WeCreativez WhatsApp Support
Whatsapp ile Ulaşın
Merhaba, size nasıl yardımcı olabiliriz?

Veri Sorumlusu Ve Yükümlülükleri

Gündelik hayatta yaptığımız birçok işlemde kişisel verilerimizi karşı tarafla paylaşmak durumunda kalıyoruz. Özellikle modern çağın hızıyla birlikte artan bu durum, kişisel verilerin devlet eliyle korunması ihtiyacını doğurmuştur. Bu ihtiyaçtan hareketle yürürlüğe konulan 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında veri sorumlularının çeşitli yükümlülükleri bulunmaktadır.

Veri Sorumlusu İle Veri İşleyen Kavramları

Veri sorumlusunun yükümlülüklerine geçmeden önce, uygulamada sıkça karıştırılan “veri sorumlusu” ve “veri işleyen” kavramlarını incelemek gerekir. Veri işleme faaliyetinden doğan yükümlülüklerin kime ait olduğunu belirlemek açısından bu ayrım son derece önemlidir.

Veri sorumlusu KVKK m.3/1 (ı) bendinde şu şekilde tanımlanmıştır: “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.”

Bu tanıma göre hem gerçek hem de tüzel kişiler veri sorumlusu olabilir. Şirketler, dernekler, vakıflar ve kamu kurumları tüzel kişi veri sorumluları olarak karşımıza çıkabilir. Veri sorumlusu, veri işleme faaliyetinin hangi sebeple ve yöntemle yapılacağına karar veren kişidir. Veri işleme faaliyetini yapan tüzel kişi ise bu durumda veri sorumlusu tüzel kişinin kendisi olur. Tüzel kişiliğin içerisindeki veri işleme faaliyetini yapan kişiler veri sorumlusu sayılmazlar. Bir diğer deyişle veri sorumlusu olan tüzel kişinin veri işleme faaliyetlerini gerçekleştirmesi için gerçek kişileri görevlendirmesi, tüzel kişiliğin veri sorumlusu olarak yükümlülüklerini ortadan kaldırmaz. Bu konuda kamu hukuku tüzel kişileri ile özel hukuk tüzel kişileri arasında herhangi bir ayrım olmayıp her iki grup da aynı kurallara tabidir.

Veri işleyen ise veri sorumlusu adına fiili olarak verileri işler; gerçek veya tüzel kişi olabilir. Bunu yaparken veri sorumlusunun verdiği talimatlara uyar. Buna göre veri işleyen, veri işlemenin uygulama kısmındadır ve veri sorumlusundan aldığı talimatları yerine getirir. Bu nedenledir ki kişisel veri işleme faaliyetlerinin hukuka uygun olarak yerine getirilmesi konusunda sorumluluk veri sorumlusuna aittir.

Veri Sorumlusunun Yükümlülükleri Nelerdir?

KVKK kapsamında veri sorumlusunun uyması gereken yükümlülükler şunlardır:

Aydınlatma yükümlülüğü:

Veri sorumlusunun aydınlatma yükümlülüğü KVKK m.10’da şu şekilde düzenlenmiştir:

“Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

  1. Veri sorumlusunun ve varsa temsilcisinin kimliği,
  2. Kişisel verilerin hangi amaçla işleneceği,
  3. İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  4. Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  5. 11 inci maddede sayılan diğer hakları,

konusunda bilgi vermekle yükümlüdür.”

Belirtmek gerekir ki aydınlatma yükümlülüğü veri işleme faaliyetinin hukuka uygunluğu açısından önemli bir unsurdur. Şöyle ki veri işleme faaliyetinin hukuka uygun olması için veri sahibinin açık rızasının alınması ön koşuldur. Veri sahibinin vereceği açık rızanın geçerlilik koşullarından biri de veri sorumlusu tarafından aydınlatma yükümlülüğünün yerine getirilmiş olmasıdır. Veri sorumlusu tarafından gereken bilgilendirme yapılmaksızın verilen rıza geçerli olmayacaktır. Dolayısıyla yapılan veri işleme faaliyeti hukuka aykırılık teşkil edecektir. Bu nedenle veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmiş olması, veri işleme faaliyetinin geçerlilik kriterlerinden biridir.

