Veri Paylaşımı Kurulu Yönetmeliği
5490 sayılı Nüfus Hizmetleri Kanununun (“Kanun”) 45 inci maddesine dayanılarak İçişleri Bakanlığınca hazırlanmış olan Veri Paylaşımı Kurulu Yönetmeliği (“Yönetmelik”), 8 Ağustos 2020 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.
İlgili Yönetmelik ile Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü (“Genel Müdürlük”) tarafından Genel Müdürlük merkezi veri tabanında tutulan kayıtlardan yararlanacak Genel Müdürlük birimlerini, kurumlarını, kamu hizmeti sunan tüzel kişilikleri ve adrese dayalı kamu hizmeti sunan kuruluşları tespit etmek, çevrimiçi ve çevrimdışı paylaşımın kapsamını, yöntemi ve güvenliğine ilişin genel usul ve esasları saptamak ve Genel Müdürlük bünyesinde oluşturulan Veri Paylaşımı Kurulunun çalışma ve usul ve esaslarını belirlemek amaçlanmaktadır. Bu kapsamda paylaşılacak veri Genel Müdürlük tarafından merkezi veri tabanında tutulan kişiye ait nüfus ve yerleşim yeri bilgileridir.
Genel Müdürlük Bünyesinde Veri Paylaşımı Kurulu Kurulacaktır
Merkezi Veri tabanında yer alan bilgilerin paylaşımına ilişkin talepleri değerlendirerek veri paylaşımından yararlanacakları belirlemek, paylaşımın kapsamı ve hangi yöntemle yapılacağına karar vermek için Yönetmelik’in 5’inci maddesi kapsamında Veri Paylaşımı Kurulu oluşturulacaktır. Bu kurulun görevleri ise;
- Çevrimiçi veya çevrimdışı veri paylaşım taleplerini karara bağlamak,
- Alıcı kurumlarla hangi verilerin çevrimiçi olarak paylaşılacağına karar vermek,
- Çevrimiçi ek servis, servis çıktı yetkisi ve servis çıktı parametresi taleplerini değerlendirerek karar vermek,
- Benzer konulardaki, çevrimiçi veya çevrimdışı veri paylaşımlarına ilişkin ilke kararları almak,
- Veri paylaşımının kapsamını belirlemek ve hangi yöntemle yapılacağına karar vermek,
- Genel Müdürlük’ün web sayfası üzerinde doğrulama amaçlı olarak, hangi servislerin yer alacağına ve bu servislerin girdi ve çıktı parametrelerine karar vermek,
- Taahhütnamenin iptali, feshi veya veri paylaşımının askıya alınmasına yönelik karar almaktır.
Genel Müdürlük Bünyesinde Bulunan Merkezi Veri Tabanındaki Verilerin Kimlik Paylaşımı Sistemi (“KPS”) İle Yapılabilecektir
Yönetmelik’te iki şekilde veri paylaşımı yapılabileceği belirlenmiştir; çevrimdışı veri paylaşımı ve çevrimiçi veri paylaşımı. Çevrimdışı veri paylaşımında, merkezi veri tabanında tutulan kayıtların veri tabanından sorgulanarak harici depolama araçları ve Genel Müdürlükçe belirlenen yöntemler ile veri paylaşımı yapılabileceği; çevrimiçi veri paylaşımda ise KPS servisleri ile veri paylaşımı yapılabileceği belirtilmiştir.
Merkezi veri tabanında tutulan veriler Kanun’da ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)’nda belirtilen usul ve esaslar çerçevesinde, Kurul tarafından uygun görülen paylaşım yöntemi ile alıcı kurum veya diğer kişiler ile paylaşılabilecek olup, KPS’den faydalanmak için yapılan tüm talepler Kurul tarafından değerlendirilecektir. Taleplerin kabul veya reddedilmesine yönelik yapılacak değerlendirmede aşağıdaki esaslar dikkate alınacaktır;
- Kendi mevzuatında merkezi veri tabanındaki verileri sorgulama veya doğrulamaya ilişkin görev ve sorumluluğunun bulunması,
- Kamu hizmeti sunan tüzel kişiliklerin, faaliyetlerini kamu kurum veya kuruluşlarının denetimi altında sürdürmeleri,
- KPS üzerinden veri paylaşımının kamusal ve toplumsal yarar bakımından gereklilik arz etmesi,
- İş ve işlemlerin vatandaşların toplumsal ihtiyaçlarını karşılamak için yapılması, hizmetlerin genel olması ve süreklilik göstermesi.
