Hesap Verilebilirlik

Hesap verilebilirlik ilkesi, kişisel verilerin korunması mevzuatına uyum sağlamak için gerekli tedbirlerin alınması, alınan tedbirlerin sürekli olarak denetlenmesi ve gerektiğinde bu durumun ispat edilmesi anlamına gelmektedir. Kişisel verileri işleme faaliyetlerinin bilişim teknolojilerinin gelişmesiyle birlikte yaygınlaşması; veri işleme, aktarım ve saklama alanlarının çeşitlenmesi, kişisel verilerin korunması ile ilgili düzenlemeler beraberinde yeni riskleri ve sorunları getirmiştir. Bu risk ve sorunlara klasik veri koruma yaklaşımlarının yetersiz kalması ve etkin bir çözüm sunma gerekliliği sebebiyle kişisel verilerin korunması alanında hesap verilebilirlik ilkesi ortaya çıkmıştır.

Kişisel verilerin en üst düzeyde korunması amacıyla bütün dünyada kanuni düzenlemeler yapılmakta, var olan düzenlemeler gelişmelere uygun olarak güncellenmekte ve uluslararası düzenlemeler aracılığıyla bir bütünlük ve yeknesaklık sağlanmaya çalışılmaktadır. Yeni düzenlemeler ve kurallar, beraberinde daha fazla idari sorumluluk ve denetim yükümlülüğü getirdiği için bu düzenlemeler ve kurallar, Kişisel Verileri Koruma Kurumu gibi bağımsız düzenleyici veri koruma otoriteleri aracılığıyla uygulanmaktadır. Kişisel verileri işleyen veri sorumluları, kişisel verileri korumak amacıyla aldıkları tedbirlerle ilgili olarak bu bağımsız düzenleyici otoriteler tarafından denetlenecek ve bu tedbirlerle ilgili olarak bir ispat yükümlülüğü doğması durumunda, yine bu bağımsız düzenleyici otoritelere karşı sorumlu olacaktır.

Kişisel verilerin yurt dışına aktarılması ya da kişisel verilerin işlenmesi ile ilgili olarak yurt dışındaki bir sağlayıcıdan hizmet alınması durumunda, veri sorumluları birden fazla bağımsız düzenleyici otoriteye karşı sorumlu hale gelmektedir. Hesap verilebilirlik ilkesi kapsamında; standart, hızlı, uygun, maliyetsiz ve güvenilir ispat araçlarının varlığı ve bu alanda yeknesak kuralların geliştirilmesi hem düzenleyici otoriteler için hem de veri sorumluları için temel bir ihtiyaç teşkil etmektedir. Bu doğrultuda, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ve 108+ sayılı Sözleşme, yeknesak kuralların geliştirilmesi ve gerekli niteliklere sahip ispat araçlarının sağlanması açısından örnek teşkil etmektedir.

Veri sorumluları, Kişisel Verilerin Korunması Kanunu ve kişisel verilerin korunması ile ilgili diğer mevzuat kapsamında; aydınlatma, açık rıza alma, kişisel verilerin güvenliğini sağlama gibi yükümlülüklere uygun davranmakla yükümlüdür. Bu yükümlülüklerin yerine getirilmesi ile ilgili olarak ispat yükü veri sorumlularına ait olacaktır.

Veri sorumlularının mevzuata uyumu, gerektiği durumlarda uyumluluğun ispatı ve Kişisel Verileri Koruma Kurumu gibi bağımsız düzenleyici otoritelerinin etkin bir şekilde denetim yapabilmesi için, veri sorumlularının hesap verilebilirlik ilkesine uygun olarak hareket etmesi gerekmektedir. Hesap verilebilirlik ilkesi, hem başta Kişisel Verilerin Korunması Kanunu kapsamında düzenlenen genel ilkelerden doğrudan veya dolaylı olarak beslenmekte hem de bu ilkeleri desteklemektedir.