Veri sorumluları, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’den aydınlatma yükümlülüğü kapsamında nelere dikkat etmeleri gerektiği bilgisine ulaşabilirler. Aydınlatma yükümlülüğünün sözlü veya yazılı şekilde yerine getirilmesi mümkündür. Ayrıca çağrı merkezi üzerinden ses kaydı gibi elektronik ya da fiziksel ortam da kullanılabilir. Ancak yaşanabilecek olası ihtilafların önüne geçmek için aydınlatma yükümlülüğünün yazılı olarak yerine getirilmesi pratik olacaktır. İhtilaf yaşanması durumunda veri sorumlusu, aydınlatma yükümlülüğünü yerine getirdiğini ispat etmek zorundadır.

Veri güvenliğini sağlama yükümlülüğü:

KVKK m.12 uyarınca veri sorumlusu, kişisel verileri hukuka uygun olarak saklamalıdır. Bu verilerin hukuka uygun olmayan biçimde işlenmesini ve yine bu verilere hukuk dışı bir yolla erişilmesini önlemek için gereken her türlü idari ve teknik tedbiri almakla yükümlüdür. Aksi halde KVKK kapsamında 15.000 TL ile 1.000.000 TL arasında idari para cezası ile karşı karşıya kalır.

İlgili kişiler tarafından yapılan başvuruların cevaplanması yükümlülüğü:

Veri sahipleri veri sorumlusuna başvurarak kişisel verileri üzerinde gerçekleştirilen her tür faaliyeti öğrenme hakkına haizdir. Buna göre veri sorumlusu kendisine yapılan başvuruları talebin niteliğine göre en hızlı şekilde neticelendirmek zorundadır. Başvuruların cevaplanma süresi en fazla 30 gün olabilir. Bu işlem için veri sahiplerinden herhangi bir ücret talep edilemez.

Sicile kayıt zorunluluğu:

Veri sorumlularının veri işleme faaliyetine başlayabilmek için öncelikle Veri Sorumluları Sicili’ne kayıt olmaları gerekir. Herhangi bir teknik, fiili ya da hukuki sorun nedeniyle kayıt işlemini gerçekleştiremeyen veri sorumlusu, işlemin gerçekleşmediği tarihten itibaren bir hafta içinde bunu yazılı olarak bildirmelidir. Kurul böyle bir durumda kayıt için bir defaya mahsus olmak üzere ve her halde en fazla 30 gün ek süre verebilir.

Kurula bildirim yükümlülüğü:

İşlenen kişisel veriler hukuka aykırı şekilde üçüncü kişiler tarafından ele geçirilebilir. Böyle bir durumda veri sorumlusu bunu ivedilikle Kurul’a ve veri sahibine bildirmek zorundadır. Bu bildirimle amaç veri sahiplerinin ve Kurul’un ihlalin sonuçlarına yönelik alınabilecek önlemleri almasına imkan vermek ve zararı asgari düzeyde tutmaktır. Veri sorumlusu tarafından yapılan ihlal bildirimi üzerine Kurul, internet sitesi üzerinden veya ilan yoluyla durumu kamuoyu ile paylaşır.

KVKK kapsamında veri ihlalinin veri sorumlusu tarafından veri sahibine ve Kurul’a en kısa sürede bildirilmesi gerektiği belirtilirken, en kısa sürenin ne kadar olması gerektiği net değildir. Konuyla ilgili Kurul tarafından verilen 24.01.2019 tarih ve 2019/10 sayılı kararda bu belirsizlik açığa kavuşturulmuştur. Buna göre veri sorumlusu ihlali öğrenmesinden itibaren en geç 72 saat içinde durumu Kurul’a bildirmelidir. İhlalden etkilenen kişilerin belirlenmesinden itibaren ise makul olan en kısa sürede ilgili kişiye bildirim yapılmalıdır.

Sinan Eroğlu Hukuk ve Danışmanlık olarak, KVKK kapsamında ihtiyaç duyduğunuz her türlü danışmanlık hizmetini sizlere sağlamak için profesyonel ve deneyimli ekibimizle yanınızdayız.KVKK Kapsamında

Aydınlatma Yükümlülüğü adlı yazımızı hala okumadıysanız buraya tıklayarak hemen okuyabilirsiniz!

Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir