17/08/2022 Tarihinde Kişisel Verileri Koruma Kurumu tarafından “İdarenin Denetleme Görevinin KVKK Kapsamında Değerlendirilmesi” konulu Çarşamba Semineri düzenlendi.

İşbu seminer ile veri sorumlusu idarenin “denetleme” veya “düzenleme” görevlerinin yürütülmesi ile “disiplin soruşturmaları” kapsamında veri işlemesinin KVKK yönünden değerlendirmesi yapılmıştır.

Veri sorumlusu idarelerden Türkiye Cumhuriyeti idari teşkilatı içerisinde bulunan kamu kurum ve kuruluşlarıyla, kamu kurum ve kuruluşları niteliğindeki meslek kuruluşlarını ifade etmektedir. Kişisel Verilerin Korunması Kanunun 18. Maddesinde belirtilen fiillere aykırı davranan veri sorumlusu idarelerin aynı Kanunun yine aynı maddesinin son fıkrasında idari para cezası değil de disiplin hükümlerine göre işlem yapılmasını ve sonucu Kurula bildirilmesini düzenlenmiştir. Dolayısıyla bu Kurumlar çalışmalarını idarenin belirlilik ilkesi ile kanunilik ilkesi kapsamında yürütmektedir. Bu ilkeleri sağlamak için de merkezi yönetim ile yerinden yönetim kuruluşları arasındaki bağı sağlayan bazı hukuksal araçlar mevcuttur. Bunlardan bazıları hiyerarşi, idari vesayet, dış idari denetimdir. Peki idareler bu kapsamda denetim yetkisini kullanırken, veri işleme faaliyetini hangi sınırlar çerçevesinde yürütmektedir?

  • Veriyi güvenli bir şekilde işleme amacına uygun süreyle muhafaza ederek, olası veri ihlalini önlemek için gerekli olan idari, hukuki ve teknik önlemleri almalıdır.
  • Kurul da gerekli tedbirlerin alınmasının yanında veri korumaya yönelik tam yeterliliğin sağlanabilmesi için personelin de KVKK eğitimi alması gerektiğini belirtmektedir.
  • Yenilikleri hizmetlerine uyarlaması gerekmektedir.
  • Mevzuatın ve hizmet gerekliliklerinin gereği gibi yerine getirilip getirilmediği noktasında denetim ve gözetim görevini yerine getirmelidir.
  • Dijitalizasyonun bir gereği olarak da kamu hizmetinden yararlananların mevcut teknolojiyi kullanabilme yeterliliğine sahip olabilmesi için veri sorumlusu idareler ihtiyaç duyulan çalışmayı yürütmekle yükümlüdür.

İdarenin denetim yetkisini kanunla yetkilendirilmiş makamlar kullanabilmektedir. Dolayısıyla idarenin denetim yetkisi, idarenin takdir yetkisi kapsamında olan bir faaliyet değildir. Veri sorumlusu idarenin denetim yetkisinin kullanılmasında herhangi bir boşluk doğması durumunda bundan sorumlu kamu personelinin disiplin sorumluluğunun yanında, hizmetten yararlananların zarar görmesi durumunda veri sorumlusunun idarenin hizmet sorumluluğu da gündeme gelecektir. Veri sorumlusu idarenin kısaca KVKK kapsamındaki yükümlülüklerini yerine getirmemesi durumunda hizmet kusurundan bahsedilebilmektedir.

KVKK’nın 28. Maddesinde yer alan istisnalar içerisinde “Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması” hükmü de yer almaktadır. Sonuç olarak; veri sorumlusu idare denetim ve gözetim yetkisini kapsamında kendi soruşturma yapabileceği gibi, tayin ettiği mekanizma ile de gerçekleştirebilmektedir. Fakat ne olursa olsun disiplin soruşturmasının neticesine karar verecek kişi kanunla yetkilendirilmiş olan kişidir.