Sosyal Güvenlik Kurumu Nezdindeki Verilerin KorunmasIna Ve İşlenmesine İlişkin Yönetmelik Resmi Gazete'de YayImlandI
Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına Ve İşlenmesine İlişkin Yönetmelik Resmi Gazete'de Yayımlandı
19 Şubat 2022 tarihli ve 31755 sayılı Resmî Gazete'de Sosyal Güvenlik Kurumu Başkanlığı ("Kurum") tarafından 5502 sayılı Sosyal Güvenlik Kurumuna İlişkin Bazi Düzenlemeler Hakkında Kanun ve 6698 sayili Kişisel Verilerin Korunmasi Kanunu'na ("KVKK") dayanılarak çıkarılan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik ("Yönetmelik") yayımlanmıştır.
I. Kapsam
Yönetmelik; Kurum, Kurum personeli ve kişisel verileri işlenen gerçek kişilerin yanı sıra;
(i) Kişisel verilerin işlenmesine ait bilgi işlem sistemleri yazılım ve donaımı ile dosyalama sistemi gibi hizmetleri sunan gerçek ve tüzel kişiler,
(ii) Kurum'un faaliyetleri kapsamında mevzuat çerçevesinde kişisel verileri işleyen kamu kurum ve kuruluşları ile özel hukuk gerçek ve tüzel kişiler,
(iii) Kurum adına kişisel verileri işleyen gerçek veya tüzel kişiler ve
(iv) Veri aktarımının yapıldığı kamu kurum ve kuruluşları ile özel hukuk gerçek ve tüzel kişileri
açısından da bağlayıcı olması nedeniyle oldukça geniş kapsamlı olarak düzenlenmiştir.
II. Veri İşlemeye İlişkin Genel Prensipler
Yönetmelik'in 5'inci maddesinde kişisel veriler, kişisel sağlık verileri ve ticari sır niteliğindeki veriler 'veri' üst başlığı altında toplanmış ve tüm veriler işleme açısından KVKK'nin 4'üncü maddesinde öngörülen genel veri işleme ilkelerine tabi tutulmuştur. Sağlık hizmetini sunan ve/veya üreten; gerçek kişiler, kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve bunların tüzel kişiliği olmayan şubeleri olarak tanımlanan "sağlık hizmeti sunucuları", Kurum adına işledikleri kişisel saglık verilerini Kurum'a ait veri kayıt sistemlerine aktarmak ve bu sistemler dışında hiçbir yere kopyalamamak veya aktarmamakla yükümlü kılınmıştır.
Yönetmelik'in 6'ncı maddesinde veri sorumlulari alinmasi gereken tedbirler hususunda veri isleyenler ile birlikte müstereken sorumlu sayilmistir. Veri sorumlulari Kisisel Verileri Koruma Kurulu ("Kurul") tarafindan belirlenen düzenlemelerin uygulanmasini saglamak amaciyla Kurum'da gerekli denetimleri yapma veya yaptirma yükümlüsü olarak düzenlenmistir. KVKK ve ikincil mevzuatinda açikça düzenlenmemesine rağmen veri sorumlularina veri ihlali durumunda 72 saat içerisinde bildirim yapma zorunlulugu getirmesi nedeniyle elestirilen 24 Ocak 2019 tarih ve 2019/10 sayili Kurul kararindaki bildirim yükümlülügü, Yönetmelik'in 6/5'inci maddesinde yasal bir dayanaga kavusmustur.
Yönetmelik'in 7/2'nci maddesinde kişisel verilere Kurum personeli tarafindan erişim sağlanabilecek hallerin, açıkça sayılan durumlarla sınırlanmış olması kişisel verilerin işlendikleri amaçla sınırlı ve ölçülü işlenmesi ilkesine uyum açısından olumlu bir düzenleme olmuştur.
Verilere erişim yönünden bir diğer sınırlandırma Yönetmelik'in 9'uncu maddesinde getirilmiş olup, Kurum'un kendisine verilen yükümlülüklerin yerine getirilebilmesi amacıyla diğer kamu kurum ve kuruluşları ile yapacağı işbirliklerinde Kurum dışından görevli personele verilere erişim imkânı tanınmamıştır.
Yönetmelik'in 10'uncu maddesinde KVKK'nin 11'inci maddesi ile uyumlu olarak veri sahiplerinin Kurum'a karşı kullanabileceği haklar sayılmış ve bu hakların kullanılabilmesi için başvuru yolları düzenlenmiştir.
