Makale
Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında, veri sorumlularının aydınlatma, veri güvenliğini sağlama ve imha gibi temel hukuki yükümlülükleri bulunmaktadır. Aynı zamanda kanun, ilgili kişilere veri işleme süreçleri üzerinde denetim ve bilgi alma hakkı tanıyarak, hukuka aykırı uygulamalara karşı güçlü bir hukuki koruma kalkanı sunar.
Veri Sorumlusunun Yükümlülükleri ve Kişisel Veri Sahibinin Hakları
Kişisel Verilerin Korunması Kanunu (KVKK), dijitalleşen dünyada bireylerin mahremiyetini güvence altına almayı hedeflerken, bu korumanın merkezine veri sorumlusu ve ilgili kişi kavramlarını yerleştirmiştir. Bir hukuk bürosu perspektifiyle değerlendirildiğinde, veri sorumlusunun kanundan doğan katı yükümlülükleri, aslında veri sahibinin kişilik haklarının birer yansımasıdır. Kanun koyucu, veri işleme süreçlerinde taraflar arasındaki güç dengesizliğini gidermek amacıyla ilgili kişiye geniş çaplı bir kontrol yetkisi verirken, veri sorumlusunu da şeffaflık, hesap verebilirlik ve güvenlik ekseninde ciddi hukuki görevlerle donatmıştır. Bu bağlamda, veri sorumlusunun aydınlatma yükümlülüğünü eksiksiz yerine getirmesi veya veri güvenliği için gerekli tüm idari ve teknik tedbirleri alması sadece birer şekli zorunluluk değil, olası yaptırımlardan ve tazminat taleplerinden korunmanın da yegâne yoludur. Veri işleme faaliyetinin hukuka uygun kabul edilebilmesi için, ilgili kişinin haklarına riayet edilmesi ve kanunda öngörülen yükümlülüklerin proaktif bir özenle kesintisiz şekilde yerine getirilmesi elzemdir.
Veri Sorumlusunun Temel Hukuki Yükümlülükleri
Veri sorumlularının KVKK kapsamındaki yükümlülükleri, veri işleme faaliyetinin ilk anından başlayarak verilerin imhasına kadar uzanan kesintisiz bir hukuki süreci ifade eder. En temel görev olan aydınlatma yükümlülüğü, ilgili kişinin verilerinin hangi amaçla, kimlere aktarılarak işleneceği konusunda bilgilendirilmesini sağlar ve bu işlem açık rızadan bağımsız olarak her durumda yerine getirilmelidir. Bir diğer kritik husus olan veri güvenliği yükümlülüğü, hukuka aykırı erişimi ve işlemeyi önlemek amacıyla uygun güvenlik düzeyini temin edecek tüm idari ve teknik tedbirlerin alınmasını emreder. Sistem kurulduktan sonra da veri sorumlusunun süreci periyodik olarak kontrol etmesini gerektiren denetim yükümlülüğü devreye girer. Ayrıca, verilerin yetkisiz şekilde üçüncü kişilerin eline geçmesi durumunda en kısa sürede kurula bildirim yapılmasını zorunlu kılan ihlal bildirim yükümlülüğü ve işleme şartları ortadan kalkan verilerin silinmesi, yok edilmesi veya anonimleştirilmesini kapsayan imha yükümlülüğü de yasal birer zorunluluktur. Son olarak, ilgili şartları taşıyan veri sorumlularının şeffaflığı sağlamak adına VERBİS kayıt yükümlülüğü bulunmaktadır.
