Hukuk ve devlet yönetimine duyulan güvensizliğin giderek arttığı bir dönemde, pek çok kişi ve kurumun günlük yaşamında, kayda değer değişiklikler getiren düzenlemelerin akıbeti de merak konusu. Günlük kararlarla, kuralların sürekli bir şekilde değiştirilip esnetilmesi veya tam tersi, daraltılması hak ve yükümlülükler konusunda ciddi soru işaretleri doğuruyor.

Kişisel verilerin korunması kapsamında yapılan ve yapılması beklenen düzenlemeler de, bu anlamda, önemli. 7 Nisan 2016 tarihli resmi gazetede yayımlanan 6698 sayılı Kanun uyarınca hazırlanan  “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik”, 1 Ocak 2018 tarihinden itibaren yürürlüğe girmek üzere, 28.10.2017 tarihli Resmi Gazete’de yayımlanmıştı. Yani, 01.01.2018 itibariyle kişisel verilerle ilgili yükümlülüklerin yürürlüğe girdiğini, teorik olarak, ifade etmek mümkün. Peki, fiili durum nedir?

6698 sayılı Kanun gereği, en geç bir yıl içinde, yani 7 Nisan 2017 tarihine kadar, kanunun uygulamasına yönelik yönetmeliklerin hazırlanarak yürürlüğe girmiş olması, gerekiyordu. 30 Aralık 2017 tarihli resmi gazetede yayımlanan “Veri Sorumluları Sicili Hakkında Yönetmelik” ile birlikte bugüne kadar yayımlanan yönetmelik sayısı üç oldu. (Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik, Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik ve Veri Sorumluları Sicili Hakkında Yönetmelik) Görüşe açılmış başkaca bir yönetmelik taslağı bulunmamaktadır.

Yayımlanan bu üç yönetmeliğe rağmen, sistemin asıl işlemeye başlaması veri sorumluları sicilinin yaşama geçmesi ile mümkün olacak. Bu konuda çalışmaların devam ettiği Kişisel Verileri Koruma Kurulu tarafından, 30 Aralık 2017’de yayımlanan bir duyuru ile ifade edildi. Kurum açıklamasında,

Bilindiği üzere 6698 sayılı Kanunun Geçici 1 inci maddesinin ikinci fıkrasında veri sorumlularının Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorunda olduğu, Kanunun 16 ncı maddesinde ise; Veri Sorumluları Sicilinin(Sicil) Başkanlık tarafından kamuya açık olarak tutulacağı ve kayıt zorunluluğuna Kurul tarafından istisna getirilebileceği hükümleri yer almaktadır. Bu kapsamda öncelikle Sicile kayıt yükümlülüğüne getirilecek istisnalar hakkında Kurul Kararının yayımlanması, hazırlanmakta olan Veri Sorumluları Sicili Bilgi Sisteminin (VERBİS) hizmete açılması ve Sicile kayıtla ilgili olarak Kurul tarafından bir başlangıç tarihi belirlenerek kamuya duyurulması gerekmektedir. Buna göre, VERBİS’in hizmete açılması ve Kurul tarafından bir başlangıç tarihi belirlenmesi akabinde Sicile kayıt yükümlülüğü başlayacaktır. Kayıt yükümlülüğünün başlaması hususunda gerekli duyuru da yapılacaktır. Diğer taraftan Kanun ve Yönetmelik hükümleri gereği veri sorumlularınca yapılması gereken iş ve işlemlerle ilgili olarak detaylı bilgilendirme metni önümüzdeki günlerde Kurum internet sayfasından ayrıca duyurulacaktır…

denilmektedir. Görüleceği üzere, sicile kayıt istisnası ile ilgili Kurul kararı alınıp açıklanacak, VERBİS sistemi devreye girecek ve Kurul sürecin başlangıç tarihini ilan edecektir. Özellikle VERBİS sisteminin devreye girmesi konusunda, bir zaman belirlemesi yapmak, epey güç görünüyor. Bu nedenle, kişisel verilerin korunması kanunu kapsamındaki hak ve yükümlülüklerin, “2018 yılı içerisinde bir tarihte” yürürlüğe gireceğini belirtmek mümkün.

Son yayımlanan ve 01.01.2018 tarihi itibariyle yürürlüğe girdiği belirtilen Veri Sorumluları Sicili Hakkında Yönetmelik ise, soru işaretlerini giderme noktasında, pek de başarılı değil. Örneğin, Yönetmelik’in 11.maddesinde,

MADDE 11 – (1) Tüzel kişilerde veri sorumlusu tüzel kişiliğin kendisidir. Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ, Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilir. Bu görevlendirme Kanun hükümleri uyarınca tüzel kişiliğin sorumluluğunu ortadan kaldırmaz.

deniyor. Buna göre, tüzel kişilik bizzat veri sorumlusu ve bu yükümlülüğünü prensip olarak, temsil ve ilzama yetkili organ eliyle yerine getirmek zorunda. Her ne kadar, bu konuda “ilgili mevzuatta belirtilen kişi ve kişiler marifetiyle” de bu yükümlülüklerin yerine getirilmesi mümkün, denilse de, kimlerin ve nasıl görevlendirilebileceği konusu, belirsiz.

Durum, şimdilik böyle. Yükümlülük sahibi şirket ve kişilerin, mevcut mevzuat kapsamında, AB’deki uygulama ve değişiklikleri de dikkate alarak, işleyişlerini kişisel verilerin korunması ve işlenmesi kapsamında gözden geçirip, uyuma dönük çalışma yapmaları gerekiyor. Aksi taktirde, gecikmiş yürürlülük tarihinin devreye girmesi ile, son derece kısa bir sürede, pek çok sıkıntı ile karşılaşmak mümkün.

Akılda tutulması gereken nokta; devlet yönetiminin son dönem yaklaşımları ile ekonomik durum bir arada değerlendirildiğinde, hesap verilebilirlik temelinde çalışan bir yönetimden, ceza kesen bir yönetime geçiş söz konusu. Kağıt üzerinde “özerk” olan pek çok kurum, idari para cezalarını, bütçeye gelir getiren bir kaynak olarak görme eğilimindedir. Bu nedenle, ciddi parasal yaptırımlar içeren Kişisel Verilerin Korunması Kanunu’nun, gelir kaynağı olarak görülme ve uygulanma riski var önümüzde. Umarız olmaz ama yine de hazırlıklı olmakta yarar var…  .

Yazdır