Turkey: Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasina Ve İşlenmesine İlişkin Yönetmelik Resmi Gazete'de Yayimlandi

19 Subat 2022 tarihli ve 31755 sayili Resmî Gazete'de Sosyal Güvenlik Kurumu Baskanligi ("Kurum") tarafindan 5502 sayili Sosyal Güvenlik Kurumuna Iliskin Bazi Düzenlemeler Hakkinda Kanun ve 6698 sayili Kisisel Verilerin Korunmasi Kanunu'na ("KVKK") dayanilarak çikarilan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasina ve Islenmesine Iliskin Yönetmelik ("Yönetmelik") yayimlanmistir.

I. Kapsam

Yönetmelik; Kurum, Kurum personeli ve kisisel verileri islenen gerçek kisilerin yani sira

(i) Kisisel verilerin islenmesine ait bilgi islem sistemleri yazilim ve donanimi ile dosyalama sistemi gibi hizmetleri sunan gerçek ve tüzel kisiler,

(ii) Kurum'un faaliyetleri kapsaminda mevzuat çerçevesinde kisisel verileri isleyen kamu kurum ve kuruluslari ile özel hukuk gerçek ve tüzel kisiler,

(iii) Kurum adina kisisel verileri isleyen gerçek veya tüzel kisiler ve

(iv) Veri aktariminin yapildigi kamu kurum ve kuruluslari ile özel hukuk gerçek ve tüzel kisileri

açisindan da baglayici olmasi nedeniyle oldukça genis kapsamli olarak düzenlenmistir.

II. Veri Islemeye Iliskin Genel Prensipler

Yönetmelik'in 5'inci maddesinde kisisel veriler, kisisel saglik verileri ve ticari sir niteligindeki veriler 'veri' üst basligi altinda toplanmis ve tüm veriler isleme açisindan KVKK'nin 4'üncü maddesinde öngörülen genel veri isleme ilkelerine tabi tutulmustur. Saglik hizmetini sunan ve/veya üreten; gerçek kisiler, kamu kurum ve kuruluslari ile özel hukuk tüzel kisileri ve bunlarin tüzel kisiligi olmayan subeleri olarak tanimlanan "saglik hizmeti sunuculari", Kurum adina isledikleri kisisel saglik verilerini Kurum'a ait veri kayit sistemlerine aktarmak ve bu sistemler disinda hiçbir yere kopyalamamak veya aktarmamakla yükümlü kilinmistir.

Yönetmelik'in 6'nci maddesinde veri sorumlulari alinmasi gereken tedbirler hususunda veri isleyenler ile birlikte müstereken sorumlu sayilmistir. Veri sorumlulari Kisisel Verileri Koruma Kurulu ("Kurul") tarafindan belirlenen düzenlemelerin uygulanmasini saglamak amaciyla Kurum'da gerekli denetimleri yapma veya yaptirma yükümlüsü olarak düzenlenmistir. KVKK ve ikincil mevzuatinda açikça düzenlenmemesine ragmen veri sorumlularina veri ihlali durumunda 72 saat içerisinde bildirim yapma zorunlulugu getirmesi nedeniyle elestirilen 24 Ocak 2019 tarih ve 2019/10 sayili Kurul kararindaki bildirim yükümlülügü, Yönetmelik'in 6/5'inci maddesinde yasal bir dayanaga kavusmustur.

Yönetmelik'in 7/2'nci maddesinde kisisel verilere Kurum personeli tarafindan erisim saglanabilecek hallerin, açikça sayilan durumlarla sinirlanmis olmasi kisisel verilerin islendikleri amaçla sinirli ve ölçülü islenmesi ilkesine uyum açisindan olumlu bir düzenleme olmustur.

Verilere erisim yönünden bir diger sinirlandirma Yönetmelik'in 9'uncu maddesinde getirilmis olup, Kurum'un kendisine verilen yükümlülüklerin yerine getirilebilmesi amaciyla diger kamu kurum ve kuruluslari ile yapacagi is birliklerinde Kurum disindan görevli personele verilere erisim imkâni taninmamistir.

Yönetmelik'in 10'uncu maddesinde KVKK'nin 11'inci maddesi ile uyumlu olarak veri sahiplerinin Kurum'a karsi kullanabilecegi haklar sayilmis ve bu haklarin kullanilabilmesi için basvuru yollari düzenlenmistir.

III. Veri Aktarimina Dair Düzenlemeler

Kurum personelinin, verilen görevlerin yerine getirilebilmesi amaciyla verilere erisimi, Yönetmelik'in 7/1 ve 7/2'nci maddesinde öngörülen yükümlülüklere uyulmasi kosuluyla veri aktarimi olarak degerlendirilmeyecektir. Yine diger veri isleyenler tarafindan hizmetin geregi olarak veri kayit sisteminden yapilan sorgular da veri aktarimi olarak nitelendirilmeyecektir.

