Makale

Kişisel verilerin işlenmesi süreçlerinde en kritik aktörlerden biri şüphesiz veri sorumlusu sıfatını haiz gerçek veya tüzel kişilerdir. 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan kişi olarak tanımlanmıştır. Tüzel kişilerin bizzat kendileri veri sorumlusu olup, bu yetki ve sorumluluk şirket içindeki bir çalışana devredilerek tüzel kişiliğin hukuki sorumluluktan kurtulması mümkün değildir. Veri sorumluları, kişisel verilerin hukuka uygun şekilde işlenmesi ve muhafaza edilmesi süreçlerinde çok ciddi yasal yükümlülükler altına girmektedir. Bu yükümlülüklerin ihlali, telafisi güç zararlara yol açabileceği gibi yaptırımlara da sebebiyet verebilmektedir. Uygulamada KVKK uyum süreçlerinin sağlıklı bir şekilde yürütülebilmesi için veri sorumlularının kanundan doğan tüm yükümlülüklerini tam ve eksiksiz olarak idrak etmesi gerekmektedir.

Veri Sorumlusunun Aydınlatma Yükümlülüğü

KVKK'nın 10. maddesi uyarınca veri sorumlularının en temel görevlerinden biri aydınlatma yükümlülüğünün yerine getirilmesidir. Bu yükümlülük, veri işleme faaliyetlerine başlanmadan önce ilgili kişilerin şeffaf bir biçimde bilgilendirilmesini emreder. Veri sorumlusu veya yetkilendirdiği kişi; kendi kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen verilerin kimlere ve hangi amaçlarla aktarılabileceği, verilerin toplanma yöntemi ve hukuki sebepleri ile ilgili kişinin hakları konusunda aydınlatma yapmalıdır. Kurul kararları ve ilgili tebliğler gereğince, aydınlatma işlemi belirli bir şekil şartına tabi olmamakla birlikte, bu konudaki ispat külfeti daima veri sorumlusu üzerindedir. Ayrıca, bilgilendirmenin açık, sade, anlaşılır ve tereddüde mahal vermeyecek nitelikte olması şarttır; muğlak ifadeler barındıran aydınlatma metinleri doğrudan hukuka aykırı kabul edilmektedir.

Veri Güvenliğine İlişkin Hukuki Yükümlülükler

KVKK'nın 12. maddesi, kişisel verilerin korunması bağlamında veri güvenliğinin sağlanmasını zorunlu kılmaktadır. Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı olarak erişilmesini önlemek, ayrıca verilerin güvenli bir şekilde muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbirleri almak zorundadır. Bu tedbirlerin yetersizliği veya yetkisiz erişimlerin engellenememesi durumunda ağır idari yaptırımlar uygulanır. Veri sorumlusunun alması gereken temel idari ve teknik tedbirler şunlardır:

• Mevcut risk ve tehditlerin belirlenmesi ile çalışanlara yönelik düzenli farkındalık eğitimlerinin verilmesi.
• Siber güvenliğin sağlanması ve kişisel veri güvenliği politikalarının oluşturularak uygulanması.
• Gereğinden fazla veri işlenmesini önlemek adına veri minimizasyonu ilkelerinin aktif şekilde işletilmesi.

Veri İhlali Bildirimi ve Sicile Kayıt Yükümlülüğü

Alınan tüm idari ve teknik tedbirlere rağmen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi durumunda, veri sorumlusunun ivedilikle veri ihlali bildirim yükümlülüğü doğmaktadır. Kurulun ilgili kararları uyarınca, veri sorumlusu ihlali öğrendiği andan itibaren en geç 72 saat içerisinde durumu Kurula bildirmeli ve etkilenen ilgili kişilere de en kısa sürede gerekli bildirimleri yapmalıdır. Bunun yanı sıra, şeffaflık ve hesap verebilirlik ilkelerinin bir gereği olarak, veri işlemeye başlamadan önce Veri Sorumluları Siciline (VERBİS) kayıt yaptırma zorunluluğu bulunmaktadır. İstisna kapsamında olmayan veri sorumluları, işledikleri verilerin kategorilerini ve amaçlarını bu sicile kaydetmek zorundadır. Son olarak, ilgili kişilerin başvurularına yasal süre içinde yanıt vermek ve Kurul kararlarını en geç otuz gün içinde yerine getirmek de veri sorumlularının kanuni yükümlülükleri arasında yer almaktadır.