Ayrıca KPS’den faydalanan alıcı kurumların taşra teşkilatı, şubeleri veya alt kuruluşları tarafından yapılan talepler, bünyesinde bulunduğu alıcı kurum tarafından karşılanmak üzere Kurul’a sunulmadan reddedileceği belirtilmiştir.
Her ne kadar Yönetmelik’te alıcı kurumlar KPS’den faydalanan Genel Müdürlük dışındaki kurum ve kamu hizmeti sunan tüzel kişiler olarak tanımlanmış olsa da Kanun’un 45 inci maddesinin 1 inci fıkrasında alıcı kurumlar ayrıntılı olarak belirtilmiştir. Bunlar;
- Kamu hizmeti sunan tüzel kişiler,
- 03.06.2007 tarihli ve 5684 sayılı Sigortacılık Kanunu çerçevesinde faaliyette bulunan sigorta ve emeklilik şirketleri,
- 19.10.2005 tarihli ve 5411 sayılı Bankacılık Kanunu çerçevesinde faaliyette bulunan bankalar,
- Risk Merkezi ve 5411 sayılı Kanunun 73 üncü maddesinin son fıkrası uyarınca bilgi paylaşımı amacıyla kurulmuş şirketler,
- 21.11.2012 tarihli ve 6361 sayılı Finansal Kiralama, Faktoring ve Finansman Şirketleri Kanunu kapsamındaki finansal kiralama şirketleri ile finansman şirketleri,
- 06.12.2012 tarihli ve 6362 sayılı Sermaye Piyasası Kanunu kapsamındaki aracı kurumlar ve portföy yönetim şirketleri,
- 20.06.2013 tarihli ve 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun kapsamındaki ödeme hizmeti sağlayıcıları
- Yerleşim yeri ve diğer adres bilgilerini ise Bakanlıkça belirlenen adrese dayalı kamu hizmeti sunan kuruluşlar,
- 5684 sayılı Kanun çerçevesinde faaliyette bulunan sigorta ve emeklilik şirketleri,
- 5411 sayılı Kanun çerçevesinde faaliyette bulunan bankalar,
- Risk Merkezi ve 5411 sayılı Kanun’un 73’üncü maddesinin son fıkrası uyarınca bilgi paylaşımı amacıyla kurulmuş şirketler,
- 6361 sayılı Finansal Kiralama, Faktoring ve Finansman Şirketleri Kanunu kapsamındaki finansal kiralama şirketleri ve finansman şirketleri,
- 6362 sayılı Kanun kapsamındaki aracı kurumlar ve portföy yönetim şirketleri,
- 6493 sayılı Kanun kapsamındaki ödeme hizmeti sağlayıcıları.
Çevrimiçi Veri Paylaşımı ve Çevrimdışı Veri Paylaşımı
Öncelikle her iki tür veri paylaşımından önce alıcı kurumlar ile taahhütname imzalanması zorunludur.
Çevrimiçi veri paylaşımında KPS servis talepleri karşılanırken;
- Alıcı kurumun tabi olduğu mevzuat çerçevesinde talep ettiği veriyi alma ve işleme konusunda yetkili ve sorumlu olup olmadığı,
- Bilgi paylaşımının kişiler ve toplum için oluşturacağı kamusal ve toplumsal yarar bakımından gereklilik arz edip etmediği,
- Talep edilen verilerin, belirtilen amaç ve yasal dayanak ile orantılı olup olmadığı
hususlarında ihtiyaç ve yetki analizi kriterleri kapsamında Kurul tarafından değerlendirilir.
