Ondokuz Mayıs Üniversitesi tarafından, kişisel verilerin işlenmesinde özel hayatın gizliliği, kişilerin temel hak ve özgürlüklerinin korunması, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyulacak usul ve esasları yerine getirecek kurumsal altyapının oluşturulmadığı görülmüştür.

1. Veri Sorumluları Siciline Kayıt Yaptırılmaması

   Ondokuz Mayıs Üniversitesi tarafından veri sorumlusunun veri işleme faaliyetlerine başlamadan önce Kişisel Verileri Koruma Kurumu Başkanlığınca kamuya açık olarak tutulacak

   
   

   olan veri sorumluları siciline kayıt yaptırılması gerekirken bu işlemin tamamlanmadığı görülmüştür.

   6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Veri sorumluları sicili” başlıklı 16’ncı maddesinin birinci fıkrasında; Kişisel Verileri Koruma Kurulunun gözetiminde Kişisel Verileri Koruma Kurumu Başkanlığınca kamuya açık olarak veri sorumluları sicili tutulacağı, aynı maddenin ikinci fıkrasında; kişisel verileri işleyen gerçek ve tüzel kişilerin, veri işlemeye başlamadan önce veri sorumluları siciline kaydolmak zorunda olduğu ifade edilmiştir.

   6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca Kişisel Verileri Koruma Kurulunun gözetiminde, Kişisel Verileri Koruma Kurumu Başkanlığı tarafından kamuya açık olarak tutulacak olan Veri Sorumluları Sicilinin oluşturulması, idaresi ile veri sorumluları siciline yapılması öngörülen kayıtlara ilişkin usul ve esasları belirlemek ve uygulanmasını sağlamak amacıyla çıkarılan Veri Sorumluları Sicili Hakkında Yönetmelik’in “Veri sorumlusu, veri sorumlusu temsilcisi ve irtibat kişisinin yükümlülükleri” başlıklı 11’inci maddesinin birinci fıkrasında; tüzel kişilerde veri sorumlusunun tüzel kişiliğin kendisi olduğu, Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülüklerinin, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirileceği, tüzel kişiliği temsile yetkili organın, Kanun’un uygulanması bakımından yerine getirilecek yükümlülüklerle ilgili olarak bir veya birden fazla kişiyi görevlendirebileceği ve bu görevlendirmenin Kanun hükümleri uyarınca tüzel kişiliğin sorumluluğunu ortadan kaldırmayacağı hüküm altına alınmıştır.

   Aynı maddenin 5’inci fıkrasında; Kamu kurum ve kuruluşlarında, üst düzey yönetici tarafından Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kişisel Verileri Koruma Kurumu ile iletişimi sağlamak amacıyla belirlenerek sicile kaydı yapılan daire başkanı veya üstü yöneticinin irtibat kişisi olduğu belirtilmiştir.

   Kanun, veri sorumlularının Kişisel Verileri Koruma Kurumu tarafından tutulacak Veri Sorumluları Sicili’ne kaydolmalarını zorunlu kılmaktadır. Bu durumda Üniversite tüzel kişiliğinin kendisi sicile kayıt olmalı ve veri sorumlusunun yükümlülükleri tüzel kişiliği temsile yetkili kişi veya kişiler tarafından yerine getirilmelidir. Ayrıca irtibat kişisinin de tayin edilerek sicile kaydı sağlanmalıdır. Kişisel Verileri Koruma Kurulunca kamu kurum ve kuruluşlarının veri sorumlularının kayıt işlemlerini tamamlaması için 30.06.2020 tarihine kadar süre uzatımı

   
   

   kararı verilmiş olmasına rağmen, Ondokuz Mayıs Üniversitesince belirtilen kayıt işlemleri 2020 yılı sonu itibariyle tamamlanmamıştır.

