Bilişim teknolojilerinin hızla gelişmesi ve dijitalleşmenin hayatımızın merkezine yerleşmesiyle birlikte, yasal süreçlerin yönetimi modern hukukun en temel tartışma alanlarından biri haline gelmiştir. Bu noktada, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve Avrupa Birliği Genel Veri Koruma Tüzüğü, veri sorumlusu ve veri işleyen sıfatını haiz gerçek ve tüzel kişilere son derece katı yasal yükümlülükler yüklemektedir. Bir veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan bu aktörler, verilerin hukuka aykırı olarak işlenmesini önlemekle mükelleftir. Mevzuatımız, dijital mahremiyeti güvence altına almak adına, veri sorumlularına aydınlatma yükümlülüğü, veri güvenliğini sağlama ve denetim yapma gibi spesifik görevler tanımlamıştır. Bu yazımızda, söz konusu aktörlerin yasal statülerini, hukuki sorumluluklarını ve güncel yaptırım pratiklerini detaylı bir biçimde analiz edeceğiz.
Veri Sorumlusu ve Veri İşleyenin Hukuki Statüsü
Hukuk sistemimizde veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişileri ifade etmektedir. Dijital mecralarda ve özellikle sosyal medya platformlarında veri sorumluları, sistemin bizzat kurucusu ve yürütücüsü olarak en geniş sorumluluk alanına sahiptirler. Mevzuat uyarınca veri sorumlusu, bilgi edinilmesi sürecinde ilgili kişilere verilerin hangi amaçla kullanılacağı, kimlere ne şekilde aktarılacağı ve hukuki sebepleri hakkında şeffaf bir biçimde aydınlatma yapmak zorundadır. Öte yandan, veri işleyenler ise veri sorumlusunun verdiği yetki ve talimatlar doğrultusunda sistem süreçlerini yürüten taraf olarak, veri sorumlusu ile birlikte hukuki ve teknik yükümlülüklere tabidirler. Hem ulusal mevzuatımızda hem de Genel Veri Koruma Tüzüğü düzenlemelerinde bu iki aktör, gizliliğin ve güvenliğin sağlanmasında sistemin ana taşıyıcı kolonları olarak kabul edilmekte ve ciddi idari yaptırımlarla denetlenmektedir.
Veri Güvenliğini Sağlama ve Denetim Yükümlülükleri
Hukuka aykırı işlemlerin ve yetkisiz erişimlerin önüne geçmek, veri sorumlularının en temel hukuki ödevleri arasında yer alır. Veri sorumluları, ellerinde bulundurdukları bilgileri muhafaza etmek için gerekli her türlü güvenlik tedbirlerini almak, gerekli denetimleri yapmak ve yaptırmak zorundadırlar. Avrupa Birliği mevzuatının 32. maddesi de bu hususu destekler nitelikte olup, veri kontrolörü ve veri işleyicisini, riske uygun güvenlik seviyesini sağlamak amacıyla teknik ve kurumsal önlemleri almakla yükümlü kılmıştır. Şifreleme, sistemlerin gizliliğini sağlama, bütünlüğü koruma ve bu önlemlerin etkinliğini ölçmek adına düzenli testler yapma gibi uygulamalar, yasal bir zorunluluktur. Ayrıca ihlal meydana geldiğinde, mevzuat gereğince veri kontrolörünün, ihlali öğrendikten sonraki yetmiş iki saat içerisinde yetkili denetim makamına bildirim yapması şarttır. Alınmayan her türlü güvenlik önlemi, veri sorumlusunu ve işleyenini doğrudan sorumluluk ile karşı karşıya bırakacaktır.
Kurul Çerçevesinde İdari Yaptırımlar ve Emsal Kararlar
Uygulamalar ve emsal kararlar incelendiğinde, veri sorumlularının aydınlatma yükümlülüklerini ihlal etmeleri veya güvenliği zafiyete uğratmaları durumunda ağır idari para cezaları ile karşılaştıkları görülmektedir. Örneğin, bir sigorta acentesinin müşterilerine ait kayıtları reklam amacıyla sosyal medya hesaplarında paylaşması vakasında, Kurul tarafından veri sorumlusuna idari para cezası uygulanmıştır. Benzer şekilde, bir eğitmenin görsellerini izinsiz kullanan veri sorumlusu iş yerine karşı verilen karar da, aydınlatma yükümlülüğünün yerine getirilmemesi durumunda doğacak yasal sonuçları gözler önüne sermektedir.
Kurul kararlarına göre veri sorumlularının sıkça karşılaştığı yaptırım nedenleri şunlardır:
- İlgili kayıtların yasalara aykırı olarak üçüncü kişilerle veya dijital mecralarda paylaşılması.
- Süreçlerin başlangıcında aydınlatma yükümlülüğünün eksik veya hatalı yerine getirilmesi.
- Sistem güvenliğini sağlayacak idari ve teknik tedbirlerin yetersiz kalması nedeniyle dışarıdan hukuka aykırı erişimlere zemin hazırlanması.
Başvuruların Sonuçlandırılması ve Tazminat Sorumluluğu
İlgili hak arama süreçlerini yönetmek amacıyla doğrudan veri sorumlusuna başvurma yolları açıktır. Mevzuatımız gereği, veri sorumlusuna yapılan başvurular yazılı olarak iletildiğinde, en geç otuz gün içerisinde veri sorumlusu tarafından kabul veya ret şeklinde sonuçlandırılmak zorundadır. Bu yasal süre zarfında başvurunun reddedilmesi, cevabın yetersiz bulunması ya da hiçbir geri dönüş yapılmaması durumunda kişilerin Kurula şikâyet mekanizmasını işletme hakkı doğmaktadır. Sorumluluk sadece idari cezalarla sınırlı kalmamakta; ilgili Avrupa tüzüğünün 82. maddesinde de altı çizildiği üzere, yönetmelik ihlali dolayısıyla maddi veya manevi zarara uğrayan kişi, veri kontrolörü ve veri işleyicisinden tazminat talep edebilmektedir. İşleme faaliyetinin neden olduğu zarardan dolayı veri sorumlusu ile talimatlara aykırı hareket eden veri işleyen zararın tümünden ayrı ayrı müteselsilen sorumlu tutulabilmekte ve zararın tamamını ödeyen taraf rücu ilişkisi kapsamında diğerlerinden paylarına düşen miktarları talep edebilmektedir.
Şirketim kişisel bilgilerimi bana sormadan başkalarına verebilir mi? expand_more
Sitemiz hacklendi ve müşteri bilgileri çalındı, acilen ne yapmamız gerekiyor? expand_more
Verilerimi izinsiz kullanan şirkete dava açıp tazminat alabilir miyim? expand_more
Şirkete verilerimi silsin diye dilekçe verdim, ne kadar beklemem lazım? expand_more
Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.
Bizi Değerlendirin
Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.
Google'da Değerlendir