Çevrimdışı veri paylaşımında ise öncelikli kriter KPS’den alınabilecek verilerin çevrimdışı olarak talep edilemeyeceğidir. Ancak;
- Çevrimdışı toplu veri taleplerini resmi yazı ile yapmaları,
- Talep yazılarında veriyi kullanma gerekçesi ile yasal dayanağını belirtmeleri,
- Kamusal hizmetin planlanması ve yürütülmesinde zorunlu bir ihtiyaç olması,
- Kamusal ve toplumsal yarar bakımından gereklilik arz etmesi
durumlarının birlikte gerçekleşmesi halinde, belirtilen amaç ve yasal dayanak ile orantılı olarak veri talepleri asgari düzeyde karşılanabileceği düzenlenmiştir.
İstisnalar
Yönetmelik kapsamında bir takım istisnalar da belirlenmiştir. Bu istisnalar kapsamında veri talepleri Kurul’a sunulmaksızın direkt karşılanacaktır. Bunları şu şekilde sıralayabiliriz;
- Yüksek Mahkemeler, Sayıştay, Yüksek Seçim Kurulu, Mahkemeler, Savcılıklar ve 02.12.1999 tarihli ve 4483 sayılı Memurlar ve Diğer Kamu Görevlilerinin Yargılanması Hakkında Kanun’a göre görevlendirilen ön incelemeciler tarafından yürütülen; dava, soruşturma ve incelemelere ilişkin veri talepleri,
- Görev ve yetkilerine uygun olmak ve görev onay yazılarının gönderilmesi şartıyla, 10.12.2003 tarihli ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu kapsamındaki kamu kurum ve kuruluşlarınca yürütülen soruşturma, inceleme, denetim ve teftişlerle ilgili veri talepleri,
- 6698 sayılı Kanun’un 28’inci maddesinin birinci fıkrasının (ç) bendi kapsamında talep edilen veriler yani; “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.”
Alıcı Kurumların ve Diğer Kişilerin Yükümlülükleri
Yönetmelik’in 16. maddesinde yükümlülükler yer almaktadır. Elde edilen verilerin yetkisiz kişilerin eline geçmesinden veya yetkisiz kullanımından kaynaklı doğabilecek her türlü hukuki ve cezai yaptırımdan ve mali zararın tazmininden, alıcı kurumlar ve diğer kişiler sorumlu tutulmuştur. Özellikle alınan verilerin üçüncü kişilere paylaşılmaması ve 6698 sayılı KVKK kapsamında verilerin önlemler alınarak saklanması gerektiği belirtilmiştir. Kişisel verilerin korunması ile ilgili hükümleri ihlal edenler ile gizli verileri değiştiren veya bütünlüğünü bozanlar hakkında; 26.09.2004 tarihli ve 5237 sayılı Türk Ceza Kanunu ve 6698 sayılı Kanun’un ilgili hükümleri uygulanacağı ise aynı maddenin son fıkrasında işlenmiştir.
Sonuç
İlgili Yönetmelik ile başlıca; Genel Müdürlük veri tabanında tutulan kayıtlardan faydalanarak Genel Müdürlük tarafından verilen izinler kapsamında belirli kamu kurum ve kuruluşları ile kamu hizmeti sunan tüzel kişilerin bu veri tabanından çevrimiçi olarak faydalanmalarına imkân sağlamak, bu kapsamda çevrimiçi talep edilebilecek verilerin çevrimdışı talep edilmesi engellendiğinden Genel Müdürlük’ün iş yükünü azaltmak ve talep edilen verilerin Veri Paylaşımı Kurulu tarafından değerlendirilerek bir süzgeçten geçildikten sonra veri paylaşımının sağlanması amaçlanmaktadır.
Kaynakça:
https://www.resmigazete.gov.tr/eskiler/2020/08/20200808-3.htm