   Kurum tarafından, Üniversitenin Veri Sorumluları Sicil Bilgi Sistemine kaydının yapıldığı, veri sorumlusu ve irtibat kişisinin belirlendiği, irtibat kişisince veri envanterine göre verilerin Veri Sorumluları Sicil Bilgi Sistemine yüklenmesine devam edildiği ve yüklenme tamamlandığında sicil kaydının oluşturulacağı ifade edilmiştir.

   Üniversite tarafından, kişisel verilerin işlenmesi faaliyetleri bakımından bir şeffaflık sağlanması ve veri sorumlularının mevzuata uyumlu hareket etmeleri konusunda daha güvenli bir ortam oluşturulması, kişisel verilerin korunması hakkının daha etkin şekilde kullanılması amacıyla veri sorumlularının kimler olduğunun kamuya açıklanması gerektiği değerlendirilmiştir.

2. Kişisel Verilere Kimlerin Erişim Sağlamaya Yetkili Olduğunun Belirlenmemesi

   
   

   6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde kişisel verilere erişim ve işleme yetkisini haiz olacak “veri işleyenlerin” henüz belirlenmediği ve ilgili iş süreçlerinin tanımlanmadığı görülmüştür.

   Kişisel Verilerin Korunması Kanunu’nun “Tanımlar” başlıklı 3’üncü maddesinde kişisel verilerle ilgili sorumlu kişiler şu şekilde tanımlanmıştır;

   "…

   
   

   ğ) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi, …

   ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri

   
   

   kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel

   kişiyi,

   
   

   ifade eder" denilmektedir.

   
   

   Kişisel Verilerin Korunması Kanunu ve Uygulaması’nın “D. 6698 Sayılı Kanunda Yer Alan Temel Kavramlar” başlığının “6. Veri Sorumlusu ve Veri İşleyen” bölümünde; tüzel kişilerin, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olduğu, ilgili düzenlemelerde belirtilen hukuki sorumluluğun tüzel

   
   

   kişinin şahsında olduğu, bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılığın gözetilmediği ve bu çerçevede gerek cezai gerekse de hukuki sorumluluk bakımından, tüzel kişilerin sorumluğuna ilişkin özel hukuk ve kamu hukukundaki genel hükümlerin uygulanacağı belirtilmiştir.

   Bu durumda tüzel kişiliğin kendisi veri sorumlusudur. Ancak Kanun’a uyum çalışmasının ilk aşaması olan, Kuruma ait bilişim sistemlerinde yer alan kişisel verilere halihazırda hangi personelin erişim sağladığı henüz tespit edilmemiştir.

   Kurum tarafından, 2021 yılında hangi kişisel verilere hangi birimlerin erişebildiği ve muhafaza ettiği veri envanteri ile belirlendiği ve iş süreçlerinin hazırlandığı belirtilmiştir.

   Açıklanan nedenlerle kişisel verilere erişim ve işleme yetkisini haiz olacak “veri işleyenlerin” belirlenmesi ve ilgili iş süreçlerinin tanımlanması gerektiği değerlendirilmiştir.

3. Kişisel Veri Envanterinin ve İlgili İş Süreçlerinin Oluşturulmaması

   
   

   Üniversite tarafından, Kişisel Verilerin Korunması Kanunu’na uyum için öngörülen süre dolmasına rağmen, kişisel veri envanterinin oluşturulmadığı, Kurum bünyesinde tutulması gereken kişisel verilerin ve bu verilerin işlenmesine ilişkin kurumsal süreçlerin henüz belirlenmediği görülmüştür.

   6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 4'üncü maddenin birinci bendi “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünü getirmiştir. Kanun’un 5’inci maddesi kişisel verilerin işlenme şartlarını, 6’ncı maddesi özel nitelikli kişisel verilerin işlenme şartlarını, 7’nci maddesi kişisel verilerin aktarılmasını, 9’uncu maddesi de kişisel verilerin yurt dışına aktarılmasını düzenlemektedir. Bu maddelerde yer alan hükümlerin tatbik edilebilmesi, kişisel verilerin envanterinin çıkarılmasına bağlıdır. Kurumlar, öncelikle ellerinde hangi kişisel veriler olduğunu belirlemeli, bunun ardından bu verilerin işlenme, aktarım, muhafaza ve silinmesine ilişkin süreçleri yürütmelidir.