Kisisel veriler ile ticari sir niteliginde olan verilerin gerçek veya tüzel kisilere aktarimi konusunda ise "veri sahibinin noter onayli muvafakati, e-Devlet üzerinden kimlik teyidi ile verilen izin veya bu konudaki özel yetkiyi içeren vekaletnamenin bulunmasi" aranmistir. Bu belgelerden birinin varligi halinde dahi veri aktarimi verinin bulundugu ilgili mevzuat birim amirinin onayina baglanmistir. Mevzuat birim amirinin hangi hallerde veri aktarimina onay vermeyebilecegi düzenlenmemis ise de kisisel verilerin korunmasi mevzuati kapsamindaki genel ilkeler çerçevesinde yorumlandiginda veri sahibinin haklari ihlal edilmeden bu yetkinin kullanilmasi gerekecegi konusunda süphe bulunmamaktadir.

Kisisel saglik verisi niteligi tasimayan verilerin kamu idareleri ile Türkiye Cumhuriyet Merkez Bankasina aktarilmasi konusunda genis bir serbesti taninmistir. Bu tüzel kisiliklerin kisisel veri, anonim veri ve ticari sir niteligindeki verilerin aktarilmasi konusundaki taleplerinde hukuki dayanagi da belirtmeleri gerekmektedir. Ancak bu aktarimin süreklilik arz edecek olmasi halinde Kurum ile veri talebinde bulunanlar arasinda aktarimin usulü de dahil olmak üzere gerekli hususlari belirleyen bir protokol imzalanmasi zorunlu tutulmustur. Benzer sekilde kamu idarelerinin madde 11/2 kapsamina girmeyen arastirma, planlama ve istatistik amaçli 'anonim' veri taleplerinin süreklilik arz etmesi halinde, bu kisilere yapilacak aktarim için bir protokol yapilmasi sarti aranmaktadir. Veri talebinde bulunanlar; yayimladiklari rapor, makale ve benzeri çalismalarin bir kopyasini yayimlanmalarindan itibaren 30 gün içerisinde Kurum'un ilgili birimine göndermekle yükümlü kilinmistir.

Kisisel saglik verilerinin aktarimi noktasinda ise KVKK'nin 6/3'üncü maddesinde sayilan hallerde Saglik Bakanligi ile veri aktarimi yapilabilecegi düzenlenmistir.

Yönetmelik'in 15'inci maddesinde ilgili mevzuat birimleri tarafindan belirlenen verilerin anonim hale getirilmesinde ulusal ve uluslararasi kabul görmüs istatistiki yöntemlerin uygulanacagi belirtilmistir. Veriler anonim dahi olsa bu verilerin aktarimi bakimindan Yönetmelik'in 15/2 ve 15/3'üncü maddelerinde düzenlenen yükümlülükler yerine getirilmeden verilerin aktarilamayacagi düzenlenmistir. Üstelik anonim verilerin aktarildigi gerçek ve tüzel kisilerin aktarilan bu verileri aktarim amaci ve Kurum'un bilgisi disinda kullanamayacaklari da açikça belirtilmistir.

Veri aktarimi talebinde bulunan gerçek ve tüzel kisilerin talepleri Kurum'a ait veri kayit sistemine dogrudan erisim yoluyla karsilanmayacaktir. Kurum, veri aktarimi taleplerini kendi belirleyecegi format ve uygun veri paylasim metodu ile karsilayacaktir. Veri paylasim metodu yazili olarak taahhütlü veya iadeli taahhütlü posta ile ya da elden teslim seklinde belirlenebilir ise de telefon yoluyla veri aktarimi yapilamayacaktir. Anonim veriler bakimindan kamu kurum ve kuruluslarina yapilacak aktarimlar ise, kamu kurum ve kuruluslarindan bu yönde talep gelmesi halinde sifrelenmis dosya ile "gov.tr" uzantili e-posta adreslerine yapilabilir.

Veri aktarimi yapilan kisilerin KVKK ve ikincil mevzuatta yer alan veri güvenligine iliskin tedbirlere uymasi gerekmektedir. Buna iliskin yükümlülükler Yönetmelik'in 21'nci maddesinde somutlastirilmistir.

IV. Yönetmelik'in Yürürlük Tarihi

19 Subat 2022 tarihinde Resmî Gazete'de yayimlanan Yönetmelik, ayni gün yürürlüge girmistir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.