekmektedir.

  2. Kişisel Veri Envanterinin ve İlgili İş Süreçlerinin Oluşturulmaması

    2016 yılında kabul edilen Kişisel Verilerin Korunması Kanunu’na uyum için öngörülen iki yıllık süre dolmasına rağmen, kişisel veri envanterinin oluşturulmadığı; Kurum bünyesinde tutulması gereken kişisel verilerin ve bu verilerin işlenmesine ilişkin kurumsal süreçlerin henüz belirlenmediği görülmüştür.

    6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 4’üncü maddenin 1’inci bendi “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünü getirmiştir. Kanun’un 5’inci maddesi kişisel verilerin işlenme şartlarını, 6’ncı maddesi özel nitelikli kişisel verilerin işlenme şartlarını, 7’nci maddesi kişisel verilerin aktarılmasını, 9’uncu maddesi de kişisel verilerin yurt dışına aktarılmasını düzenlemektedir. Bu maddelerde yer alan hükümlerin tatbik edilebilmesi, kişisel verilerin envanterinin çıkarılmasına bağlıdır. Kurumlar, öncelikle ellerinde hangi kişisel veriler olduğunu belirlemeli, bunun ardından bu verilerin işlenme, aktarım, muhafaza ve silinmesine ilişkin süreçleri yürütmelidir.

    Söz konusu kanuna dayalı olarak çıkarılan ve 01/01/2018 tarihinde yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmelik’in “Tanımlar” başlıklı 4’üncü maddesinin (h) bendinde “kişisel veri işleme envanteri” şu şekilde tanımlanmaktadır:

    “Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,”

    İlgili Yönetmelik’in “İlke, usul ve esaslar” başlıklı 5’inci maddesinin (ç) bendinde şu hükme yer verilmiştir:

    “Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır.”

    Söz konusu envanter hazırlama yükümlülüğü, veri sorumlularının sicile kayıt olmalarından önce, 6698 sayılı Kanun’da öngörülen iki yıllık süre içinde tamamlanması gereken bir yükümlülüktür.

    Ancak yapılan incelemelerde kişisel veri envanterinin oluşturulmadığı, bu çerçevede aşağıda belirtilen hususların yerine getirilmediği tespit edilmiştir:

    • Kurum bilişim sistemlerinde halihazırda tutulan kişisel verilerin neler olduğu, bu verilerin ne zaman ve kimlerden toplandığı, ne şekilde kullanıldığı ve depolandığı belirlenmemiştir,

    • Kurumda tutulması gereken kişisel verilerin neler olduğu ve halihazırda tutulan verilerden silinmesi gerekenler olup olmadığı belirlenmemiştir,

    • Kişisel verileri işleme amaçları ve hukuki sebepleri tanımlanmamıştır,

    • Kişisel verilerin muhafaza süreleri belirlenmemiştir,

    • Kişisel verilerin güvenliğine ilişkin alınması gereken önlemler belirlenmemiştir,

    • Kişisel verilerin Kurum dışına ve yurt dışına aktarılması koşulları tanımlanmamıştır,

    • Kişilerin rızasının alınma ve bilgilendirme yöntemleri tanımlanmamıştır,

    • Yukarıdaki hususlara ilişkin kurumsal süreçler belirlenmemiştir.

    • Kurum bünyesinde kişisel verileri ve ilgili süreçleri yönetecek altyapı kurulmamıştır; kişisel veri envanterini muhafaza edecek ve ilgili kurumsal süreçleri yönetecek yazılımlar bulunmamaktadır.

    İlgili mevzuata uyumun sağlanabilmesi amacıyla, kişisel veri envanterinin ve ilgili süreçlerin ivedilikle oluşturulması ve bu hususlara ilişkin gerekli iç düzenlemelerin yapılması gerekmektedir.

  3. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi İşlemlerinin Yapılmaması

    Kurumda, kişisel verilerin veri sorumlusu tarafından silinmesi, yok edilmesi veya anonim hale getirilmesi işlemlerinin yapılmadığı görülmüştür.

    Kişisel Verilerin Korunması Kanunu’nun “Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi” başlıklı 7’nci maddesinde şu hükümlere yer verilmiştir:

    “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.

    1. Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.

    2. Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.”

    Söz konusu Kanun hükmü çerçevesinde çıkarılan ve 01/01/2018 tarihinde yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 1’inci maddesine göre;

    “Bu Yönetmeliğin amacı, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektir.”

    Yönetmeliğin “Kişisel veri saklama ve imha politikasına ilişkin esaslar” başlıklı 5’inci maddesi ile Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlü tutulmuşlardır. Yönetmeliğin 6’ncı maddesinde bu politikanın içeriğinde yer alması gereken asgari hususlar tespit edilmiştir.

    Yönetmeliğin diğer hükümlerinde kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi işlemleri tanımlanmış ve bu işlemler için zorunlu süreler belirlenmiştir.

