Kimlik Paylaşımı Sistemi Yönetmeliği
5490 sayılı Nüfus Hizmetleri Kanunu (“Kanun”)’na dayanılarak İçişleri Bakanlığı’nca hazırlanmış olan Kimlik Paylaşımı Sistemi Yönetmeliği (“Yönetmelik”), 21.08.2020 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.
İlgili Yönetmelik’in amacı Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü’nce (“Genel Müdürlük”) Genel Müdürlük merkezi veri tabanında yer alan verilerin, alıcı kurumlarla çevrimiçi paylaşımına ilişkin usul ve esasların düzenlenmektir. Yönetmelik’in kapsamı ise, merkezi veri tabanındaki verilerin; alıcı kurumlarla paylaşımı, paylaşıma ilişkin başvuru, taahhütnamenin imza, iptal ve fesih süreçleri, yetkilendirilme, paylaşılan verilerin gizliliğinin ve güvenliğinin sağlanması, kurumların iş ve işlemlerine ilişkin bilgilerin takibi ve kullanıcıların eğitimine ilişkin usul ve esaslardan oluşmaktadır. Ayrıca, bu kapsamda 16.11.2006 tarihli ve 2006/11249 sayılı Bakanlar Kurulu Kararı ile yürürlüğe konulan Kimlik Paylaşımı Sistemi Yönetmeliği yürürlükten kaldırılmıştır.
Paylaşım Esasları ve Sistemden Yararlanma
Yönetmelik’te Kimlik Paylaşımı Sistemi (“KPS”)’ne esas olan kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi, Alıcı Kurum ise, “Kimlik Paylaşımı Sistemi’nden faydalanan Genel Müdürlük dışındaki kurum ve kamu hizmeti sunan tüzel kişilikler” olarak tanımlanmıştır.
Merkezi veri tabanında tutulan veriler, Kanun ile 24.03.2016 tarihli ve 6698 sayılı Kişisel Verilen Korunması Kanunu (“KVKK”)’nda ve bu Kanunların ikincil düzenlemelerinde belirtilen usul ve esaslar çerçevesinde alıcı kurumlar ile paylaşılacak olup bu verilerin belirlenmesinde alıcı kurumun veri işleme amacı ve yasal dayanağı göz önüne alınacaktır.
KPS sistemi ile mücbir sebepler dışında güvenli ve kesintisiz bir hizmet sunulması hedeflenmiştir. Önemli olan başka husus ise merkezi veri tabanında elde edilen verilerin aksi ispat oluncaya kadar geçerli olacağının kabul edilmesidir. Alıcı kurumlar tarafından sistem üzerinden erişilebilen bilgi ve belgelerin, ilgilisinden veya Nüfus Müdürlüğü’nden talep edilemeyeceği düzenlenmiştir. Elde edilen belgelerin hukuki değer açısından farklı olmadığı yani KPS ile üretilen belgelerin, Nüfus Müdürlükleri’nden alınmış belgelerle aynı hukuki değere sahip oldukları da kabul edilmiştir.
Bu sistemden yararlanmak isteyen alıcı kurumların, Genel Müdürlük’e yazılı veya elektronik ortamda başvuru gerçekleştirmesi ve talep edilen belgelerin gönderilmesi akabinde taahhütname imzalamaları gerektiği düzenlenmiştir. Taahhütnamede aşağıda belirtilen hususlara yer verilmesi gerekmektedir:
- Verilere hangi amaçla erişileceği
- Erişimin hukuki sebebi
- Verilere erişim şekli ve süresi
- Yetki ve görevler
- Hukuki sorumluluk
- Alınması gereken idari ve teknik tedbirler
- Diğer hususlar
Taahhütnamenin alıcı kurum tarafından imzalanması akabinde merkezi veri tabanında tutulan veriler, KPS ile paylaşıma açılacaktır.
Yönetmelik’in 7’nci maddesinde taahhütnamenin sadece alıcı kurum ile imzalanacağı düzenlenmiş olsa da, alıcı kurum taahhütnamede belirtilen amaçlar doğrultusunda, taşra teşkilatını, şubelerini, alt kuruluşlarını ve hatta yurt dışı teşkilatlarını da bu hizmetten faydalandırabilecektir.
KPS ile Erişilecek Bilgilerin Gizliliği
Yönetmelik’in 9’uncu maddesinde yer alan düzenleme kapsamında, Kimlik Paylaşımı Sisteminin kullanılmasında, mevzuatta yer alan özel hayatın gizliliği ve kişisel verilen korunmasına ilişkin hükümlerin esas alınacağı düzenlenmiştir. Ayrıca KPS’den elde edilen bilgiler, alıcı kurumlar tarafından taahhütnamede belirtilen esaslar doğrultusunda ve mevzuatta belirlenen görev ve sorumluluklarının yerine getirilmesi dışında herhangi bir amaçla kullanılmayacaktır. Bu kapsamda alıcı kurumların, verilerin gizliliğini sağlamak, hukuka aykırı olarak işlenmesi ve verilere erişilmesini önlemek ve muhafazasını sağlamak amacıyla her türlü idari ve teknik tedbirleri alacağı düzenlenmiştir. Bunlara ek olarak özel nitelikli kişisel veriler için ise KVKK’nın 6’ncı maddesinin dördüncü fıkrası uyarınca Kişisel Verileri Koruma Kurulu tarafından belirlenen önlemlerin alıcı kurum tarafından alınacağı ve bu kapsamda tüm hukuki sorumluluğun alıcı kuruma ait olduğu belirtilmiştir.
