Mobile logo
Top

ÜYE LİSTELERİ İLE GELEN BÜYÜK TEHLİKE

Veri Koruma Yazı

ÜYE LİSTELERİ İLE GELEN BÜYÜK TEHLİKE

Kamu görevlilerinin üye oldukların sendikaların liste halinde paylaşılması ciddi bir veri güvenliği riski ve hatta veri ihlaline sebep oluyor. Ve farkında olmasalar da üniversiteler ateş hattında

Kişisel verilerin korunması konusunun yalnızca belirli bir büyüklüğün üzerindeki şirketler ve özel kuruluşlar olduğu yönünde yanlış ama yaygın bir kanaat oluştuğunu görebiliyoruz. Bunun sebeplerinden birisi veri sorumluları siciline (VERBİS) kayıt zorunluluğunun getirilmiş olması. Bildirimin zorunu olması, bildirimde bulunmak için bir son gün belirlenmiş olması ve zamanında bildirimde bulunulmaması halinde kesilecek cezaların yarattığı kaygıdan olsa gerek, kamu oyunda kişisel verilerin korunması konusunun yalnızca VERBİS’ten ibaret olduğu ve bunun da yalnızca belirli büyüklükteki firmaları ilgilendirdiği yönünde yanlış bir fikir ortaya çıkmış oldu.
Oysa kişisel veriler sadece özel sektörü değil kişisel veri işleyen tüm gerçek ve tüzel kişileri ilgilendiren bir konu. En yoğun kişisel veri işleyenler arasında yer alan kamu kurumları ve sivil toplum kuruluşları da doğal olarak bu denklemin bir parçası.

SENDİKALAR VE KİŞİSEL VERİLER

İşçi ve memur sendikaları da on milyonlarca kişinin verisini işleyen kuruluşlar olarak kişisel verileri koruma rejimine uyum sağlamak mecburiyetinde. Bu yazımızda memur sendikalarını ilgilendiren bir soruna değineceğiz. Bu sorun aslında iki kanun arasındaki çelişkiden ortaya çıkıyor ve çözülebilmesi için tek yol yasa koyucunun yapacağı düzeltmeler olabilir. 

İKİ YASA ARASINDA UYUŞMAZLIK 

Pek kimse fark etmemiş olsa da memur sendikaları tabi oldukları 4688 Sayılı “Kamu Görevlileri Sendikaları ve Toplu Sözleşme Kanunu” ile  n 6698 Sayılı Kişisel Verileri Koruma Kanunu ile arasında kalmış durumda. Bunun nasıl olduğunu birlikte görelim. 

4688 Sayılı kanunun 25 maddesinin 2 fıkrası şöyledir.  

 “Madde 25- (Değişik: 24/6/2004-5198/4 md.) Kamu görevlileri sendikasına, kamu görevlisinin ödeyeceği üyelik ödentileri, …. sendikaların banka hesaplarına yatırılır ve ödenti listesinin bir örneği ilgili sendikaya gönderilir. Kamu işvereni, sendikaya üye olan ve üyelik ödentisi kesilen kamu görevlilerinin listesini her ayın son haftasında, işyerinde herkesin görebileceği yerde ve kurumsal düzeyde duyurulabilecek diğer araçlarla ilan eder.” 

Buraya kadar her şey normal gibi görünüyor, değil mi? Kurum ve kuruluşlar sendikaların üye listelerini TC KİMLİK numaraları ile birlikte kurum panolarına asıyor. Bunu yaparken de 4688 sayılı yasanın emrini yerine getirmiş oluyorlar. Oysa 6698 sayılı Kişisel Verilerin Korunması Kanunun 6. maddesi dernek, vakıf veya sendika üyeliğini “özel nitelikli kişisel veri” olarak tanımlıyor. Yine aynı maddenin ikinci fıkrasına göre ise özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaklanıyor. Takdir edersiniz ki işlenmesi bile açık rıza olmadan yasak olan “özel nitelikli verilerin” bu şekilde alenen paylaşılması daha büyük bir sorun. Bir veriyi özel nitelikli yapan şey, bu veri kullanılarak kişinin maddi ve manevi olarak uğratılabileceği zararın çok büyük olması -örneğin kişinin ayrımcılığa uğraması, dışlanması, bazı haklardan yararlanmasının engellenmesi-.

