KVKK Kapsamında Veri Sorumlusunun Yükümlülükleri
Kişisel verilerin korunması, temel hak ve özgürlüklerin korunması kapsamında değerlendirilen, bireyin mahremiyetine ilişkin anayasal bir güvence olarak hukuki sistemimizde önemli bir yer tutmaktadır. 6698 sayılı Kişisel Verilerin Korunması Kanunu (bundan sonra “KVKK” olarak anılacaktır), bireylerin kişisel verilerinin işlenmesinde temel ilkeleri ve sınırlamaları belirleyen, özel hukuk ve kamu hukuku alanında uygulama alanı bulan, karma nitelikli bir düzenlemedir. Bu Kanun kapsamında veri sorumlusuna önemli yükümlülükler yüklenmiştir. İşbu makale, veri sorumlusunun yükümlülüklerini hukuki ve sistematik bir biçimde incelemek, uygulamada karşılaşılan temel sorunlara ışık tutmak amacıyla kaleme alınmıştır.
Veri Sorumlusu Kavramı
KVKK’nın 3. maddesinde veri sorumlusu, kişisel verilerin işleme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır. Bu tanım gereği veri sorumlusu, veri işleme faaliyetlerinin hukuka uygun şekilde yürütülmesinden birinci derecede sorumludur.
1. Aydınlatma Yükümlülüğü
KVKK’nın 10. maddesi uyarınca veri sorumlusu, kişisel verilerin elde edilmesi sırasında ilgili kişiyi aydınlatmakla yükümlüdür. Aydınlatma yükümlülüğü, yalnızca veri toplama anında değil, ayrıca verilerin işlenmesi sürecinde de yerine getirilmelidir.
Aydınlatma kapsamında şu hususlar açıkça belirtilmelidir:
-
Veri sorumlusunun kimliği,
-
Kişisel verilerin hangi amaçla işleneceği,
-
İşlenen verilerin kimlere ve hangi amaçla aktarılabileceği,
-
Veri toplamanın yöntemi ve hukuki sebebi,
-
İlgili kişinin KVKK madde 11 kapsamında sahip olduğu haklar.
Aydınlatma yükümlülüğü ile ilgili Yargıtay uygulamasında, rıza alınmadan önce ilgili kişiye açık, anlaşılır ve kolay erişilebilir bir şekilde bilgilendirme yapılmaması, açık rızanın geçersiz olmasına neden olarak değerlendirilmiştir. Zira bilgilendirme yapılmadan alınan rıza, hukuki sonuç doğurmaz.
2. Veri Güvenliğini Sağlama Yükümlülüğü
KVKK’nın 12. maddesine göre, veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı erişilmesini önlemek ve bu verilerin muhafazasını sağlamakla yükümlüdür.
Veri güvenliğini sağlamak amacıyla veri sorumlusunun:
-
Kendi kurum veya kuruluşunda gerekli denetimleri yapması veya yaptırması,
-
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu ilgilisine ve Kurul’a bildirmesi gerekmektedir.
Yargıtay içtihatlarında, kişisel verilerin siber saldırılar, iç tehditler veya üçüncü kişi ihmalleri nedeniyle sızdırılması durumlarında veri sorumlusunun kusursuz sorumluluk prensibi kapsamında sorumlu tutulabileceği belirtilmiştir.
3. Veri İşleyenlerle İlişkili Yükümlülükler
KVKK sistematiği içerisinde veri sorumlusu ile veri işleyen arasında kurulan ilişki, sorumluluğun devredilmediği ancak teknik ve organizasyonel tedbirlerin paylaşılabileceği bir iş bölümüdür. Veri sorumlusu, veri işleyenin de Kanuna uygun davranmasını sağlamakla yükümlüdür.
Veri işleyene kişisel veri aktaran veri sorumlusu, denetim yükümlülüğünü yerine getirmeli, sözleşmelerde açık hükümlerle veri güvenliğini düzenlemelidir. Aksi halde, veri işleyenin eylemlerinden de sorumlu tutulabilecektir.