İlgili Kişinin (Veri Sahibinin) Hakları
KVKK'nın ilgili kişilere tanıdığı haklar, bireylerin kendi kişisel verileri üzerindeki geleceğini tayin etme hakkının hukuki zeminini oluşturur. Bu hakların en başında, sürecin şeffaf bir şekilde yönetildiğinden emin olmayı sağlayan bilgi alma ve erişim hakkı gelir. İlgili kişi, verilerinin işlenip işlenmediğini öğrenme, amacına uygun kullanılıp kullanılmadığını denetleme ve yurt içi veya yurt dışına aktarım durumlarını bilme hakkına mutlak surette sahiptir. İşlenen verilerin eksik veya yanlış olması durumunda ise devreye düzeltilmesini isteme hakkı girer ve bu hakkın kullanımıyla veri sorumlusunun doğru ve güncel olma ilkesine uyumu sağlanır. Kişisel verilerin işlenmesini gerektiren kanuni dayanakların ortadan kalkması halinde veri sahibi, silinmesini veya yok edilmesini isteme hakkını (modern görünümüyle unutulma hakkını) kullanarak verilerinin dijital veya fiziki ortamlardan temizlenmesini talep edebilir. Ayrıca, münhasıran otomatik sistemler vasıtasıyla yapılan analizler sonucunda aleyhe bir durum ortaya çıkarsa, buna karşı itiraz hakkı mevcuttur. Veri sorumlusu, kendisine yöneltilen tüm bu talepleri hukuka ve dürüstlük kuralına uygun olarak incelemek zorundadır.
Yükümlülükler ve Haklar Arasındaki Hukuki Denge
Veri sorumlusunun sorumluluğu ile ilgili kişinin hakları arasında adeta bir aynanın iki yüzü gibi ayrılmaz bir hukuki bağ bulunur. Bir tarafta veri sorumlusunun proaktif bir şekilde yerine getirmesi gereken kanuni yükümlülükler varken, diğer tarafta veri ihlallerine karşı koruma kalkanı oluşturan kişi hakları yer alır. Aşağıdaki tabloda, veri sorumlularının görevleri ile bu görevlerin ihlali durumunda ilgili kişinin başvurabileceği haklar arasındaki hukuki korelasyon sistematik bir biçimde özetlenmiştir. Veri sorumlusunun hukuki yükümlülüklerini ihlal etmesi, veri işleme faaliyetini doğrudan hukuka aykırı hale getirerek tazminat sorumluluğuna ve idari yaptırımlara zemin hazırlar. Bu nedenle, şirketlerin veya kurumların veri uyum süreçlerini yönetirken, ilgili kişilerden gelen taleplere yasal süresi içinde eksiksiz yanıt vermeleri ve gerekli organizasyonel altyapıyı hatasız bir şekilde kurmaları hukuki bir mecburiyettir.
| Veri Sorumlusunun Yükümlülükleri | İlgili Kişinin (Veri Sahibinin) Hakları | Hukuki Etkisi ve Sonucu |
|---|---|---|
| Aydınlatma Yükümlülüğü | Bilgi Alma ve Erişim Hakkı | Şeffaflık sağlanır, ihlali aydınlatılmama sonucu doğurur. |
| Veri Güvenliği Yükümlülüğü | Zararın Giderilmesini İsteme Hakkı | Hukuka aykırı erişimi önler, ihlali tazminat doğurur. |
| Kişisel Verileri İmha Yükümlülüğü | Silinmesini veya Yok Edilmesini İsteme Hakkı | Verinin izinsiz saklanmasını engeller. |
Veri Sorumlusuna Başvuru ve Zararın Giderilmesi
İlgili kişi, kanundan doğan haklarını kullanmak için kural olarak öncelikle veri sorumlusuna başvurmak zorundadır. Kanun koyucu, veri sorumlusu ile ilgili kişi arasındaki bilgi asimetrisini gidermek adına bu başvuru yöntemini zorunlu bir hukuki aşama olarak kurgulamıştır. Veri sorumlusu, kendisine yöneltilen talepleri en kısa sürede ve en geç otuz gün içinde etkin, hukuka ve dürüstlük kurallarına uygun bir organizasyonla sonuçlandırmakla mükelleftir. Başvurunun haksız veya gerekçesiz şekilde reddedilmesi, eksik cevap verilmesi ya da süresinde yanıtlanmaması durumlarında ilgili kişi, Kişisel Verileri Koruma Kuruluna şikayet hakkını kullanabilir. Öte yandan, veri sorumlusunun hukuka aykırı veri işleme veya güvenlik açıklarına neden olma gibi eylemleri yüzünden veri sahibinin bir zarara uğraması halinde, genel hükümler çerçevesinde zararın giderilmesini talep etme hakkı ve mahkemeler nezdinde tazminat davası açma imkânı her zaman saklıdır.