top of page
Ara

BELEDİYELER İÇİN KİŞİSEL VERİLERİN KORUNMASI KANUNU

Güncelleme tarihi: 4 Nis 2024


KİŞİSEL VERİLERİN KORUNMASI VE KAMUDA YANSIMASI


Gerek kamu kurumları gerekse özel hukuk tüzel kişileri hizmetlerinin sunumunda ya da işlemlerin yerine getirilmesinde kişisel veri niteliğindeki bilgileri uzun süredir işlemektedirler. Sosyal ve ekonomik hayatın düzen içinde sürdürülmesi, kamu hizmetlerinin etkin biçimde sunumu, mal ve hizmetlerin ekonominin gereklerine uygun biçimde geliştirilmesi, dağıtımı ve pazarlanması için kişisel verilerin toplanması kaçınılmaz olmakla birlikte, kişisel verilerin sınırsız ve kurala bağlı olmadan toplanmasının, yetkisiz kişilerin erişimine açılmasının, ifşası, amaç dışı ya da kötüye kullanımı sonucu kişisel hakların ihlal edilmesinin önüne geçilmesi gereklidir. Bu kapsamda kişisel verilerin geçmişte olduğundan çok daha fazla korunmaya muhtaç olduğu ifade edilmektedir. Bu kapsamda kişilerin temel hak ve hürriyetlerinin veri işleme sürecinde de korunması öncelikli konulardan biridir.


6698 Sayılı Kişisel Verilerin Korunması Kanun’u (Kanun), kişisel verileri işleyen gerçek ve tüzel kişiler hakkında uygulanır. Bu doğrultuda, özel sektörde faaliyet gösteren kuruluşlar ile kamu kurum ve kuruluşları bakımından bir ayrım yapılmamış olup, öngörülen usul ve esasların tüm kurum ve kuruluşlar açısından uygulanması benimsenmiştir. Bu bağlamda kamu niteliğinde tüzel kişilikler olması sebebi ile belediyeler de işledikleri kişisel veriler yönüyle Kanun kapsamındadır. Kamu kurum ve kuruluşlarında, belediyelerde ilgili kişilere hizmet amaçlı olarak birçok kişisel veri işlenmektedir. Bu doğrultuda hangi kişisel verilerin hangi amaca hizmet etmek için işlendiği hususları ortaya konulmalı, kişisel veriler genel ilkelere uygun olarak işlenmeli, gerek olmayan kişisel verilerin imhası yapılarak kişisel veriler azaltılmalı, kişisel veri işleme envanteri hazırlanmalı ve kanuna uygun hareket edilmesi noktasında birçok tedbir alınmalıdır. Kişisel verileri ilgilendiren ve ilişki kurulan taraflarla olan sözleşmeler güncellenmeli, kurum içi gizlilik taahhütnameleri yapılmalı, ilgili kişiler aydınlatılmalı ve gerektiği durumlarda açık rızalar alınmalıdır. Kurum içinde idari tedbirler alınmalı ve bununla da yetinilmeyerek veri güvenliği sağlamak adına gerekli ve makul düzeyde teknik tedbirler de alınmalıdır. Teknik donanım tedbirleri ile de yetinilmeyip mutlaka siber güvenlik amaçlı sızma testi (penetrasyon testi) yapılmalı ve ortaya çıkan güvenlik zafiyetleri giderilmelidir. Bir başka deyişle öncelikli olarak kişisel verilerin hukuka aykırı olarak işlenmesi engellenmelidir. Veri güvenliğinin sağlanması ve 6698 sayılı kanun açısından son derece önemli olan kurum içi periyodik olarak veri güvenliğine ilişkin eğitimler verilmeli, siber güvenlik farkındalığı artırılmalı ve kişisel verilerin korunması amaçlı bilgilendirme toplantıları yapılmalıdır. Belediyeler için kişisel verilerin korunması son derece önemlidir.

Belediyeler ilgili kişi olan vatandaşlarını veriye temas ettiği noktada aydınlatmalı, gerek görüldüğü takdirde kamu spotu, bilgilendirme afişleri, internet sitesi ile ilgili kişinin hakları bildirilmelidir. Kurumun veri yaşam döngüsüne uygun olarak kişisel veri işleme envanteri hazırlanmalı ve bununla paralel olarak VERBİS kaydı yapılmalıdır. Kanunun uzmanlık gerektirmesinden dolayı yetersizlik halinde siber güvenlik ve hukuk danışmanlığı alanlarında uzman desteği alınmalıdır.


