Kişisel Verilerin Korunması Kanuna Uyum Zorunluluğu

Kişisel Verilerin Korunması Kanunu’nun (KVKK) yayımlanması ile birlikte kişisel veri ve verinin güvenliği ile mahremiyetinin sağlanması kültürü oluşmaya başlamıştır.

Türkiye’de yerleşik olan veya Türkiye dışında kurulu olan gerçek veya tüzel kişilerin tamamı KVKK kapsamında sorumlulukları bulunmaktadır. Veri sorumlusu olan bu kişilerin yükümlülüklerini yerine getirmemeleri durumunda KVKK ile düzenlenen idari para cezaları gündeme gelebilmektedir.

Veri Sorumlusunun Yükümlülükleri
a. Aydınlatma Yükümlülüğü

Veri sorumlusunun en temel yükümlülüğü aydınlatma yükümlülüğüdür. Aydınlatma yükümlülüğüne göre veri sorumlusu kişisel verilerin elde edilmesi sırasında ilgili kişiye bazı bilgileri sağlamalıdır.

Bunlar;

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Kişisel verilerin kimlere hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • KVKK’nın 11. maddesinde sayılan diğer hakları

Veri sorumlusu tarafından gerçek kişilere ait kişisel verinin işlendiği her durumda ilgili kişileri haberdar etmeli ve bu konuda bilgilendirmelidir.

b. Veri Güvenliği

KVKK uyarınca veri sorumlusu işlemekte olduğu kişisel verilerin muhafazası için veri güvenliğini hem idari hem de teknik olarak sağlamakla yükümlüdür.

Veri sorumlusunun veri güvenliği konusunda aşağıdaki maddelerden sorumludur:

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak.

Veri sorumlusu bu yükümlülüklerini yürütebilmek için her türlü tedbiri almak ve KVKK’nın işleyişi ile ilgili denetimleri yapmak zorundadır.

Kişisel veri, veri sorumlusu adına başka bir kişi tarafından işlenmişse güvenlik konusunda iki kişi de sorumlu durumdadır. Hem veri sorumlusu hem de veriyi işleyen kişi görevi sona erdikten sonra da veriyi paylaşamaz veya işleme amacı dışında kullanamaz.

Eğer veri 3. kişiler tarafından ele geçirilmişse bu durum en kısa sürede ilgili kişilere bildirilmelidir. Veri ihlali durumunda aynı zamanda www.kvkk.gov.tr adresinden ihlal bildirimi yapılmalıdır. Kurul kararı uyarınca veri sorumlusu veri ihlalinden itibaren en geç 72 saat içerisinde ihlal bildiriminde bulunmak zorundadır.

c. VERBİS Kayıt Yükümlülüğü

Veri sorumlularının kamu ile paylaşılabilmesi ve bu sayede kişisel verilerin korunması hakkının daha etkin şekilde kullanılması amacıyla veri sorumluları, Veri Sorumluları Sicili (VERBİS)’e kayıt yaptırmak zorundadır. Bu sistemde veri işleme faaliyetleri ile ilgili bilgiler kayıtlı olarak tutulmaktadır.

VERBİS’e kayıt olmak için yapılacak başvuru aşağıdaki bilgileri içermektedir:

  • Veri sorumlusunun kimlik ve adres bilgileri,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Veri konusu kişi grubu ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
  • Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
  • Yabancı ülkelere aktarımı öngörülen kişisel veriler,
  • Kişisel veri güvenliğine yönelik alınan tedbirler,
  • Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

Veri Sorumluları tarafından VERBİS’e aşağıdaki tarihlere kadar kayıt yapmaları zorunludur;

  • Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için 30.09.2019
  • Yurt dışında yerleşik gerçek ve tüzel kişi veri sorumluları için 30.09.2019
  • Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için 31.03.2020
  • Kamu kurum ve kuruluşu veri sorumluları için 30.06.2020
ç. Başvuru Cevaplanması

Veri sorumluları, ilgili kişilerce kendisine iletilen, KVKK’nın 11. maddesinde sayılan hakların kullanılması ile ilgili talepleri en geç otuz gün içerisinde sonuçlandırmalıdır. Veri sorumlusu bu talebin olumlu ya da olumsuz cevabını ilgili kişiye bildirmelidir.

İlgili kişi red cevabı alması halinde, cevabı öğrendiği tarihten itibaren otuz gün ve her halükarda 60 güç içerisinde Kişisel Verilerin Korunması Kurula şikayette bulunabilmektedir.

d. Kurul Kararlarının Uygulanması

Veri sorumlusunun güncel olarak yasal mevzuat ile birlikte Kişisel Verilerin Korunması Kurulu tarafından verilen ilke kararları veya kararları takip etme ve uygulama yükümlülüğü bulunmaktadır.

Kurul tarafından alınan güncel kararlarda yer verilen ihlal kararlarında yer alan hukuka aykırılık durumlarının veri sorumluları tarafından vakit kaybedilmeden uygulanması zorunludur.

İdari Yaptırımlar

Veri Sorumlusunun yükümlülüklerine aykırı davranması durumunda Kişisel Verilerin Korunması Kurulu tarafından aşağıdaki idari para cezalarının uygulanması olanaklıdır;

  • Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
  • Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
  • Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
  • Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar para cezası verilebilecektir.

Kurul tarafından veri sorumlusunun ticaret hacmi, ekonomik gücü ve mali bilançosuna göre uygulanan idari para cezasının amacı caydırıcılık sağlamak ve Anayasal hak niteliğinde olan kişisel verilerin korunmasını sağlamak ve teşvik etmektir.

Yazar: Av. Arda Aşık

1984 İstanbul doğumlu olan Arda Aşık, 2007 yılında Bursa Barosuna kayıt olarak Avukatlık görevini sürdürmektedir. Sağlık Hukuku, İdare Hukuku, Türki Ticaret Hukuku, Şirketler Hukuku ve İş Hukuku alanlarında danışmanlık görevlerini sürdüren Arda Aşık, düzenlenen panel ve kongrelerde sağlık hukuku alanında eğitim vermektedır. Türk Borçlar Hukuku, İş Hukuku, Türk Ticaret Hukuku ve Vergi Hukuku alanlarında dava ve uyuşmazlık çözümü hizmetlerini sürdürmektedir.