6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA VERİ SORUMLUSU KAVRAMI VE VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ 

6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda (Kanun) Veri sorumlusu, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin Kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” şeklinde ifade edilmiştir. Kanuna göre veri sorumlusu kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani kişisel verilerin işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir. Tanımda da ifade edildiği üzere Veri Sorumlusu gerçek ya da tüzel kişi olabilir. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki hak ve sorumluluklar tüzel kişinin şahsında doğacaktır. Bir şirket bünyesinde yer alan birimlerin tüzel kişiliği bulunmadığından, bu birimlerin veri sorumlusu olmasının mümkün olmadığını ve bununla birlikte, bir şirketler topluluğunu oluşturan her bir şirket tüzel kişiliğe sahip olduğundan, bu şirketlerin her birinin ayrı veri sorumlusu olacağını belirmekte fayda vardır. Veri Sorumlusu hukuki statüsü açısından kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından da bir farklılık gözetilmemiştir. Veri Sorumlusu’nun Kanunda belirtilen bir takım yükümlülükleri mevcut olup bu yükümlülüklerden bazıları Kişisel Verilerin işlenmesine başlamadan önce bazıları da veri işleme esnasında uyulması gereken yükümlülüklerdir. Şimdi bu yükümlülüklere daha yakından bakalım. 

Veri Sorumlusunun Yerine Getirmesi Gereken Yükümlülükler 

  1. Aydınlatma Yükümlülüğü 

Aydınlatma Yükümlülüğü Veri Sorumlusu’nun şüphesiz en önemli yükümlülüğüdür. Zira kişisel verilerin işlenmesinden önce verilerin toplanması esnasında Veri Sorumlusu bu yükümlülüğünü yerine getirmek durumundadır. Veri Sorumlusu’nun Aydınlatma Yükümlülüğü Kanun’un 10. Maddesinde düzenlenmiş ve ikincil düzenlemeler ile de Veri Sorumlusu’nun bu yükümlülüğünün kapsam ve sınırları çizilmiştir.  Veri Sorumlusu, kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda detaylı, açık ve net olarak bilgi verecek aynı zamanda kişisel verilere ilişkin ilgili kişinin haklarını da iletecektir. Buna göre Veri Sorumlusu, Kanunun 10. maddesi çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla asgari olarak aşağıdaki bilgileri ilgili kişiye sağlamakla yükümlüdür: 

Aydınlatma yükümlülüğünün yerine getirilmesi ilgili kişinin onayına tabi değildir. Yani, ilgili kişi, kişisel verisinin işlendiği her durumda aydınlatılmalı, Veri Sorumlusu aydınlatma yükümlülüğünü yerine getirmelidir. Veri sorumlusu tarafından kişisel verilerin işlenme amaç ve şartları değiştikçe aydınlatma metni de ona göre değişmelidir.  

Aydınlatma yükümlülüğünün yerine getirilmesinde mevzuat herhangi bir şekil şartı öngörmemiştir. Söz konusu aydınlatma faaliyeti yazılı, sözlü ya da elektronik ortamda yerine getirilebilir ve ilgili kişiye bilgilendirme sağlanabilir. Aydınlatma yükümlülüğünün yerine getirilmesinde herhangi bir şekil şartı öngörülmemekle birlikte bu yükümlülüğün yerine getirildiğinin ispat yükü Veri Sorumlusu’nda olduğu için ispat edilebilir bir şekilde yerine getirilmesi önem arz etmektedir.  

Aydınlatma yükümlülüğünün kapsamı ve hangi bilgilerin verileceği Kanunda açıklanmıştır. Buna rağmen, bu bilgilerin tamamının aydınlatma yükümlülüğünün yerine getirilme zamanı olan kişisel verilerin elde edilmesi sırasında ilgili kişiye açıklanması mümkün olmayabilir. Bu durumda katmanlı bilgilendirme yöntemi ile veri sorumlusu aydınlatma yükümlülüğünü yerine getirebilir. Katmanlı bilgilendirme, kişisel verilerin elde edilmesi sırasında ilgili kişiye kişisel verilerinin elde edildiği konusunda kısa, anlaşılabilir, açık, sade bir yöntemle de bilgilendirme yapılması, Kanunun 10. maddesindeki aydınlatma kapsamını ilgili kişinin bu bilgilendirmeden sonra erişerek okuyabileceği bir mecraya yönlendirilmesi anlamına gelmektedir.  

Son olarak Kanun’da, aydınlatma yükümlülüğünü yerine getirmeyen Veri Sorumluları hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar idari para cezasına hükmedebileceği düzenlenmiştir. 

  1. Veri Güvenliğine İlişkin Yükümlülükler 

Kanunun veri güvenliğine ilişkin 12. maddesine göre veri sorumlusu; Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, Kişisel verilerin muhafazasını sağlamak ile yükümlüdür. Veri sorumlusu bu yükümlülüklerini yerine getirmek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak ise Kişisel Verileri Koruma Kurulun (Kurul) yetki ve görevleri arasında yer almaktadır. Bununla birlikte, Kurul tarafından belirlenecek asgari kriterler esas alınmak üzere sektör bazında işlenen kişisel verilerin niteliğine göre ilave tedbirlerin alınması da söz konusu olabilecektir. Kurul tarafından bu doğrultuda hazırlanan rehber incelendiğinde Veri Sorumlularının veri güvenliğine ilişkin yükümlülüklerinin yerine getirmesinde aşağıdaki örnek idari ve teknik önlemlerin alınması gerektiği belirtilmiştir. Bu tedbirleri başlıklar halinde belirtmek gerekirse; 

İdari Tedbirler: 

