A. Kişisel Verilerin Korunması Kanunu Uyarınca Veri Kayıt Sistemi
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişileri kapsamaktadır. Dolayısıyla otomatik olmayan yollarla veri işlenirken, veri kayıt sisteminin parçası olup olmamak faaliyetin KVKK kapsamına girip girmeyeceği açısından önem arz etmektedir.
Veri kayıt sisteminin tanımı: KVKK’nın 3. maddesi uyarınca veri kayıt sistemi, kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir. Kişisel Verileri Koruma Kurumu’nun (“KVK Kurumu”) rehberinde belirtildiği üzere, veri kayıt sisteminde kişisel veriler ad, soyad, kimlik numarası vb. üzerinden sınıflandırılabileceği gibi kredi borcunu ödemeyenlere ilişkin bir sınıflandırma yapmak da bu kapsamda değerlendirilecektir.
Otomatik olmayan yollarla işlenen kişisel veriler, herhangi bir veri kayıt sisteminin parçası değilse KVKK kapsamında bir kişisel veri işleme faaliyetinden söz edilemeyecektir. Ancak bu veriler kişisel veri niteliğine haiz olmaya devam edeceği için, bu verilere ilişkin hukuka aykırı eylemler de 5237 sayılı Türk Ceza Kanunu kapsamında suç teşkil etmeye devam edecektir.
Veri kayıt sisteminin oluşturulması gerek fiziki gerekse elektronik olabilecektir. KVKK uyarınca veri kayıt sisteminin oluşturulması ve yönetilmesinden sorumlu kişi, kişisel verilerin işlenme amacını ve vasıtalarını da belirleyen veri sorumlusudur. Veri sorumlusunun kişisel verileri işlerken karşılaştığı risklere yönelik gerekli aksiyonları alması ve sürece uygun tedbirleri alması gerekir.
KVK Kurumu kişisel verilere ulaşımı kolaylaştıran ve belirli bir kritere göre yapılandırılmış her türlü sistemin KVKK kapsamında değerlendirileceği belirtilmiştir. Bu kapsamda Kurum’a göre, herhangi bir kritere bağlı olmaksızın gelişigüzel bir şekilde sadece kişilerin ad ve soyadlarının bir kağıtta yer alması hali, KVKK kapsamına girmemekle beraber; söz konusu isimlerin belirli bir kritere göre bir kağıda kaydedilmesi halinde bu veri kaydı KVKK kapsamında değerlendirilmektedir.
Bir başka deyişle, kişisel verileri içeren kağıtlar halindeki kayıtlar mantıksal bir düzende saklanırsa KVKK kapsamına girecektir. Bu belgelerin belirli bir düzene tabi olmaksızın çöp kutusuna atılması halinde söz konusu belgeler bakımından KVKK artık uygulanabilir olmayacaktır. Aynı şekilde, spesifik bir sistematik düzenle belgelerin raflarda saklanması veya bir mağaza sahibinin mevcut müşterilerin ilgi alanlarına göre dosyalar hazırlayarak kişisel verileri işlemesi halleri de veri kayıt sistemi olarak sayılabilecektir.
Başka bir örnek vermek gerekirse, çalışma masasının üzerinde çeşitli meslek gruplarından kişilerin kartvizitleri herhangi bir kritere bağlı kalınmaksızın ve düzensizce bırakılmışsa burada herhangi bir veri kayıt sisteminin varlığından söz edilemeyecektir. Ancak, bu kartvizitleri meslek gruplarına göre gruplandırıp istenilen kişinin bilgilerine kolayca ulaşılabilir kılan bir düzen oluşturulursa burada KVKK kapsamında bir veri kayıt sisteminin olduğu söylenebilir.
B. Avrupa Birliği Genel Veri Koruma Tüzüğü Uyarınca Veri Kayıt Sistemi
Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) uyarınca veri kayıt sistemi (“filing system”), işlevsel yahut coğrafi bir temelde, merkezi, merkezi olmayan veya dağınık olarak spesifik kriterlere göre erişilebilen yapılandırılmış herhangi bir kişisel veri dizisidir.
GDPR’da veri işleme faaliyeti, otomatik yöntemlerle olsun veya olmasın, kişisel veri ya da kişisel veri setleri üzerinde gerçekleştirilen toplama, kaydetme, düzenleme, yapılandırma, saklama, uyarlama veya değiştirme, elde etme, danışma, kullanma, iletim yoluyla açıklama, yayma veya kullanıma sunma, uyumlaştırma ya da birleştirme, kısıtlama, silme veya imha gibi herhangi bir işlem veya işlem dizisi olarak tanımlanmıştır.