4. Kişisel Verileri Koruma Kurulu Tarafından Verilen Kararların Yerine Getirilmesi Yükümlülüğü
KVKK’nın 15. maddesi uyarınca Kişisel Verileri Koruma Kurulu’nun (Kurul) yapmış olduğu denetimlerde veya ilgili kişilerin şikayet başvuruları neticesinde verdiği kararlara karşı veri sorumlusunun yükümlülüğü doğar. Kurul kararlarının uygulanmaması, hem idari para cezası hem de cezai sorumluluğa konu olabilir.
5. Kişisel Veri Envanteri Hazırlama ve VERBİS’e Kayıt Yükümlülüğü
KVKK kapsamında öngörülen bir diğer yükümlülük, Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt zorunluluğudur. Bu kapsamda veri sorumlusu, kişisel veri envanteri hazırlamak, işleme faaliyetlerini sistematik şekilde belirlemek ve bu faaliyetleri VERBİS’e aktarmakla mükelleftir.
Ancak bazı durumlarda Kurul, istisna kararı ile belirli büyüklükteki ya da nitelikteki veri sorumlularını bu yükümlülükten muaf tutabilir. Yine de, yükümlülükten istisna olunması, Kanunun diğer hükümlerinden istisna anlamına gelmemektedir.
6. Açık Rıza Dışındaki İşleme Şartlarına Uygunluk
KVKK’nın 5. ve 6. maddelerinde düzenlenen kişisel ve özel nitelikli kişisel veri işleme şartları, açık rızanın alınamadığı durumlarda veri sorumlusuna yüklenen yükümlülüklerin temelini oluşturur. Açık rıza olmadan yapılan veri işleme faaliyetlerinde; hukuki yükümlülük, sözleşmenin kurulması veya ifası, temel hakların tesisi gibi şartlardan birine dayanılması zorunludur. Aksi halde veri işleme faaliyetleri hukuka aykırı kabul edilir.
7. İlgili Kişi Başvurularına Yanıt Verme Yükümlülüğü
KVKK madde 13’e göre ilgili kişiler, veri sorumlusuna başvurarak kişisel verileriyle ilgili bilgi talep etme, düzeltilmesini, silinmesini, işlenmemesini isteme gibi haklara sahiptir. Veri sorumlusu, bu başvurulara 30 gün içinde cevap vermekle yükümlüdür.
Kurul, bu sürede yanıt verilmemesini idari yaptırım sebebi saymakta ve ilgilinin başvurusunu doğrudan kendisine taşıyabileceğini kabul etmektedir.
8. Kişisel Verilerin Yurtdışına Aktarılması ve Yükümlülükler
KVKK’nın 9. maddesine göre kişisel verilerin yurtdışına aktarılması, ilgili kişinin açık rızasına dayanmakla birlikte, açık rıza dışında kalan hallerde Kurul’un belirleyeceği ülkeler ve güvenlik tedbirlerine uygunluk şartına bağlıdır. Veri sorumlusu, kişisel verilerin üçüncü ülkelere aktarımında, alıcı ülkenin yeterli koruma sağlamasını garanti altına almakla yükümlüdür.
KVKK kapsamında veri sorumlusuna yüklenen yükümlülükler, sadece teknik veya prosedürel değil, aynı zamanda hukuki ve ahlaki bir sorumluluğu da kapsamaktadır. Veri sorumlusu, veri işleme faaliyetlerini yürütürken yalnızca Kanun’un harfiyen uygulanmasına değil, aynı zamanda Anayasa’da güvence altına alınan temel hak ve özgürlüklerin ihlal edilmemesine dikkat etmekle mükelleftir.
Günümüz dünyasında verinin gücü, klasik mal veya hizmetlerden çok daha fazlasını ifade eder hale gelmiştir. Bu nedenle, veri sorumlusunun yükümlülükleri sadece birer idari formalite değil, modern toplumun temel yapı taşlarından biri olan birey mahremiyetinin korunmasına hizmet eden hukuki sorumluluklardır. Uygulamada veri sorumlularının, bu yükümlülüklere uymaması halinde ciddi yaptırımların uygulanacağı unutulmamalıdır. Zira mahremiyetin ihlali, yalnızca bireysel değil, toplumsal güveni sarsan bir sorundur.
