sahin-hukuk

Kişisel Verilerin Korunması Kanunu Kapsamında Veri Sorumlusunun Yükümlülükleri

Kişisel Verilerin Korunması Kanunu Kapsamında Veri Sorumlusunun Yükümlülükleri

Kişisel Verilerin Korunması Hukuku Ekibi

Temmuz 2018

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) yürürlüğe girmesiyle karşımıza çıkan yeni kavramlardan biri veri sorumlusudur. Veri sorumlusu Kanun’un 3. maddesinde “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” şeklinde tanımlanmıştır. Yine Kanun, 10. ve devamı maddelerinde haklar ve yükümlülükler başlığı altında veri sorumlusuna birtakım yükümlülükler getirmiştir.

 

Kanun’un veri sorumlusuna getirdiği en temel yükümlülük 10. maddede düzenlenen aydınlatma yükümlülüğüdür. Aydınlatma yükümlülüğü kişisel verilerin elde edilmesi sırasında başlayan bir yükümlülüktür. Bunun yanında verilerin işlenmesi, aktarılması hususlarında bir değişiklik olduğunda aydınlatma yükümlülüğü kişisel verilerin elde edilmesinden sonra da gündeme gelecektir. Aydınlatma yükümlülüğünün muhtevasına bakıldığında, bu hususun Kanun’un 10. maddesinde yer aldığı görülmektedir. Veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve 11. maddede sayılan diğer haklar aydınlatma yükümlülüğünün kapsamını oluşturmaktadır. Aydınlatma yükümlülüğü, bilgilendirilmeye dayalı açık rızanın da ön şartı niteliğindedir. Öte yandan aydınlatma yükümlülüğü sadece açık rızaya dayalı kişisel verilerin işlendiği hallerde değil, ilgili kişinin kişisel verilerinin işlendiği her durumda söz konusu olmaktadır. Veri sorumlusu tarafından verilecek aydınlatma açıklaması herhangi bir şekle tabi olmamakla birlikte aydınlatma açıklamasının verildiğinin ispatı veri sorumlusuna düşeceğinden ispat açısından elverişli bir yol seçilmelidir.

 

KVKK veri sorumlusuna aydınlatma yükümlülüğünün yanında veri güvenliğine ilişkin birtakım yükümlülükler de getirmiştir. Veri güvenliğine ilişkin yükümlülükler Kanun’un 12.maddesinde şu şekilde sıralanmıştır:

 

     - Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

     - Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

     - Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

 

12. maddenin 2. fıkrasında, veri sorumlusunun, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olduğu belirtilmiştir. Dolayısıyla veri işleyenler için de gerekli önlemleri alma yükümlülüğü getirilmiştir. Aynı maddenin 3. fıkrası ise veri sorumlusuna gerekli tedbirleri almanın yanı sıra denetim yükümlülüğü getirmektedir. Başka bir deyişle veri sorumlusu, işlediği kişisel verilerin hukuka uygun olmasını sağlamaya ilişkin bir denetim yükümlülüğü altındadır. Şüphesiz ki denetim yükümlülüğünün kapsamına ayrıca alınan tedbirlerin yürürlük ve işlerliğinin kontrolü de girecektir.

 

Veri sorumlularına getirilen bir başka yükümlülük de 12. maddenin 4. fıkrasında yer almaktadır. Buna göre veri sorumluları ile veri işleyen kişiler öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak açıklayamazlar. Dikkat edilmesi gereken ilk husus burada sadece veri sorumlularına değil, aynı zamanda veri işleyenlere de bu yükümlülüğün getirildiğidir. Fıkra, aynı zamanda veri sorumluları ile veri işleyenlerin öğrendikleri kişisel verileri amacı dışında kullanamayacaklarını da düzenlemektedir. Açık rızayla verilmiş olsa dahi kişisel verilere vâkıf olan veri sorumlusu ve veri işleyenler açısından getirilen bu yükümlülük elbette ilgili kişilerin temel hak ve özgürlüklerini korumak açısından gerekli ve yerindedir.

 

Veri sorumlusunun diğer bir yükümlülüğü ise 12. maddenin 5. fıkrasında düzenlenmiştir. İlgili fıkraya göre, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurula bildirmektir. Kurul, gerekmesi hâlinde bu durumu kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

 

KVKK’nın 13. maddesi veri sorumlularına, kendilerine yapılan başvurulara cevap verme ve kurul kararlarının yerine getirilmesi yükümlülüğü getirmiştir. İlgili kişi kişisel verilerine ilişkin hususlarda veri sorumlusuna başvurma hakkına sahiptir. Bu başvuru üzerine veri sorumlusunun cevap verme yükümlülüğü 13. maddede düzenlenmiştir. Veri sorumlusu başvurudaki talepleri, talebin mahiyetine göre en kısa sürede ve en geç otuz gün içinde sonuçlandırmalıdır. Kural olarak bu işlem için ücret talep edilmez. Ancak veri sorumlusu işlemin maliyet gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifeye göre başvurucudan bir ücret talep edebilir. Başvurunun veri sorumlusunun hatasından kaynaklanması durumunda ise alınan ücret iade edilir. Başvurunun reddedilmesi, süresinde cevap verilmemesi yahut verilen cevabın yeterli bulunmaması halinde başvurucu, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir. Kurul, bir hukuka aykırılık tespit ederse hukuka aykırılıkların giderilmesi kararını ilgililere tebliğ eder. Kanun’un 15. maddesine göre veri sorumlusu, bu kararı tebliğ tarihinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirmek zorundadır. Başka bir deyişle veri sorumlusu, Kurul kararlarını yerine getirmekle yükümlüdür.