   Söz konusu Kanun’a dayalı olarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmelik’in “Tanımlar” başlıklı 4’üncü maddesinin (h) bendinde “kişisel veri işleme envanteri”; “Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel

   
   

   verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,” ifade ettiği şeklinde tanımlanmıştır.

   Yönetmelik’in “İlke, usul ve esaslar” başlıklı 5’inci maddesinin (ç) bendinde; “Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır.” hükmü yer almaktadır.

   Söz konusu envanter hazırlama yükümlülüğü, veri sorumlularının sicile kayıt olmalarından önce, 6698 sayılı Kanun’da öngörülen süre içinde tamamlanması gereken bir yükümlülüktür.

   Ancak yapılan incelemelerde kişisel veri envanterinin oluşturulmadığı ve bu çerçevede; süreç veya faaliyet bazında kişisel verilerin tespiti, tespit edilen kişisel verilerin nitelikleri, işlenen kişisel verinin hukuki sebebi, kişisel veri işleme amaçları, veri konusu kişi grubu, işlenen kişisel verilerin saklama süresi, işlenen kişisel verilerin aktarıldığı alıcı / alıcı grupları, yabancı ülkelere aktarılan kişisel veriler, işlenen kişisel veriler için alınan teknik ve idari tedbirler belirlenmemiştir.

   Kurum tarafından, tüm veri işleyen birimlerin içinde bulunduğu bir çalışma grubu oluşturulduğu, bu çalışma grubu ile veri envanterleri oluşturularak Veri Sorumluları Sicil Bilgi Sistemine yükleneceği ve Üniversite bünyesinde tutulması gereken kişisel verilerin ve bu verilerin işlenmesine ilişkin kurumsal süreçlerin belirlenmesi çalışmalarının devam etmekte olduğu ifade edilmiştir.

   Açıklanan nedenlerle kişisel veri envanterinin oluşturulması, kurum bünyesinde tutulması gereken kişisel verilerin ve bu verilerin işlenmesine ilişkin kurumsal süreçlerin belirlenmesi gerektiği değerlendirilmiştir.

4. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesine İlişkin Yöntem ve Politikaların Belirlenmemesi

Ondokuz Mayıs Üniversitesince, kişisel verilerin işlenmesine ilişkin şartların ortadan kalkması durumunda kişisel verilerin veri sorumlusu tarafından silinmesi, yok edilmesi veya anonim hale getirilmesi yöntem ve politikaları belirlenmemiştir.

Kişisel Verilerin Korunması Kanunu’nun “Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi” başlıklı 7’nci maddesinde; Kanun ve ilgili diğer Kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hâle getirileceği ifade edilmiştir.

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasların belirlendiği Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in “Kişisel veri saklama ve imha politikasına ilişkin esaslar” başlıklı 5’inci maddesi ile “Veri Sorumluları Sicili”ne kayıt olmakla yükümlü olan veri sorumlularının, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlü olduğu, “Kişisel veri saklama ve imha politikasının kapsamı” başlıklı 6’ncı maddesinde; kişisel veri saklama ve imha politikasının asgari hangi bilgileri içermesi gerektiği belirtilmiştir.

Üniversite tarafından, kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine yönelik esas ve prosedürlerin belirlenmesi çalışmalarına henüz başlanmamış olup, bu kapsamda herhangi bir politika belgesi hazırlanmamıştır.

Kurum tarafından, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yöntem ve politikaların belirlenmesi çalışmaları devam etmekte olduğu belirtilmiştir.

Açıklanan nedenlerle kişisel bilgilerin silinmesine, yok edilmesine veya bilinmeyen hale getirilmesine ilişkin yöntem ve kuralların belirlenmesi ve uygulamaya geçirilmesinin uygun olacağı değerlendirilmiştir.