Uluslararası Düzenlemelerde Hesap Verilebilirlik İlkesi

İktisadi ve İş Birliği ve Kalkınma Teşkilatı (OECD) tarafından 23 Eylül 1980 tarihinde kabul edilen ve kişisel verilerin korunması konusunda öncü metinlerden biri olan Özel Yaşamın Gizliliğinin ve Sınır Aşan Kişisel Veri Dolaşımının Korunmasına İlişkin Rehber İlkeler kapsamında, veri toplamanın sınırlı olması, kullanımın sınırlanması, amacın belirliliği, veri niteliği, veri güvenliği, şeffaflık, kişisel katılım ve hesap verilebilirlik gibi ilkeler belirlenmiştir. Hesap verilebilirlik ilkesi ise, “Veri sorumluları, Rehber İlkeler kapsamında yer alan ilkelere uygun davranmaması durumunda sorumlu tutulmalıdır” şeklinde ifade edilmiştir. Bununla birlikte, 2013 yılında ilkeler gözden geçirilmiş ve hesap verilebilirlik ilkesi, “Veri sorumluları, Rehber İlkeler kapsamında yer alan ilkelerin gerçekleştirilebilmesi için bütün tedbirlere uygun davranmakla yükümlüdür.” olarak değiştirilmiştir.

OECD, hesap verilebilirlik ilkesinin gün geçtikçe önem kazandığını ve veri sorumlularının kişisel verilerin korunması ile ilgili olarak sorumluluklarını geliştirmek için kullanılan bir araca dönüştüğü görüşünü savunmaktadır. Nitekim, veri sorumluları, kişisel verilerin korunması ile ilgili mevzuat uyarınca kendi denetimi altındaki kişisel verilerin korunmasını sağlamak için kendi içerisinde hesap verilebilirlik ile ilgili mekanizmalar oluşturması gerekmektedir. Hesap verilebilirlik ilkesi uyarınca, veri sorumluları, herhangi bir veri ihlali gerçekleşmeden veya mevzuat ile uyumsuzluk iddiasında bulunulmadan, kişisel verilerin korunması ile ilgili yükümlülüklerini yerine getirmeli ve gerektiği durumlarda yükümlülüklerin yerine getirildiğini ispat edebilecek durumda olmalıdır.

Uluslararası Standardizasyon Kurumu (ISO) tarafından hazırlanan ve bilişim sistemlerinde kişisel verilerin korunması ile ilgili standartları düzenleyen “ISO/IEC 29100 – Bilgi Teknolojileri – Güvenlik Teknikleri – Gizlilik Çerçevesi” kapsamında hesap verilebilirlik ilkesi düzenlenmiştir. Buna göre, hesap verilebilirlik ilkesinin gerekliliklerinin yerine getirilebilmesi için dokuz farklı eylem sıralanmıştır:

• Gizlilikle ilgili tüm politikaların, prosedürlerin, uygulamaların belgelenmesi ve yayımlanması
• Organizasyon dâhilinde belirli bir kişiye (ya da uygun olduğu ölçüde organizasyon dışında başka kişi veya kişilere) gizlilikle ilgili politikaların, prosedürlerin ve uygulamaların icra edilmesi görevinin verilmesi
• Kişisel veriler üçüncü kişilere aktarılırken, sözleşmeler veya zorunlu iç politikalar gibi diğer yöntemler aracılığıyla, alıcı üçüncü kişinin aynı ölçüde gizliliği sağlayacağını temin etme (uygulanabilir mevzuat uluslararası veri aktarımına ilişkin ilave yükümlülükler içerebilir)
• Kişisel verilere erişecek veri sorumlusu çalışanlarına uygun eğitimin verilmesi
• Etkin bir iç şikâyet yönetim ve tazmin prosedürü oluşturulması
• Esaslı zarara yol açabilecek gizlilik ihlalleri ve çözüm için alınan tedbirler hakkında (yasaklanmamış olma şartıyla) ilgilileri bilgilendirme
• Bazı hukuki rejimlerde zorunlu olduğu üzere ve ilgili riskin seviyesine bağlı olarak, ilgili (Kişisel Verileri Koruma Kurumu gibi) tüm gizlilik paydaşlarına gizlilik ihlallerine ilişkin bildirim yapma
• Şikâyet eden ilgili kişilerin uygun ve etkin yaptırımlara sahip olmasına ve/veya gizlilik ihlali ortaya çıkmışsa düzeltme, silme eski hâle iade gibi tazmin yollarına erişmesine izin verme
• Gerçek kişinin gizlilik ihlali olmadan önceki döneme getirmek zor veya imkansızsa bu tür durumlara yönelik tazminat prosedürlerini geliştirme