BELEDİYE HİZMETLERİNDE DİKKAT EDİLMESİ GEREKEN TEMEL NOKTALAR


Bilindiği üzere belediyelerde görevli çalışan memurlar 657 sayılı Devlet Memurları Kanunu’na tabi olarak Avukat, mimar, mühendis, veteriner bulunmayan belediyeler de tam zamanlı veya belli zamanlarda kısmi zamanlı olarak sözleşmeli personel ve aynı zamanda belediyelerde İş Kanunu’na göre işçi statüsünde personel de çalıştırılabilmektedir.

Kişisel Verilerin Korunması Kanunu kapsamında yalnızca gerçek kişilerin verileri korunmaktadır. Bu nedenle, Kanunda kişisel verisi işlenen gerçek kişiyi ifade etmek için “ilgili kişi” ifadesi kullanılmıştır. Korunması gereken kişi, Kanunun tanımlar kısmında açıkça belirtildiği üzere “gerçek kişi”dir. Belediye bünyesinde yer alan personellerin her biri Kişisel Verilerin Korunması Kanunu kapsamında birer ilgili kişidir. Dolayısıyla kurum içerisinde personellerin kişisel verilerinin korunması önem arz etmektedir.


Nitekim belediyelerin kullandıkları kaynaklar para, malzeme, yer, zaman ve personeldir. Bu kaynaklar içerisinde en önemlisi ve en zor sağlananı personel olarak adlandırılan insan kaynağıdır. Hal böyle olunca belediyelerin Kişisel Verilerin sürecini etkin bir biçimde yönetmesi öncelikli olarak personelin kişisel verilerini etkin bir biçimde koruması ile sağlanacaktır. Bu kapsamda veri sorumlusu olarak belediyenin kurum içerisinde dikkat etmesi gereken belli birtakım hususlar mevcuttur. Örneğin Personellerin özlük dosyalarının Kanuna uygun hale getirilmesi için çalışmalar yapılmalı, Personele ait kişisel verilerini içeren basılı formlar, dosyalar, klasörler ve defterler herkesin erişimine açık bir şekilde masa üstü, dolap


vb. yerlerde tutulmamalıdır.

Kişisel Verileri Koruma Kurumu, işe giriş ve çıkış kontrollerinin biyometrik verileri işlemenin haricinde alternatif yollar ile sağlanabildiği gerekçesiyle mesai kontrolü amaçlı giriş ve çıkışlar için yüz tanıma sisteminin kurulmasını Kanunun “Genel


İlkeler” başlıklı 4 üncü maddesinin (ç) bendindeki ölçülülük ilkesine aykırı olduğu kanaatinde kararları bulunmaktadır. Personellerin giriş-çıkış takibi konusunda kullanılan yöntemler Kişisel Verilerin Korunması Kanunu'na uygun hale getirilmelidir.


Bununla beraber belediyelerin hizmet sunmuş olduğu kişiler bakımından da kişisel verilerin korunması son derece önemlidir. Vatandaşın işlenen kişisel verilerinin hem dijital hem de fiziki ortamda güvenlikli bir şekilde saklanması, ilgili personel dışında erişime kapalı olması ve veri güvenliğinin korunması esastır. Vatandaşın kişisel verilerini içeren basılı formlar, dosyalar, klasörler ve defterler herkesin erişimine açık bir şekilde ilgili yerlerde tutulmamalıdır. Belediye personellerinin, veri işleme faaliyetleri sırasında bilinçli olması gerekmektedir. Vatandaşın kişisel verileri, personele ait kişisel telefon, bilgisayar vb. elektronik ortamlarda bulundurulmamalı, personeller arası bilgi akışı sırasında da bu konuya dikkat edilmelidir. Kurum içi mail adresleri, kurum bilgisayarları ve varsa kurum telefonları tercih edilmeli ayrıca vatandaşın kişisel verisini içeren hiçbir evrak kanuni yükümlülük dışında kurum dışına çıkarılmamalıdır. Otomasyon sistemleri, yazılımlar, portal ve web siteleri kullanan personellerin; verilere erişimi yetkileri dahilinde sınırlandırılmalıdır.


