Makale

Kişisel verilerin korunması hukuku, teknolojinin eş görülmemiş gelişimi ile birlikte bireylerin mahremiyetini güvence altına almayı amaçlayan ve kendine özgü dinamikleri olan modern bir hukuk dalıdır. Gelişen dijitalleşme ve yeni iş modelleri, kişisel verilerin işlenme hacmini devasa boyutlara ulaştırırken, bu veriler üzerinde hakimiyet kuran hukuk süjelerinin sorumluluklarını da yeniden şekillendirmiştir. Bir hukuk uygulayıcısı perspektifiyle yaklaşıldığında, mevzuata uyumun ve hukuki risk yönetiminin ilk adımı, kanunun ihdas ettiği temel kavramların doğru ve eksiksiz bir şekilde anlaşılmasıdır. Zira veri sorumlusu ve veri işleyen gibi aktörlerin sınırlarının net bir şekilde çizilememesi, hukuki, idari ve cezai yaptırımların doğmasına yol açabilir. Bu makalede, kişisel veri koruma hukukunun temel yapıtaşları olan kavramlar ele alınacak ve iş süreçlerinin merkezinde yer alan veri sorumlusunun yasal yükümlülükleri detaylı bir hukuki analize tabi tutulacaktır.

Kişisel Veri Koruma Hukukunda Temel Kavramlar

Hukuk pratiğimizde en sık karşılaştığımız terminolojik hatalardan biri "veri" ve "bilgi" kavramlarının birbirinin yerine kullanılmasıdır. Esasen veri, bilgisayarlar tarafından işlenebilen sayısal birimleri ifade ederken; bilgi, verinin işlenerek anlamlı bir biçime sokulmuş halini temsil eder. Mevzuatımızın temel odak noktası olan kişisel veri ise, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Gelişen teknolojiyle birlikte yalnızca ad, soyad veya kimlik numarası değil; bir pilotun radyasyon maruziyet oranı, IP adresi veya akıllı cihazların MAC adresleri gibi dolaylı tanımlayıcılar da kişisel veri statüsünde kabul edilmektedir. Zira bir veriden hareketle gerçek bir kişiye ulaşma ihtimali bulunuyorsa, bu veri seti doğrudan kanunun koruma şemsiyesi altına girmektedir.

Veri Sorumlusu ve Veri İşleyen Statüleri

Kanun kapsamında kişisel verilerin işleme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından sorumlu olan gerçek veya tüzel kişilere veri sorumlusu denilmektedir. Hukuki statünün tespitinde mülkiyet değil, veri üzerindeki denetim ve karar verme yetkisi esas alınır. Şirketler, dernekler, kamu kurumları veya avukat, noter gibi meslek mensupları kendi faaliyetleri kapsamında veri sorumlusu sayılırlar. Buna karşın, veri sorumlusunun talimatları doğrultusunda ve onun verdiği yetkiye dayanarak kişisel verileri işleyen taraf ise veri işleyen statüsündedir. Taraflar arasındaki hukuki ilişkinin salt bir veri işleme sözleşmesi ile belirlenmesi yeterli olmayıp, fiili veri yaşam döngüsündeki inisiyatif ve kontrol mekanizmalarının gerçek hayattaki karşılığı hukuki statüleri tayin eder. Eğer birden fazla veri sorumlusu, amaç ve yöntemleri birlikte belirliyorsa müşterek veri sorumlusu statüsü gündeme gelmektedir.

Veri Sorumlusunun Temel Hukuki Yükümlülükleri

Kanun koyucu, bireylerin kişisel verileri üzerindeki temel haklarını koruyabilmek amacıyla, gücü elinde bulunduran veri sorumlularına geniş kapsamlı ve sürekli birtakım yükümlülükler atfetmiştir. Bu yükümlülüklerin yerine getirilmemesi yalnızca idari para cezalarına değil, aynı zamanda ciddi itibar kayıplarına ve tazminat sorumluluklarına neden olabilmektedir. Uygulamada veri sorumlularının en temel görevi aydınlatma yükümlülüğüdür. Veri sorumlusu, hangi işleme şartına dayanırsa dayansın, veri sahiplerine karşı şeffaflık ilkesi gereği mutlak bir bilgilendirme yapmak zorundadır. Bu aydınlatma; verilerin hangi amaçla işlendiğini, hukuki sebeplerini, aktarım yapılan tarafları ve ilgili kişinin haklarını, hukuki ve teknik karmaşadan uzak, açık ve anlaşılır bir dille barındırmalıdır. Ayrıca, mevzuatta öngörülen başvuru yolları kapsamında, ilgili kişilere haklarını kullandırma olanağı tanınması ve başvuruların otuz gün içinde sonuçlandırılması hukuki bir zorunluluktur.

Veri Güvenliği ve İdari-Teknik Tedbirler

Veri sorumlusunun en kritik yükümlülüklerinden bir diğeri, kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmektir. Bu güvenlik düzeyi, sadece ilk aşamada değil, verinin tüm yaşam döngüsü boyunca sağlanmalıdır. Söz konusu yükümlülük kapsamında veri sorumlusunun alması gereken başlıca teknik ve idari tedbirler şunlardır:

• Çalışanlara yönelik farkındalık ve güvenlik eğitimlerinin düzenli olarak verilmesi.
• Ağ güvenliği için güçlü parola politikaları, erişim matrisleri ve veri kaybı önleme yazılımlarının entegrasyonu.
• Sistem zafiyetlerini tespit etmek adına düzenli sızma ve penetrasyon testlerinin yaptırılması.
• Fiziksel kayıt ortamlarına yönelik erişim kontrollerinin yetkilendirme mekanizmalarıyla desteklenmesi. Bu tedbirlerin süreklilik arz eden bir şekilde denetlenmesi ve gelişen teknolojiye uyumlu olarak güncellenmesi, olası hukuki ihtilaflarda veri sorumlusunun sorumluluktan kurtulabilmesi açısından hayati öneme sahiptir.

Sicil Kaydı, Envanter ve İhlal Bildirimi

Uygulamada hesap verebilirlik ilkesinin en net yansıması Veri Sorumluları Siciline kayıt yükümlülüğü ile kişisel veri işleme envanterinin hazırlanmasıdır. Veri sorumluları, faaliyete başlamadan önce kişisel veri işleme envanterini eksiksiz olarak hazırlamak ve bu harita ışığında sicil sistemine beyanda bulunmak mecburiyetindedir. Envanter, şirketin tüm veri mimarisinin ve idari süreçlerinin hukuki röntgenini çeken temel bir dokümandır. Öte yandan, alınan tüm tedbirlere rağmen verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi durumunda veri ihlal bildirimi yükümlülüğü doğar. Veri sorumlusu, bu hukuka aykırı vakıayı derhal yetkili kurula ve ilgili kişilere bildirmekle mükelleftir. İhlalin etkilerini hafifletmeye yönelik gecikmeksizin atılacak adımlar, ileride doğabilecek idari ve hukuki yaptırımların asgari düzeye indirilmesinde doğrudan etkilidir.