KVKK Kapsamında Veri Sorumlusunun Yükümlülükleri
Kişisel verilerin korunması, temel hak ve özgürlüklerin korunması kapsamında değerlendirilen, bireyin mahremiyetine ilişkin anayasal bir güvence olarak hukuki sistemimizde önemli bir yer tutmaktadır. 6698 sayılı Kişisel Verilerin Korunması Kanunu (bundan sonra “KVKK” olarak anılacaktır), bireylerin kişisel verilerinin işlenmesinde temel ilkeleri ve sınırlamaları belirleyen, özel hukuk ve kamu hukuku alanında uygulama alanı bulan, karma nitelikli bir düzenlemedir. Bu Kanun kapsamında veri sorumlusuna önemli yükümlülükler yüklenmiştir. İşbu makale, veri sorumlusunun yükümlülüklerini hukuki ve sistematik bir biçimde incelemek, uygulamada karşılaşılan temel sorunlara ışık tutmak amacıyla kaleme alınmıştır.
Veri Sorumlusu Kavramı
KVKK’nın 3. maddesinde veri sorumlusu, kişisel verilerin işleme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır. Bu tanım gereği veri sorumlusu, veri işleme faaliyetlerinin hukuka uygun şekilde yürütülmesinden birinci derecede sorumludur.
1. Aydınlatma Yükümlülüğü
KVKK’nın 10. maddesi uyarınca veri sorumlusu, kişisel verilerin elde edilmesi sırasında ilgili kişiyi aydınlatmakla yükümlüdür. Aydınlatma yükümlülüğü, yalnızca veri toplama anında değil, ayrıca verilerin işlenmesi sürecinde de yerine getirilmelidir.
Aydınlatma kapsamında şu hususlar açıkça belirtilmelidir:
-
Veri sorumlusunun kimliği,
-
Kişisel verilerin hangi amaçla işleneceği,
-
İşlenen verilerin kimlere ve hangi amaçla aktarılabileceği,
-
Veri toplamanın yöntemi ve hukuki sebebi,
-
İlgili kişinin KVKK madde 11 kapsamında sahip olduğu haklar.
Aydınlatma yükümlülüğü ile ilgili Yargıtay uygulamasında, rıza alınmadan önce ilgili kişiye açık, anlaşılır ve kolay erişilebilir bir şekilde bilgilendirme yapılmaması, açık rızanın geçersiz olmasına neden olarak değerlendirilmiştir. Zira bilgilendirme yapılmadan alınan rıza, hukuki sonuç doğurmaz.
2. Veri Güvenliğini Sağlama Yükümlülüğü
KVKK’nın 12. maddesine göre, veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı erişilmesini önlemek ve bu verilerin muhafazasını sağlamakla yükümlüdür.
Veri güvenliğini sağlamak amacıyla veri sorumlusunun:
-
Kendi kurum veya kuruluşunda gerekli denetimleri yapması veya yaptırması,
-
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu ilgilisine ve Kurul’a bildirmesi gerekmektedir.
Yargıtay içtihatlarında, kişisel verilerin siber saldırılar, iç tehditler veya üçüncü kişi ihmalleri nedeniyle sızdırılması durumlarında veri sorumlusunun kusursuz sorumluluk prensibi kapsamında sorumlu tutulabileceği belirtilmiştir.
3. Veri İşleyenlerle İlişkili Yükümlülükler
KVKK sistematiği içerisinde veri sorumlusu ile veri işleyen arasında kurulan ilişki, sorumluluğun devredilmediği ancak teknik ve organizasyonel tedbirlerin paylaşılabileceği bir iş bölümüdür. Veri sorumlusu, veri işleyenin de Kanuna uygun davranmasını sağlamakla yükümlüdür.
Veri işleyene kişisel veri aktaran veri sorumlusu, denetim yükümlülüğünü yerine getirmeli, sözleşmelerde açık hükümlerle veri güvenliğini düzenlemelidir. Aksi halde, veri işleyenin eylemlerinden de sorumlu tutulabilecektir.
4. Kişisel Verileri Koruma Kurulu Tarafından Verilen Kararların Yerine Getirilmesi Yükümlülüğü
KVKK’nın 15. maddesi uyarınca Kişisel Verileri Koruma Kurulu’nun (Kurul) yapmış olduğu denetimlerde veya ilgili kişilerin şikayet başvuruları neticesinde verdiği kararlara karşı veri sorumlusunun yükümlülüğü doğar. Kurul kararlarının uygulanmaması, hem idari para cezası hem de cezai sorumluluğa konu olabilir.