Kişisel veriler, meşru amaçlarla işlenmeli ve işlendikleri amaçla bağlantılı aynı zamanda sınırlı olmalıdır. Kanuni dayanağı olmamasına rağmen yaygınlaşan uygulamalar çoğu zaman 6698 s. kanuna aykırılık niteliği taşımaktadır. Örnek vermek gerekirse, ülkemizde sıkça rastladığımız ve neredeyse vatandaşın yapmakta olduğu her işlem için kimlik fotokopisinin alınması; kişinin kimliğinin tespiti için gerekli görülse de kimlik tespiti için kullanılabilecek birden fazla yöntem mevcuttur. İşlemi yapan personelin, işlem anında kişinin kimlik kontrolünü yapıp, kimliğini tekrar vatandaşa iade etmesi bu yöntemlerden sadece birisidir. Herhangi bir kayıt tutulmaksızın yapılacak bu işlem hem işlemi yapan Kurumu hem de vatandaşı koruyacaktır. Vatandaş kayıt işlemlerinin gerçekleştirildiği, vatandaş ile ilgili kişisel verileri içeren formların doldurulduğu bankolar ve masalarda; işlemlerin vatandaş ile ilgili bilgilerin vatandaş dışında kimsenin duyamayacağı, göremeyeceği şekilde gerçekleştirilmesi gerekmektedir. Vatandaş açıkça rıza vermediği sürece vatandaş ile ilgili kişisel veriler vatandaş yakını ile paylaşılmamalıdır. Vatandaşın açıkça rızası dışında kanuni yükümlülüklerin söz konusu olması durumunda vatandaş ile ilgili kişisel veriler yalnızca departman sorumlusunun izni ile paylaşılabilir. Ayrıca, vatandaşlara ait kişisel verilerin, kullanım amacı dışında kurum içerisinde, kişiler veya departmanlar arasında paylaşımının da önüne geçilmelidir.


Belediye personelleri 5237 sayılı Türk Ceza Kanunu, 657 Sayılı Devlet Memurları Kanunu ve 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümlerine riayet ederek görevlerini yerine getirmek ve vatandaşın kişisel verilerinin korunmasında azami dikkat ve özeni göstermek zorundadır. Bu kapsamda Veri Sorumlusu olan Belediyeler, personellerine Kişisel Verilerin Korunması Kanunu Farkındalığını oluşturmak amacıyla periyodik olarak eğitim düzenlemek zorundadır.


Kişisel Verileri Koruma Kurumu personel eğitimlerinin sorumluluğunu ve takibini Veri Sorumlularına yüklemiştir. Bu kapsamda Veri Sorumlusu Belediyeler eğitim sürecini aktif ve etkin bir biçimde yürütmek zorundadır. Kişisel Verilerin Korunması Kanunu’nun 6. maddesinin 1. fıkrasında sınırlı olarak sayılan özel nitelikli kişisel verilerin, ilgili kişisinin açık rızası olmaksızın işlenemeyeceği şartına bağlanmış olması belediyeler açısından ayrıca büyük bir önem arz etmektedir. Özel nitelikli kişisel verilerden sayılan; kişilerin sağlığına ilişkin veriler, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri, Belediyeler bünyesinde gerek abonelik işlemlerinde gerek sosyal yardım işlerinde gerekse ihale/satış gibi işlemlerde sıkça işlenmektedir. Bahsi geçen kişisel verilerin toplanmasından ve saklanmasından, kanunlarda açıkça belirtilmediği sürece mümkün olduğunca kaçınılmalı, mecbur kalınan durumlarda ise ilgili kişi olan vatandaşın açık rızasının alındığı mutlaka belgelendirilmelidir. Sonuç olarak, her Belediye personelinin, yaptığı iş ve işlemler çerçevesinde sorumlu olduğu mevzuata hakimliğinin yanı sıra Kişisel Verilerin Korunması Kanunu’na da uygun şartlarda görevlerin icra etmeleri gerekmektedir. Personellerin, vatandaşın kişisel verilerine bilinçli yaklaşımı, hem Kurumu hem personeli hem de vatandaşı koruyacaktır. 6698 s. Kanun’un personeller tarafından benimsenmesi türlü hak ihlallerinin önüne geçerek Kanun’a tam olarak uyum sağlanmasının mihenk taşlarından biri olacaktır.


Özel nitelikli kişisel verilerin işlenmesi için veri sorumlusu tarafından alınması gerekli olan önlemler Kişisel Veri Koruma Kurulu’nun 2018/10 sayılı kararında ayrıntılı olarak açıklanmıştır. Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması, Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi bu yöntemlerden sadece birkaçıdır.


Av. Girayhan OCAK

Commenti

I commenti sono stati disattivati.

info@ocakyilmaz.com

Av. Girayhan OCAK - Av. Cevdet YILMAZ
  • Instagram
  • LinkedIn

Çınar Mah, Passa Plaza, 5003/2 Sk. No:8 K:1 D:26, 35090 Bornova/İzmir

Bu sitedeki hiçbir içerik hukuki tavsiye değildir ve hukuki tavsiye olarak kabul edilemez. Söz konusu metinler hazırlanırken o tarihte yürürlükte olan yasal mevzuat esas alınmış olup; ileri tarihte gerçekleşecek mevzuat değişiklikleri çerçevesinde farklılıklar meydana gelebilir. Diğer internet sitelerine yapılan bağlantılar, bu sitelerin teşvik edildiği veya onaylandığı anlamına gelmez.

Gönderdiğiniz için teşekkür ederiz!

İzmir Avukat Arabulucu

bottom of page