 

Kanun’un 16. maddesinin 2. fıkrasına göre veri sorumluları veri işlemeye başlamadan önce “Veri Sorumluları Siciline”(Sicil) kaydolmak zorundadır. Bu sicil, Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak tutulur. Kural olarak veri sorumlularının bu sicile kaydı zorunludur ancak işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebileceği öngörülmüştür.

 

Sicil’e kaydın zorunlu olması kuralının birtakım istisnaları mevcuttur. İlk olarak KVKK’nın 28. maddesi düşünülmelidir. 28. madde, Kanun kapsamı dışında tutulan durumları düzenlemektedir. İlk fıkra, tamamen kapsam dışında tutulan hususları düzenlemekteyken ikinci fıkra kısmen kapsam dışı tutulan hususları düzenlemektedir. İlk fıkranın kapsamına giren hallerde Sicil’e kayıt zorunluluğu olmayacaktır. Yine kısmen kapsam dışı tutulan hususları düzenleyen 2. fıkra, Sicil’e kayıt yükümlülüğünü düzenleyen 16. maddenin uygulanmayacağı halleri belirlemektedir. Dolayısıyla, 28. madde kapsamına giren durumlarda Sicil’e kayıt zorunluluğu bulunmamaktadır.

 

Sicil’e kayıt zorunluluğun bir diğer istisnası Sicil’e kayıt zorunluluğunu düzenleyen 16. maddede yer almaktadır. Anılan hükme göre “Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” Kurul bu yetkilendirmeye dayanarak 30.12.2017 tarihli Resmi Gazete’ de yayımlanan “Veri Sorumluları Sicili Hakkında Yönetmelik” ile adı geçen objektif kriterleri sıralamıştır. Anılan düzenlemeye göre bu kriterler;

 

          - Kişisel verinin niteliği,

          - Kişisel verinin sayısı,

          - Kişisel verinin işlenme amacı,

          - Kişisel verinin işlendiği faaliyet alanı,

          - Kişisel verinin üçüncü kişilere aktarılma durumu,

          - Kişisel veri işleme faaliyetinin kanunlardan kaynaklanması,

          - Kişisel verilerin muhafaza edilmesi süresi,

          - Veri konusu kişi grubu veya veri kategorileri.

 

Kişisel Verileri Koruma Kurumu, 02/04/2018 tarih ve 2018/32 sayılı Kurul kararı ile Yönetmelik doğrultusunda kendisine tanınan yetkiye istinaden bazı meslek gruplarını veri sorumluları siciline kayıt yükümlülüğünden istisna tutmuştur. Anılan karara göre istisna tutulanlar şu şekildedir:

 

          - Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler.

          - 18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler.

         - 04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanuna göre kurumuş vakıflardan ve 18/10/2012 tarihli               6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi                         çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler.

          - 22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler.

          - 19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar

         - 1/6/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali              Müşavirler.

 

Özetle KVKK, veri sorumlularına, bilhassa ilgili kişilerin haklarını korumak ve kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla birtakım yükümlülükler getirmiştir. Bu yükümlülüklere uyulmaması halinde idareye geniş bir takdir yetkisi tanınarak idari para cezaları öngörülmüştür (Bkz. Tablo-1 İdari Cezalar Tablosu). Ayrıca işlemin suç teşkil etmesi yahut zarar doğurması sebebiyle Türk Ceza Kanunu uyarınca cezai (Bkz. Tablo-2 Cezai Yaptırımlar Tablosu) ve özel hukuk uyarınca tazmin edici yaptırımlar da saklıdır.           

 

Tablo-1 İdari Para Cezaları Tablosu (Kabahatler)

KVKK’DA ÖNGÖRÜLEN KABAHATLER

İDARİ PARA CEZALARI

ASGARİ

AZAMİ

Aydınlatma Yükümlülüğünün İhlali

5.000 TL

100.000 TL

Veri Güvenliğine İlişkin Yükümlülüklerin İhlali

15.000 TL

1.000.000 TL

Kurul Tarafından Verilen Kararları Yerine Getirilmemesi

25.000 TL

1.000.000 TL

Veri Sorumluları Siciline Kayıt ve Bildirim Yükümlülüğünün İhlali

20.000 TL

1.000.000 TL

 

 

Tablo-2 Cezai Yaptırımlar Tablosu (Suçlar)

TCK’DA ÖNGÖRÜLEN SUÇLAR

HAPİS CEZASI

ASGARİ

AZAMİ

Kişisel Verilerin Hukuka Aykırı Olarak Kaydedilmesi

1 Yıl

3 Yıl

Özel Nitelikli Kişisel Verilerin Hukuka Aykırı Olarak Kaydedilmesi

1,5 Yıl

4,5 Yıl

Kişisel Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme

2 Yıl

4 Yıl

Verileri Zamanında Yok Etmeme

1 Yıl

2 Yıl