Giriş
Kamu hizmetlerinin etkinliği, kurumlar arası veri akışına bağlı hale geldi. Türkiye baglamında bu akış, Kişisel Verilerin Korunması Kanunu (KVKK) ile idare hukuku ilkeleri arasında bir denge gerektirir. Bu makalede, veri paylaşımının hukuki dayanağı, idarenin sorumluluk sınırları, uygulama ilkeleri ve pratik uyum önerileri ele alınacaktır. Yazar Av. Burak Şahin, Şahin Hukuk, Türkiye.
Yasal çerçeve ve idari yetki
Kamu kurumlarının veri paylaşımı öncelikle hukuki bir yetkiye dayanmalıdır. Genel olarak iki temel unsur aranır: kanuni yetki veya açık hukuki dayanak ve paylaşımın meşru amacı. Meşru amaç; kamu hizmetinin yürütülmesi, görevlerin yerine getirilmesi veya kanunun öngördüğü denetim yetkisinin kullanılması biçiminde somutlaştırılmalıdır. Hukukilik ilkesi idare hukukunun temelidir ve veri akışında bu ilkenin dışına çıkılamaz.
Veri sorumluluğu ve paylaşılan verinin niteliği
Kurumlar paylaştıkları verinin niteliğine göre farklı yükümlülükler üstlenir. Özel nitelikli kişisel veriler için ayrıca açık rıza veya kanuni istisna aranır. Veri minimizasyonu ilkesi doğrultusunda yalnızca amaçla bağlantılı ve gerekli bilgiler aktarılmalıdır. Aksi halde idari işlem hukuka aykırı kabul edilme ve hukuki sorumluluk doğurma riski mevcuttur.
Şeffaflık, bilgilendirme ve veri sahibinin hakları
Veri sahipleri hangi verilerinin hangi amaçla paylaşıldığını öğrenme hakkına sahiptir. İdareler, veri paylaşımı süreçlerinde bilgilendirme yükümlülüğünü yerine getirmeli; bilgilendirme mümkün olmadığında bunun sebepleri kayıt altına alınmalıdır. Veri sahibinin erişim, düzeltme ve itiraz haklarına ilişkin süreçler idari prosedürlerle bağlanmalıdır.
Protokoller, güvenlik önlemleri ve denetim
- Yazılı veri paylaşım protokolleri: Rollerin, amaçların, saklama sürelerinin ve sorumlulukların açıklandığı sözleşmeler.
- Teknik güvenlik: Şifreleme, erişim kısıtları, loglama ve olay müdahale mekanizmaları.
- Düzenli denetim: İç kontrol ve bağımsız denetim mekanizmalarıyla uyumun sürekli izlenmesi.
İdari hukuki sorumluluk ve yaptırımlar
Uyumsuzluk halinde idare hukuku kapsamında idari işlemin iptali, yeniden düzenlenmesi veya tazmin yükümlülüğü gündeme gelebilir. KVKK kapsamında idareler idari para cezaları ve veri sahibine karşı tazminat sorumluluğu riskini de taşır. Yaptırımlar, ihlalin kapsamına, kast veya kusur derecesine ve alınan önlemlerin yeterliliğine göre değişir.
Pratik uyum önerileri
- Hukuki dayanak en başta belirlenmeli ve yazılı politika ile sabitlenmeli.
- DPIA benzeri etki değerlendirmeleri yapılmalı; yüksek riskli paylaşımlar için ek korumalar getirilmeli.
- Veri paylaşım protokolleri standartlaştırılmalı; tarafların rolleri netleştirilmeli.
- Teknik ve idari erişim kısıtları uygulanmalı; erişim kayıtları saklanmalı.
- Yetki aşımı veya hatalı paylaşım halinde hızlı düzeltme ve bilgilendirme mekanizmaları kurulmalı.
Sonuç
Kamu kurumları arası veri paylaşımı, idare hukukunun hukuka uygunluk, ölçülülük ve hesap verebilirlik ilkeleriyle uyumlu yürütülmelidir. KVKK gereklilikleri idarenin işlevselliğini engellemek yerine, güven tesis ederek uzun vadede hizmet kalitesini artırır. Hukuki çerçeve netleştirildikçe idari riskler azalacak ve vatandaşın hakları daha etkin korunacaktır.
Hazırlayan: Av. Burak Şahin, Şahin Hukuk. Türkiye bağlamında idare ve veri hukuku mevzuatı ışığında hazırlanmıştır.
Bu yazı genel hukuki bilgilendirme ve değerlendirme amacıyla hazırlanmıştır. Somut uyuşmazlıklar güncel mevzuat ve olayın özellikleri dikkate alınarak ayrıca değerlendirilmelidir.