Bu geniş tanım, GDPR uyarınca “işleme” anlamına gelmeyen ancak kişisel verileri içeren faaliyetler bakımından tam bir netlik sağlamamaktadır. GDPR kapsamında kişisel verilerin işlenmesi ya tamamen veya kısmen otomatik araçlarla yapılmalı ya da otomatik yollarla işlenmemekle birlikte bir veri kayıt sistemi oluşturularak işlenmesi gerekmektedir. GDPR, veri kayıt sistemini belirli kriterler uyarınca erişilebilen yapılandırılmış bir kişisel veri grubu olarak tanımlamıştır.
Kişisel veri kavramı, herhangi bir biçimde mevcut olan verileri içerir. Yukarıda da belirtildiği üzere GDPR, otomatik yollarla işlenen bilgiler bakımından doğrudan uygulanır, ancak ‘bir veri kayıt sisteminin parçası’ olması kaydıyla otomatik olmayan işlemeyi de kapsamaktadır. Örneğin, kağıtlar halinde bir hastane veya kliniğinin geçmişindeki hasta bilgilerinin, bir seyahat acentesinin telefonunu kaydeden bir müşteri temsilcisinin kasette tuttuğu kişisel verilerinin otomatik olmayan yollarla tutulmasına rağmen GDPR kapsamında değerlendirileceği öngörülmüştür.
Benzer şekilde, kağıtlar halinde düzensiz tutulan kayıtlar (yazıcıdaki rastgele basılmış belgeler, masada yığılı kağıtlar gibi), farklı görüşler olmakla birlikte, gerek yapılandırılmış olmadıkları gerekse basit bir aramayla istenilen bilgiye ulaşılabilir olmadığı için GDPR kapsamında veri kayıt sistemi değildir.
Bu kayıtların, belirli kriterlere göre basit bir aramayla istenilen spesifik bilgiye ulaşılabilir olması halinde GDPR söz konusu olacaktır. Örneğin, bu belgelerin isme göre dosyalanarak bir dolapta yahut duvara monte edilen dosya kutucuklarında saklanması halinde veya çalışanların giderlerinin otel, seyahat vb. başlıklarla gruplandırılıp çalışan adlarına göre bir sıralama yapılması halinde ya da çalışma unvanına (avukat, sekreter, satış elamanı gibi) göre insan kaynaklarının alfabetik olarak kayıtlar tutması durumunda GDPR uygulanacaktır.
GDPR Beyan 15’te (“Recital 15 EU GDPR”) kişisel verilerin korunması noktasında otomatik veya otomatik olmayan yollarla işlenen verilerin bir veri kayıt sisteminin parçası olup olmamasının önem arz ettiğini vurgulamıştır. Dosyaların yahut ön kapaklarının spesifik bir kritere göre dizinlenmesi halinde istisnalar saklı kalmak üzere GDPR’ın uygulanmaması gerektiğini öngörmüştür. Örneğin, çalışanlara ilişkin tutulan basılı kayıtların isme veya başka bir kritere göre sıralanması, veri kayıt sistemi olarak GDPR kapsamında olacaktır.
GDPR bakımından verilerin işlenmesinde yahut saklanmasında önem arz eden temel kavram “yapılandırılma”dır. Zira, ilgili kişinin kişisel verilerinin “rastgele” farklı dosyaların içinde bulunması başlı başına ilgili düzenlemenin kapsamına girrmek için yeterli değildir. Bu yapılandırılma ile de amaçlanan, istenen kişisel veriye kolay erişim sağlamaktır [PDF: 306KB].
C. KVKK ve GDPR’ın Veri Kayıt Sistemi Bakımından Karşılaştırılması
Yukarıda ayrıntıları belirtilmekle beraber KVKK veri kayıt sisteminin tanımını, kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi olarak yapmıştır. GDPR ise veri kayıt sistemini, işlevsel yahut coğrafi bir temelde, merkezi, merkezi olmayan veya dağınık olarak spesifik kriterlere göre erişilebilen yapılandırılmış herhangi bir kişisel veri dizisi olarak tanımlamıştır.
Her iki tanım da “yapılandırma” kelimesini vurgulamıştır br ve tanımların kapsamları da hemen hemen aynıdır. Veri kayıt sistemi bakımından daha kısa bir tanım yapan KVKK uyarınca, bu yapılandırmanın belirli kriterlere göre yapılması yeterlidir. GDPR ise veri kayıt sistemi tanımının içeriğini biraz daha açmış ve veri kayıt sistemini, fonksiyonel yahut coğrafi bazda spesifik bir kriter uyarınca kişisel veriye ulaştırabilen merkezi, merkezi olmayan veya dağınık bir sistem olarak ele almıştır. GDPR’da veri kayıt sistemi tanımına yönelik yapılan bu açıklamaların, KVKK’daki veri kayıt sistemi tanımı için de geçerli olacağı ve bu tanıma dahil olacağı düşünülmektedir.
İletişim
Sorularınız ve kaynakça talepleriniz için Kaan Özdemir’e profil sayfasındaki iletişim bilgileri üzerinden ulaşabilirsiniz.