SENDİKA LİSTELERİNİN ALENEN PAYLAŞILMASI

Ancak sorun burayla sınırlı kalmıyor. Yine aynı yasanın yani 4688 sayılı yasanın aynı maddesine dayanan başta üniversiteler olmak üzere bazı kurumlar ise 4688 sayılı yasanın tanımladığı sınırları da aşarak farkında olmadan 6698 sayılı yasa kapsamında ciddi bir veri ihlali yapıyorlar. 4688 sayılı yasanın 25. maddesinde belirtilen iki ilan yöntemi bulunuyor. Birincisi işyerinde herkesin görebileceği bir yere asmak. Diğeri ise “kurumsal düzeyde duyurulabilecek diğer araçlarla” ilan etmek. 

Özellikle üniversiteler olmak üzere bazı kurumlar 25. maddede belirtilen (“kurumsal düzeyde duyurulabilecek diğer araçlarla”) tanımını geniş yorumlayarak, kişilerin hangi sendikalara üye olduklarını sadece kurum içindekilerin görebilecekleri araçlarla değil, tüm halkın görebileceği bir yerde yani halka açık kurumsal internet sayfalarında  tabiri caizse çarşaf çarşaf yayınlamaktadır.

Duyurma işinin biraz abartıldığını düşünmekteyim. Aslında benim ne düşündüğümden ziyade Kişisel Veriler Koruma Kanununun bu konuya nasıl baktığına bakmak gerekir. 

Yukarıda da söylediğimiz gibi 6698 sayılı kanunda özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiştir. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da SENDİKA ÜYELİĞİ, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Kanun bu tür verileri tek tek ve ismen saydığı ve benzeri gibi ifadelerle listeyi esnetmediği için özel nitelikli kişisel verilerin kıyas yoluyla genişletilmesi, yorum yapılarak bu listeye yeni veri türlerinin eklenmesi mümkün değildir.

HIZLI ÇÖZÜM

Şimdi sorulması gereken soru şu;  Kurumlar öyle veya böyle üye listelerini 4688 sayını kanuna göre yayınlarken, 6698 sayılı KVK Kanununa göre kişilerin ÖZEL NİTELİKLİ verilerini hem de internette yayınlayarak suç işlemiş ve veri ihlali yapmış olmuyor mu? 

Kanunlar arasındaki bu  kargaşanın ortadan kalkması için bir an önce eski kanunların 6698 Sayılı Kanuna göre revizyonları yapılmak zorundadır. Burada birbiriyle çelişen iki yasa söz konusu olduğu için bu sorunlu uygulamanın çözülmesini bireylerden veya her iki yasaya uyması gereken kurum ve kuruluşlardan beklememek gerekir. Burada muhatap doğal olarak yasa koyucu yani Türkiye Büyük Millet Meclisi’dir. Ancak kurum ve kuruluşlar bu sorunun büyüklüğünden ve öneminden bahsederek yasa koyucuyu sorunu çözmesi için yönlendirebilirler.

Ama ikinci durum, yani çalışanların üye oldukları sendikaların listeler halinde “kanunun yaptığı tanımın” da ötesine geçilerek tüm kamuoyu ile paylaşılması çok daha vahim bir durumdur. Bununla birlikte çözülmesi en kolay olan sorun da budur. Üniversiteler ve sendika listelerini benzer şekilde paylaşan kuruluşlar, hemen şimdi bu listeleri internet sitelerinde yayınlamaktan vaz geçebilirler. 

Sendikalara ve listeleri yayınlayan kurum ve kuruluşlara listeler konusunda biraz daha hassas davranmaları gerektiğini hatırlatmak isterim. Şimdilik interneten yayınlayıp risk almak yerine iş yerindeki panolara listeler asılarak riski azaltabilirler. Büyük ihtimalle yasa koyucu kanunları değiştirdiğinde bu konu da dikkate alınacaktır.

8 Ocak 2020
2
0
özel nitelikli veri sendika üniversite veri ihlali
Related Posts
VERİ İHLAL KARARLARI ADİL Mİ? (1)
 8 Mart 2021
Google Çerezleri Devlet İnternet Sitelerinde
 13 Eylül 2020
Önce Sağlık, ya da Veri Güvenliği
 22 Haziran 2020
Harun Doğan
Harun Doğan
Yorum Bulunmuyor

Yorum Yapın