    Kurumda, kişisel verilerin işlenmesine ilişkin şartlar ortadan kalkmasına rağmen kişisel verilerin veri sorumlusu tarafından silinmesi, yok edilmesi veya anonim hale getirilmesi işlemlerinin yapılmadığı görülmüştür.

    Kurumda kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin süreç ve kuralların ivedilikle belirlenmesi ve uygulamaya geçilmesi gerekmektedir.

    ç. Kişisel Verilere İlişkin Olarak Tutulan Erişim Kayıtlarının ve Bu Kayıtların Korunması İçin Alınan Önlemlerin Yetersiz Olması

    Kurumda, bilişim ortamında kişisel verilere erişime ilişkin olarak tutulması gereken kayıtların (logların) tanımlanmadığı ve tutulan kayıtlara erişimin izlenmesi için yeterli önlem alınmamış olduğu görülmüştür.

    Kişisel Verilerin Korunması Kanunu’nun “Veri güvenliğine ilişkin yükümlülükler”

    başlıklı 12’nci maddesinde şu hükümler yer almaktadır:

    “(1) Veri sorumlusu;

    1. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

    2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

    3. Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır (…)

    1. Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.”

      Söz konusu kanun maddesi, veri sorumlusuna kişisel verilerin ne tür işlemlere tabi tutulduğunun kapsamlı şekilde izlenmesi yükümlülüğünü getirmektedir. Bu izlemenin yapılabilmesi için, kişisel verileri işlemek veya depolamak için kullanılan bilgisayar programları tarafından oluşturulan erişim kayıtları (loglar) temel bilgi kaynağı konumundadır. Bu kayıtlar, kişisel verilere kimin, hangi uygulamadan ve ne zaman eriştiğini gösteren kayıtlardır.

      Veri Sorumluları Sicili Hakkında Yönetmelik’in “Tanımlar” başlıklı 4’üncü maddesinin (h) bendinde tanımlanan “kişisel veri işleme envanteri”nin sağlıklı bir şekilde çalışabilmesi de erişim kayıtlarının düzenli bir şekilde tutulmasına, güvenli bir ortamda ve erişilebilir bir formatta saklanmasına ve bu kayıtlara erişimin yönetilmesine bağlıdır.

      Bu çerçevede Kurum’da yürütülen çalışmalar kapsamında şu hususlar tespit edilmiştir:

      • Kişisel verilerin işlenmesinin izlenmesine ilişkin gözetim ve denetim süreçleri tanımlanmamıştır.

      • Yazılımlar tarafından tutulan/yönetilen/erişilen kişisel veriler kategorize edilmemiş; hangilerinin “kişisel veri” veya “özel nitelikli kişisel veri” niteliği taşıdığı tanımlanmamış, dolayısıyla hangi kişisel verilerin kritik nitelikte olduğu belirlenmemiştir,

      • Kritik nitelikteki kişisel verilere erişimi izlemek için yazılımlar tarafından tutulması gereken erişim kayıtları belirlenmemiştir,

    Kişisel verilerin korunmasıyla ilgili mevzuata uyum sağlanabilmesi amacıyla, kişisel verilerin bilişim ortamında ne tür işlemlere tabi tutulduğunun izlenmesi için gerekli gözetim ve denetim süreçlerinin tanımlanması, kişisel verilere erişim kayıtlarının belirlenmesi ve tutulması gerekmektedir.

  4. Kişisel Verileri İşleyen Yüklenicilerle İmzalanan Sözleşme Hükümlerinin Yetersiz Olması

Kurumda hizmet alımı yöntemiyle yürütülen bilişim hizmetleri çerçevesinde yüklenicilerle yapılan sözleşmelerin, Kişisel Verilerin Korunması Kanunu’nun gereklerinin yerine getirilmesi açısından yetersiz kaldığı tespit edilmiştir.

Kişisel Verilerin Korunması Kanunu’nun “Tanımlar” başlıklı 3’üncü maddesinde şu tanımlara yer verilmiştir:

“(…) ğ) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,

h) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini (…)

ifade eder.”

Söz konusu Kanun’un “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12. maddesi şu şekildedir;

“(1) Veri sorumlusu;

  1. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

  2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

  3. Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır

  1. Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

  2. Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır (…)”

    Kurumun öğrenci ve personel bilgi sistemleri ile ilgili hizmetlerinin, hizmet alımı yöntemiyle yükleniciler tarafından yerine getirildiği görülmüştür. Yürütülen işlerin niteliği gereği bu sistemlerde önemli miktarda kişisel veri bulunmaktadır. Yüklenici, kendi personeli aracılığıyla, kişisel verilerin tutulduğu veri tabanını yönetmekte ve kişisel verilere erişebilmektedir. Dolayısıyla yüklenici 6648 sayılı Kanun’da tanımlanan “veri işleyen” konumunda bulunmaktadır. Kanun’un 12’nci maddesinde kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde sorumluluğun müşterek olduğu açıkça belirtilmiştir. İlgili maddede veri sorumlusunun veri işleyenler üzerindeki denetim yetkisi de tanımlanmıştır.