III. Veri Aktarimina Dair Düzenlemeler
Kurum personelinin, verilen görevlerin yerine getirilebilmesi amacıyla verilere erişimi, Yönetmelik'in 7/1 ve 7/2'nci maddesinde öngörülen yükümlülüklere uyulmaısı koşuluyla veri aktarımı olarak değerlendirilmeyecektir. Yine diğer veri işleyenler tarafından hizmetin gereği olarak veri kayıt sisteminden yapılan sorgular da veri aktarımı olarak nitelendirilmeyecektir.
Kişisel veriler ile ticari sır niteliğinde olan verilerin gerçek veya tüzel kişilere aktarımı konusunda ise "veri sahibinin noter onayli muvafakati, e-Devlet üzerinden kimlik teyidi ile verilen izin veya bu konudaki özel yetkiyi içeren vekaletnamenin bulunmasi" aranmistir. Bu belgelerden birinin varligi halinde dahi veri aktarimi verinin bulundugu ilgili mevzuat birim amirinin onayina baglanmistir. Mevzuat birim amirinin hangi hallerde veri aktarimina onay vermeyebilecegi düzenlenmemis ise de kisisel verilerin korunmasi mevzuati kapsamindaki genel ilkeler çerçevesinde yorumlandiginda veri sahibinin haklari ihlal edilmeden bu yetkinin kullanilmasi gerekecegi konusunda süphe bulunmamaktadir.
Kisisel saglik verisi niteligi tasimayan verilerin kamu idareleri ile Türkiye Cumhuriyet Merkez Bankasina aktarilmasi konusunda geniş bir serbesti tanınmıştır. Bu tüzel kişiliklerin kişisel veri, anonim veri ve ticari sır niteliğindeki verilerin aktarılması konusundaki taleplerinde hukuki dayanağı da belirtmeleri gerekmektedir. Ancak bu aktarımın süreklilik arz edecek olması halinde Kurum ile veri talebinde bulunanlar arasında aktarımın usulü de dahil olmak üzere gerekli hususları belirleyen bir protokol imzalanması zorunlu tutulmuştur. Benzer şekilde kamu idarelerinin madde 11/2 kapsamina girmeyen araştırma, planlama ve istatistik amaçli 'anonim' veri taleplerinin süreklilik arz etmesi halinde, bu kişilere yapilacak aktarım için bir protokol yapılmasi şartı aranmaktadır. Veri talebinde bulunanlar; yayımladıkları rapor, makale ve benzeri çalişmaların bir kopyasını yayımlanmalarından itibaren 30 gün içerisinde Kurum'un ilgili birimine göndermekle yükümlü kılınmıştır.
Kişisel sağlik verilerinin aktarımı noktasında ise KVKK'nin 6/3'üncü maddesinde sayılan hallerde Sağlık Bakanlığı ile veri aktarımı yapilabileceği düzenlenmiştir.
Yönetmelik'in 15'inci maddesinde ilgili mevzuat birimleri tarafından belirlenen verilerin anonim hale getirilmesinde ulusal ve uluslararası kabul görmüş istatistiki yöntemlerin uygulanacağı belirtilmiştir. Veriler anonim dahi olsa bu verilerin aktar bakımından Yönetmelik'in 15/2 ve 15/3'üncü maddelerinde düzenlenen yükümlülükler yerine getirilmeden verilerin aktarılamayacağı düzenlenmiştir. Üstelik anonim verilerin aktarıldığı gerçek ve tüzel kişilerin aktarılan bu verileri aktarım amacı ve Kurum'un bilgisi dışında kullanamayacaklari da açıkça belirtilmiştir.
Veri aktarımı talebinde bulunan gerçek ve tüzel kişilerin talepleri Kurum'a ait veri kayıt sistemine doğrudan erişim yoluyla karşılanmayacaktir. Kurum, veri aktarımı taleplerini kendi belirleyeceği format ve uygun veri paylaşım metodu ile karşılayacaktır. Veri paylaşım metodu yazılı olarak taahhütlü veya iadeli taahhütlü posta ile ya da elden teslim şeklinde belirlenebilir ise de telefon yoluyla veri aktarımı yapılamayacaktır. Anonim veriler bakımından kamu kurum ve kuruluşlarına yapılacak aktarımlar ise, kamu kurum ve kuruluşlarından bu yönde talep gelmesi halinde şifrelenmis dosya ile "gov.tr" uzantılı e-posta adreslerine yapılabilir.
Veri aktarımı yapılan kişilerin KVKK ve ikincil mevzuatta yer alan veri güvenliğine ilişkin tedbirlere uyması gerekmektedir. Buna ilişkin yükümlülükler Yönetmelik'in 21'nci maddesinde somutlaştırılmıştır.
IV. Yönetmelik'in Yürürlük Tarihi
19 Şubat 2022 tarihinde Resmî Gazete'de yayımlanan Yönetmelik, aynı gün yürürlüğe girmiştir.