Kişisel verilerin korunması ile ilgili olarak hesap verilebilirlik ilkesi, yukarıda uluslararası metinlere ek olarak, Avrupa Birliği Genel Veri Koruma Tüzüğü‘nün 5’inci maddesinde kişisel verilerin işlenmesine ilişkin ilkeler kapsamında düzenlenmiştir. Madde hükmünde hukuka uygunluk, adalet ve şeffaflık ilkesi, amacın sınırlandırılması ilkesi, verilerin en az seviyeye indirilmesi (veri minimizasyonu) ilkesi, doğruluk ilkesi, saklama süresinin sınırlandırılması ilkesi ile bütünlük ve gizlilik ilkeleri sayılmıştır. Son olarak ise, veri sorumlularının bu sayılan ilkelere uygun davranmakla sorumlu olduğu ve bu ilkelere uygun davranabildiğini gösterebilmesi gerektiği belirtilerek hesap verilebilirlik ilkesi düzenlenmiştir. Hesap verilebilirlik ilkesi ile birlikte, kişisel verilerin korunması alanında, devletler tarafından denetlenme yerine, veri sorumlusu ya da veri işleyenin sorumluluğu üstlendiği bir anlayışa geçilmiştir.

Kişisel Verilerin Korunması Kanunu kapsamında Hesap Verilebilirlik İlkesi

6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında, kişisel verilerin işlenmesi ile ilgili hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkeleri sayılmış fakat hesap verilebilirlik ilkesine yer verilmemiştir. Kişisel Verilerin Korunması Kanunu, 95/46 sayılı Avrupa Birliği Veri Koruma Direktifi temel alınarak hazırlanmış bir kanundur. Bu sebeple, Avrupa Birliği Genel Veri Koruma Tüzüğü‘nden farklı olarak şeffaflık ilkesi ile birlikte hesap verilebilirlik ilkesi Kişisel Verilerin Korunması Kanunu kapsamında yer almamaktadır.

Kişisel Verilerin Korunması Kanunu kapsamında zikredilmemesine rağmen, Kişisel Verileri Koruma Kurumu şeffaflık ve hesap verilebilirlik ilkelerine büyük önem atfetmektedir. Nitekim, Kişisel Verileri Koruma Kurumunun temel ilke ve değerleri arasında “şeffaflık ve hesap verilebilirlik” sayılmakta ve bağlayıcı şirket kuralları ile ilgili olarak Kişisel Verileri Koruma Kurumu tarafından hazırlanan “Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman” kapsamında uyumluluk kriterleri arasında hesap verilebilirlik ilkesine yer vermektedir.

Yardımcı Doküman kapsamında hesap verilebilirlik ilkesi ile ilgili açıklamalar yapılmıştır. Bu açıklamalardan yola çıkılarak, hesap verilebilirlik ilkesi ile ilgili olarak şu çıkarımları yapmak mümkündür:

• Veri sorumluları, kişisel verilerin korunması ile ilgili hükümlere uyum göstermekle yükümlü ve sorumludur.
• Uyumun sağlanabilmesi için veri sorumlularının, tüm kategorilerdeki veri işleme faaliyetlerinin elektronik yöntemler de dâhil olmak üzere yazılı şekilde kaydını tutması ve talep hâlinde Kişisel Verileri Koruma Kurumuna sunması gerekmektedir.
• Uyumluluğun artırılması ve gerektiğinde, gerçek kişilerin hak ve özgürlükleri bakımından yüksek risk oluşturması muhtemel olan veri işleme faaliyetleri için risk analizi yapılmalıdır. Yapılan risk analizine göre, veri sorumlusu tarafından riski hafifletmek için gerekli tedbirlerin alınmamış olması ve veri işlemenin yüksek risk doğuracağının ortaya çıkması durumunda, veri işleme faaliyetinden önce Kişisel Verileri Koruma Kurumuna danışılması izlenecek yöntemlerden biri olabilir.
• Veri koruma ilkelerini uygulamak ve uygulamada kişisel verilerin korunması ile ilgili hükümler tarafından belirlenen gereksinimlere uyumu kolaylaştırmak için uygun teknik ve idari tedbirler alınmalıdır.

Hesap verilebilirlik ilkesi, Veri Sorumluları Sicili açısından da önem taşımaktadır. Kişisel Verileri Koruma Kurumu, Veri Sorumluları Sicilinin kamuya açık tutulması ve Veri Sorumluları Siciline girilen bilgilerin görüntülenebilmesini şeffaflık ve hesap verilebilirlik ilkesinin bir gereği olarak görmektedir. Bununla birlikte, Veri Sorumluları Sicili kişisel verilerin işlenmesi ile ilgili detaylı bir envanter sunmamaktadır. Bu sebeple, hesap verilebilirlik ile ilgili olarak esas önem teşkil eden araçlar, kişisel veri işleme envanteri ve kişisel veri saklama ve imha politikası, gizlilik politikası, çerez politikası gibi kişisel verilerin korunması ile ilgili politikalardır.