5. Kişisel Veri Envanteri Hazırlama ve VERBİS’e Kayıt Yükümlülüğü
KVKK kapsamında öngörülen bir diğer yükümlülük, Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt zorunluluğudur. Bu kapsamda veri sorumlusu, kişisel veri envanteri hazırlamak, işleme faaliyetlerini sistematik şekilde belirlemek ve bu faaliyetleri VERBİS’e aktarmakla mükelleftir.
Ancak bazı durumlarda Kurul, istisna kararı ile belirli büyüklükteki ya da nitelikteki veri sorumlularını bu yükümlülükten muaf tutabilir. Yine de, yükümlülükten istisna olunması, Kanunun diğer hükümlerinden istisna anlamına gelmemektedir.
6. Açık Rıza Dışındaki İşleme Şartlarına Uygunluk
KVKK’nın 5. ve 6. maddelerinde düzenlenen kişisel ve özel nitelikli kişisel veri işleme şartları, açık rızanın alınamadığı durumlarda veri sorumlusuna yüklenen yükümlülüklerin temelini oluşturur. Açık rıza olmadan yapılan veri işleme faaliyetlerinde; hukuki yükümlülük, sözleşmenin kurulması veya ifası, temel hakların tesisi gibi şartlardan birine dayanılması zorunludur. Aksi halde veri işleme faaliyetleri hukuka aykırı kabul edilir.
7. İlgili Kişi Başvurularına Yanıt Verme Yükümlülüğü
KVKK madde 13’e göre ilgili kişiler, veri sorumlusuna başvurarak kişisel verileriyle ilgili bilgi talep etme, düzeltilmesini, silinmesini, işlenmemesini isteme gibi haklara sahiptir. Veri sorumlusu, bu başvurulara 30 gün içinde cevap vermekle yükümlüdür.
Kurul, bu sürede yanıt verilmemesini idari yaptırım sebebi saymakta ve ilgilinin başvurusunu doğrudan kendisine taşıyabileceğini kabul etmektedir.
8. Kişisel Verilerin Yurtdışına Aktarılması ve Yükümlülükler
KVKK’nın 9. maddesine göre kişisel verilerin yurtdışına aktarılması, ilgili kişinin açık rızasına dayanmakla birlikte, açık rıza dışında kalan hallerde Kurul’un belirleyeceği ülkeler ve güvenlik tedbirlerine uygunluk şartına bağlıdır. Veri sorumlusu, kişisel verilerin üçüncü ülkelere aktarımında, alıcı ülkenin yeterli koruma sağlamasını garanti altına almakla yükümlüdür.
KVKK kapsamında veri sorumlusuna yüklenen yükümlülükler, sadece teknik veya prosedürel değil, aynı zamanda hukuki ve ahlaki bir sorumluluğu da kapsamaktadır. Veri sorumlusu, veri işleme faaliyetlerini yürütürken yalnızca Kanun’un harfiyen uygulanmasına değil, aynı zamanda Anayasa’da güvence altına alınan temel hak ve özgürlüklerin ihlal edilmemesine dikkat etmekle mükelleftir.
Günümüz dünyasında verinin gücü, klasik mal veya hizmetlerden çok daha fazlasını ifade eder hale gelmiştir. Bu nedenle, veri sorumlusunun yükümlülükleri sadece birer idari formalite değil, modern toplumun temel yapı taşlarından biri olan birey mahremiyetinin korunmasına hizmet eden hukuki sorumluluklardır. Uygulamada veri sorumlularının, bu yükümlülüklere uymaması halinde ciddi yaptırımların uygulanacağı unutulmamalıdır. Zira mahremiyetin ihlali, yalnızca bireysel değil, toplumsal güveni sarsan bir sorundur.
KVKK , Veri Sorumlusu , Yükümlülük , Kişisel Veriler , Veri İşleme , Veri Koruma , Aydınlatma , İzleme , Denetleme , Uyum" , "refusal": null , "annotations": [] ,