Daha fazla bilgi ve destek için info@lbfpartners.com adresinden bizimle iletişime geçebilirsiniz.
LBF Partners
Law Firm
19 Şubat 2022 tarihli ve 31755 sayılı Resmî Gazete'de Sosyal Güvenlik Kurumu Başkanlığı ("Kurum") tarafından 5502 sayılı Sosyal Güvenlik Kurumuna İlişkin Bazi Düzenlemeler Hakkında Kanun ve 6698 sayili Kişisel Verilerin Korunmasi Kanunu'na ("KVKK") dayanılarak çıkarılan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik ("Yönetmelik") yayımlanmıştır.
I. Kapsam
Yönetmelik; Kurum, Kurum personeli ve kişisel verileri işlenen gerçek kişilerin yanı sıra;
(i) Kişisel verilerin işlenmesine ait bilgi işlem sistemleri yazılım ve donaımı ile dosyalama sistemi gibi hizmetleri sunan gerçek ve tüzel kişiler,
(ii) Kurum'un faaliyetleri kapsamında mevzuat çerçevesinde kişisel verileri işleyen kamu kurum ve kuruluşları ile özel hukuk gerçek ve tüzel kişiler,
(iii) Kurum adına kişisel verileri işleyen gerçek veya tüzel kişiler ve
(iv) Veri aktarımının yapıldığı kamu kurum ve kuruluşları ile özel hukuk gerçek ve tüzel kişileri
açısından da bağlayıcı olması nedeniyle oldukça geniş kapsamlı olarak düzenlenmiştir.
II. Veri İşlemeye İlişkin Genel Prensipler
Yönetmelik'in 5'inci maddesinde kişisel veriler, kişisel sağlık verileri ve ticari sır niteliğindeki veriler 'veri' üst başlığı altında toplanmış ve tüm veriler işleme açısından KVKK'nin 4'üncü maddesinde öngörülen genel veri işleme ilkelerine tabi tutulmuştur. Sağlık hizmetini sunan ve/veya üreten; gerçek kişiler, kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve bunların tüzel kişiliği olmayan şubeleri olarak tanımlanan "sağlık hizmeti sunucuları", Kurum adına işledikleri kişisel saglık verilerini Kurum'a ait veri kayıt sistemlerine aktarmak ve bu sistemler dışında hiçbir yere kopyalamamak veya aktarmamakla yükümlü kılınmıştır.
Yönetmelik'in 6'ncı maddesinde veri sorumlulari alinmasi gereken tedbirler hususunda veri isleyenler ile birlikte müstereken sorumlu sayilmistir. Veri sorumlulari Kisisel Verileri Koruma Kurulu ("Kurul") tarafindan belirlenen düzenlemelerin uygulanmasini saglamak amaciyla Kurum'da gerekli denetimleri yapma veya yaptirma yükümlüsü olarak düzenlenmistir. KVKK ve ikincil mevzuatinda açikça düzenlenmemesine rağmen veri sorumlularina veri ihlali durumunda 72 saat içerisinde bildirim yapma zorunlulugu getirmesi nedeniyle elestirilen 24 Ocak 2019 tarih ve 2019/10 sayili Kurul kararindaki bildirim yükümlülügü, Yönetmelik'in 6/5'inci maddesinde yasal bir dayanaga kavusmustur.
Yönetmelik'in 7/2'nci maddesinde kişisel verilere Kurum personeli tarafindan erişim sağlanabilecek hallerin, açıkça sayılan durumlarla sınırlanmış olması kişisel verilerin işlendikleri amaçla sınırlı ve ölçülü işlenmesi ilkesine uyum açısından olumlu bir düzenleme olmuştur.
Verilere erişim yönünden bir diğer sınırlandırma Yönetmelik'in 9'uncu maddesinde getirilmiş olup, Kurum'un kendisine verilen yükümlülüklerin yerine getirilebilmesi amacıyla diğer kamu kurum ve kuruluşları ile yapacağı işbirliklerinde Kurum dışından görevli personele verilere erişim imkânı tanınmamıştır.
Yönetmelik'in 10'uncu maddesinde KVKK'nin 11'inci maddesi ile uyumlu olarak veri sahiplerinin Kurum'a karşı kullanabileceği haklar sayılmış ve bu hakların kullanılabilmesi için başvuru yolları düzenlenmiştir.
III. Veri Aktarimina Dair Düzenlemeler
Kurum personelinin, verilen görevlerin yerine getirilebilmesi amacıyla verilere erişimi, Yönetmelik'in 7/1 ve 7/2'nci maddesinde öngörülen yükümlülüklere uyulmaısı koşuluyla veri aktarımı olarak değerlendirilmeyecektir. Yine diğer veri işleyenler tarafından hizmetin gereği olarak veri kayıt sisteminden yapılan sorgular da veri aktarımı olarak nitelendirilmeyecektir.