    Bu durumda, kişisel verilerin yönetilmesi bakımından bir veri işleyen olarak yüklenicinin sorumluluklarının ve denetim gibi Kanun’un zorunlu kıldığı süreçlerin nasıl yürütüleceğinin taraflar arasında yapılan sözleşmeler çerçevesinde tanzim edilmesi gereklidir. Ancak, Kurum tarafından imzalanan sözleşmelerde 6648 sayılı Kanun ve ilgili alt düzenlemelerde aranan birçok hususun eksik bırakıldığı tespit edilmiştir. Bu hususların eksikliği, kişisel verilerin işlenmesi süreçlerinde mevzuata aykırılıklara ve önemli risklerin açığa çıkmasına sebep olmaktadır.

    Tespit edilen önemli hususlar şunlardır:

    • İlgili yazılımlar tarafından hangi kişisel verilerin işleneceği sözleşmelerde açıkça tanımlanmamıştır. Sonradan ortaya çıkan haller çerçevesinde kaydedilmesi

      gerekebilecek kişisel verilerin tanımlanması ve yükleniciye bildirilmesine ilişkin süreç belirlenmemiştir. (6648, madde 5),

    • Yazılımlar tarafından işlenen kişisel verilere ilişkin aydınlatma yükümlülüğünün ve açık rızanın alınması süreçlerinin Kurum gözetiminde ilgili yazılımlar tarafından yürütülmesi temin edilmemiştir (madde 5 ve 10),

    • Özel nitelikli kişisel verilerin ilgili yazılımlar tarafından hiçbir şekilde kaydedilmemesi güvence altına alınmamıştır (madde 6),

    • Kişisel verilerin Kurum tarafından belirlenecek koşullar çerçevesinde yüklenici tarafından silinmesi, yok edilmesi ve anonim hale getirilmesine ilişkin süreçler tanımlanmamıştır (madde 7),

    • Kişisel verilerin, ilgili kişilerin ve Kurum’un açık izni alınmadan Kurum dışına veya yurt dışına aktarılması kısıtlanmamıştır (madde 8 ve 9),

    • İlgili kişilerin kişisel verilerine ilişkin taleplerinin yerine getirilme süreçleri ve süreleri tanımlanmamıştır (madde 11),

    • İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde işletilecek süreçler tanımlanmamıştır (madde 12),

    • Veri güvenliğine ilişkin teknik ve idari şartlar tanımlanmamıştır (madde 12),

    • Kurum’un, veri güvenliğine ve kişisel verilerin işlenmesine ilişkin olarak, kendi uygun göreceği vakitte bizzat kendi elemanları veya görevlendireceği kişiler aracılığıyla denetim ve gözetim yetkisine sahip olduğu belirtilmemiştir (madde 12),

    • Kişisel verilere ilişkin genel hükümlerin ihlal edilmesi veya yüklenicinin ihmali dolayısıyla Kurum’un veya Kurum çalışanlarının bir cezai müeyyide ile karşılaşması durumunda yükleniciye uygulanacak müeyyideler tanımlanmamıştır (madde 17 ve 18).

    • Kişisel verilere ilişkin olarak sözleşmelerde yer verilecek hükümlerin ihlalinin Kurum tarafından sözleşmenin askıya alınması veya feshedilmesi sebeplerinden biri olacağı belirtilmemiştir.

    • Hizmet akdinin sona ermesi veya sözleşmenin feshedilmesi durumunda kişisel verilerin yok edilmesi yükümlülüğünün nasıl yerine getirileceği ve buna ilişkin süreçler tanımlanmamıştır.

      Hizmet alımı yöntemiyle yürütülen işlerde kişisel verilerin mevzuata uygun şekilde işlenmesine özel önem verilmelidir. Bu amaçla, kişisel verilerin kullanımıyla ilgisi olan yürürlükteki tüm sözleşmelerin gözden geçirilmesi, mevzuata uygun olacak şekilde tadil edilmesi ve yeni sözleşmelerin yapılmasında yukarıda belirtilen hususlara dikkat edilmesi gerekmektedir.

      Sonuç olarak; Kurum’da Kişisel Verilerin Korunması Kanunu’na uyum amacıyla yürütülen çalışmaların amacına ulaşabilmesi için, veri envanterinin oluşturulması, ilgili iş süreçlerinin yetkilendirme, güvenlik ve gözetime ilişkin kontrolleri içerecek şekilde ihdas edilmesi ve yükleniciler tarafından yürütülen çalışmaların mevzuata uygunluğunun sağlanması gerekmektedir.