Kimlik Paylaşımı Sistemi’nden elde edilen verilerin ilgili mevzuat ve taahhütnamede yer alan hükümlere aykırı olarak kullanılması, alıcı kurumun sistem yazılımlarından kaynaklanan hatalı sorgulamalar ve güvenlik açıkları gibi sebeplerle verilerin yetkisiz kişilerce elde edilmesi ve kullanılmasından doğan her türlü hukuki, mali ve cezai sorumluluğun alıcı kuruma ait olduğu düzenlenmiştir. Bu kapsamda da alıcı kurumlar, Kanun’da ve KVKK’da belirtilen usul ve esaslara uymakla ve bu esaslar dahilinde kullanıcıların yaptığı işlemleri takip etmekle yükümlü tutulmuşlardır.
Geri İzleme Bilgilerinin Oluşturulması
Yönetmelik’in 10’uncu maddesinde düzenlenmiş olan Geri İzleme Bilgileri KPS bakımından önemli hükümler içermektedir. Alıcı kurumun KPS’den yaptığı her türlü işlemin tarihi, saati ve web servis adına ilişkin kayıtlarının, kullanıcı veya servis, idari ve teknik kullanıcı düzeyinde Genel Müdürlük tarafından geri izleme bilgisi olarak tutacağı belirtilmiştir. Ayrıca geri izleme bilgisi, sorgulanan kişi ve sorgu sonucundan etkilenen diğer kişilerin de kimlik numaralarını içerecek şekilde tutulacaktır. Son olarak hem Genel Müdürlük hem de alıcı kurum geri izleme bilgilerini değiştirilmesini engelleyecek ve yetkisiz erişime karşı koruyacak şekilde sekiz yıl süre ile saklayacaktır. Bu sürenin sonunda ise, 28.10.2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” hükümleri kapsamında silineceği veya yok edileceği ayrıca düzenlenmiştir.
Takip, Denetim ve Değerlendirme
Genel Müdürlük alıcı kurumun işlemlerinin takibi, özellikle kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ile muhafazasını sağlamak amacıyla her türlü idari ve teknik güvenlik tedbirlerinin alınması sağlayacak olup, alıcı kurum tarafından bu konularda alınan tedbirleri de takip ederek denetleyecektir. Genel Müdürlük bu denetimi bizzat kendisi yapabileceği gibi yetkilendireceği kurum aracılığı ile veyahut mevzuatla kendisine denetim yetkisi ve görevi verilmiş kurum ve kuruluşlar aracılığı ile de yapabilecektir. Yapılan denetimlerde usulsüzlük tespit edilmesi halinde, Kanun, KVKK ve 26.09.2004 tarihli ve 5237 sayılı Türk Ceza Kanunu’nun ilgili maddelerine göre işlem yapılacağı da Yönetmelik’in 12’nci maddesinde düzenlenmiştir. Son olarak alıcı kurum tarafından taahhüt edilen idari ve teknik güvenlik tedbirlerinin yerine getirilmediğinin tespit edilmesi halinde KPS’nin kullanıma kapatılacağı ve taahhütnamenin ise tek taraflı olarak Genel Müdürlük tarafından iptal edileceği belirtilmiştir.
Sonuç
İlgili Yönetmelik ile Genel Müdürlük veri tabanında tutulan kayıtlardan faydalanarak oluşturulan çevrimiçi veri tabanının, Kimlik Paylaşımı Sistemi ile belirli kamu kurum ve kuruluşlarıyla paylaşılması amaçlanarak düzenleme yapılmıştır. Bu kapsamda veri paylaşımına ilişkin kurulmuş olan KPS’ye başvurunun yapılması, taahhütnamenin imzalanması, iptali ve fesih süreçleri ile yetkilendirilme, paylaşılan verilerin gizliliğinin ve güvenliğinin sağlanması, kurumların iş ve işlemlerine ilişkin bilgilerin takibi ve kullanıcıların eğitimine ilişkin usul ve esaslar düzenlenmiş olup, Genel Müdürlük tarafından alıcı kurumların KVKK ve Türk Ceza Kanunu bakımından denetlenmesi hususları ayrıca düzenlenmiştir.
08.08.2020 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Veri Paylaşımı Kurulu Yönetmeliği ile merkezi veri tabanında tutulan verilerin çevrimiçi ortama aktarılması, bu sistemden yararlanmak isteyen kamu kurum ve kuruluşlara gerekli izinlerin verilmesi ve kurulun işleyişi düzenlenmiştir. 21.08.2020 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Kimlik Paylaşımı Sistemi Yönetmeliği’nde ise Kurul tarafından verilen izinler kapsamında alıcı kurumların sistemden nasıl yararlandırılacağı, verilerin paylaşımına ilişkin esasların neler olduğu, başvuru ve taahhütname sürecinin nasıl olacağı ve sistemin nasıl işleyeceği düzenlenmiştir. Sonuç olarak bu iki yönetmelik birbiri ile direkt bağlantılı olup, Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü’nün merkezi veri tabanında tutmakta olduğu verileri, kanuni düzenlemelere uygun olacak şekilde paylaşımına yönelik gerekli altyapıyı oluşturma çalışması içerisinde olduğunu göstermektedir.
Kaynakça:
https://www.resmigazete.gov.tr/eskiler/2020/08/20200821-37.pdf