Kişisel veriler ile ticari sır niteliğinde olan verilerin gerçek veya tüzel kişilere aktarımı konusunda ise "veri sahibinin noter onayli muvafakati, e-Devlet üzerinden kimlik teyidi ile verilen izin veya bu konudaki özel yetkiyi içeren vekaletnamenin bulunmasi" aranmistir. Bu belgelerden birinin varligi halinde dahi veri aktarimi verinin bulundugu ilgili mevzuat birim amirinin onayina baglanmistir. Mevzuat birim amirinin hangi hallerde veri aktarimina onay vermeyebilecegi düzenlenmemis ise de kisisel verilerin korunmasi mevzuati kapsamindaki genel ilkeler çerçevesinde yorumlandiginda veri sahibinin haklari ihlal edilmeden bu yetkinin kullanilmasi gerekecegi konusunda süphe bulunmamaktadir.
Kisisel saglik verisi niteligi tasimayan verilerin kamu idareleri ile Türkiye Cumhuriyet Merkez Bankasina aktarilmasi konusunda geniş bir serbesti tanınmıştır. Bu tüzel kişiliklerin kişisel veri, anonim veri ve ticari sır niteliğindeki verilerin aktarılması konusundaki taleplerinde hukuki dayanağı da belirtmeleri gerekmektedir. Ancak bu aktarımın süreklilik arz edecek olması halinde Kurum ile veri talebinde bulunanlar arasında aktarımın usulü de dahil olmak üzere gerekli hususları belirleyen bir protokol imzalanması zorunlu tutulmuştur. Benzer şekilde kamu idarelerinin madde 11/2 kapsamina girmeyen araştırma, planlama ve istatistik amaçli 'anonim' veri taleplerinin süreklilik arz etmesi halinde, bu kişilere yapilacak aktarım için bir protokol yapılmasi şartı aranmaktadır. Veri talebinde bulunanlar; yayımladıkları rapor, makale ve benzeri çalişmaların bir kopyasını yayımlanmalarından itibaren 30 gün içerisinde Kurum'un ilgili birimine göndermekle yükümlü kılınmıştır.
Kişisel sağlik verilerinin aktarımı noktasında ise KVKK'nin 6/3'üncü maddesinde sayılan hallerde Sağlık Bakanlığı ile veri aktarımı yapilabileceği düzenlenmiştir.
Yönetmelik'in 15'inci maddesinde ilgili mevzuat birimleri tarafından belirlenen verilerin anonim hale getirilmesinde ulusal ve uluslararası kabul görmüş istatistiki yöntemlerin uygulanacağı belirtilmiştir. Veriler anonim dahi olsa bu verilerin aktar bakımından Yönetmelik'in 15/2 ve 15/3'üncü maddelerinde düzenlenen yükümlülükler yerine getirilmeden verilerin aktarılamayacağı düzenlenmiştir. Üstelik anonim verilerin aktarıldığı gerçek ve tüzel kişilerin aktarılan bu verileri aktarım amacı ve Kurum'un bilgisi dışında kullanamayacaklari da açıkça belirtilmiştir.
Veri aktarımı talebinde bulunan gerçek ve tüzel kişilerin talepleri Kurum'a ait veri kayıt sistemine doğrudan erişim yoluyla karşılanmayacaktir. Kurum, veri aktarımı taleplerini kendi belirleyeceği format ve uygun veri paylaşım metodu ile karşılayacaktır. Veri paylaşım metodu yazılı olarak taahhütlü veya iadeli taahhütlü posta ile ya da elden teslim şeklinde belirlenebilir ise de telefon yoluyla veri aktarımı yapılamayacaktır. Anonim veriler bakımından kamu kurum ve kuruluşlarına yapılacak aktarımlar ise, kamu kurum ve kuruluşlarından bu yönde talep gelmesi halinde şifrelenmis dosya ile "gov.tr" uzantılı e-posta adreslerine yapılabilir.
Veri aktarımı yapılan kişilerin KVKK ve ikincil mevzuatta yer alan veri güvenliğine ilişkin tedbirlere uyması gerekmektedir. Buna ilişkin yükümlülükler Yönetmelik'in 21'nci maddesinde somutlaştırılmıştır.
IV. Yönetmelik'in Yürürlük Tarihi
19 Şubat 2022 tarihinde Resmî Gazete'de yayımlanan Yönetmelik, aynı gün yürürlüğe girmiştir.
Daha fazla bilgi ve destek için info@lbfpartners.com adresinden bizimle iletişime geçebilirsiniz.
LBF Partners
Law Firm