- Kişisel Veri İşleme Envanteri Hazırlanması 

- Kurumsal Politikalar 

- Sözleşmeler  

- Gizlilik Taahhütnameleri 

- Risk Analizleri 

- İş Sözleşmesi, Disiplin Yönetmeliği  

- Kurumsal İletişim  

- Eğitim ve Farkındalık Faaliyetleri  

- Veri Sorumluları Siciline (VERBİS) Bildirim 

Teknik Tedbirler: 

- Yetki Matrisi ve Kontrolü 

- Erişim Logları ve Log kayıtları 

- Kullanıcı Hesap Yönetim 

 

- Veri Kaybı Önleme Yazılımları 

- Yedekleme 

- Güvenlik Duvarları 

Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, gerekli tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. Dolayısıyla veri işleyenler de veri güvenliğinin sağlanması için tedbir alma yükümlülüğü altındadır. Buna göre, örneğin veri sorumlusunun şirketine ilişkin kayıtlar bir muhasebe şirketi tarafından tutuluyorsa, verilerin işlenmesine ilişkin birinci fıkrada belirtilen tedbirlerin alınması hususunda veri sorumlusu muhasebe şirketiyle birlikte müştereken sorumlu olacaktır. Öte yandan, veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında görevlerinden ayrılsalar dahi kullanamazlar.  

  1. Veri Sorumluları Siciline Kaydolmak 

Veri Sorumluları Sicili (VERBİS), Veri Sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. VERBİS ile veri sorumlularının kimler olduğunun kamuya açıklanması ve bu yöntemle kişisel verilerin korunması hakkının daha etkin şekilde kullanılması hedeflenmektedir. VERBİS ile ilgili ayrıntılı yasal düzenleme 30 Aralık 2017 tarihli R.G’de yayınlanan Veri Sorumluluları Sicili Hakkına Yönetmelik’de düzenlenmektedir. Kural olarak, tüm veri sorumlularının Veri Sorumluları Siciline kaydolmaları gerekmektedir. Söz konusu kayıt işleminin, veri işleme faaliyetlerine başlamadan önce tamamlanması gerekir. Kanun her ne kadar 16. Maddede Veri sorumlularının, VERBİS’e kaydolmaları zorunludur dese de maddenin 2. Fıkrasında VERBİS’e kayıttan istisna tutulacak veri sorumlularını belirleme yetkisi Kurul’a verilmiş, Veri Sorumluluları Sicili Hakkına Yönetmelik 15. Ve 16. Maddeleri ile de VERBİS’e kayıttan istisna tutulacak kişi ve kuruluşlar, kişisel verinin niteliği, ilgili kişi sayısı, kişisel verilerin muhafaza edilme süresi vb. kriterler ışığında belirlenmektedir. Kurul bugüne kadar çeşitli kararlarıyla aşağıdaki veri sorumlularının VERBİS’e kayıt yükümlülüğünden muaf olmasına karar vermiştir: 

-Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler, Noterler, Dernekler, vakıflar ve sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler, Siyasi partiler, Avukatlar ve Arabulucular, Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler, Gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirleri, Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar. 

 

Kurul’un 19/07/2018 tarih ve 2018/88 sayılı kararı ile VERBİS’e kayıt yükümlülüğü getirilen Veri Sorumluları için bu yükümlülüğün başlangıç tarihleri ve kayıt için tanınan süreler belirlenmiştir. Karara göre; 

-Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için VERBİS’e kayıt yükümlülüğü için başlangıç tarihi 01.10.2018,  Sicile kayıt yaptırmaları için son tarih ise 30.09.2019 olarak, 

-Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için VERBİS’e kayıt yükümlülüğü başlangıç tarihi 01.10.2018, Sicile kayıt yaptırmaları için son tarih ise 30.09.2019 olarak, 

-Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için VERBİS’e  kayıt yükümlülüğü başlangıç tarihi 01.01.2019, Sicile kayıt yaptırmaları için son tarih ise 31.03.2020 olarak, 

-Kamu kurum ve kuruluşu veri sorumluları için VERBİS’e  kayıt yükümlülüğü başlangıç tarihi 01.04.2019, Sicile kayıt yaptırmaları için son tarih ise 30.06.2020 olarak belirlenmiştir.  

VERBİS’e kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verileceği hüküm altına alınmıştır. 

  1. İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü 

Kanun, 11. Madde ile kişisel verileri işlenen gerçek kişilere (ilgili kişi) çeşitli haklar tanımıştır. İlgili kişi, söz konusu haklarını 13. Maddede öngördüğü şekilde ve Türkçe olarak ileteceği başvuruyla kullanabilecektir. Veri sorumluları, Kanun’un 13. Maddesi uyarınca ilgili kişiler tarafından kendisine iletilen Kanunun uygulanmasıyla ilgili talepleri, niteliklerine göre en kısa sürede ve en geç otuz gün içinde sonuçlandırmalıdır. Veri sorumlusu, talebi kabul eder veya gerekçesini açıklayarak reddeder ise bu cevabını ilgili kişiye bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusu tarafından bu talebin gereği yerine getirilir. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.  

  1. Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü 

Kurul, ilgili kişinin şikâyeti üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda yapacağı inceleme sonucunda bir ihlalin varlığını tespit ederse, hukuka aykırılıkların Veri Sorumlusu tarafından giderilmesine karar vererek, kararı ilgililere tebliğ edecektir. İşte Veri Sorumlusu’nun bir diğer yükümlülüğü ise, bu kararı kendisine tebliğ tarihinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirmektir. Kanun, Kurul kararlarının yerine getirilmesini sağlamak amacıyla idari yaptırım öngörmüş ve Kurul kararlarını yerine getirmeyen Veri Sorumluları hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezasına hükmedileceğini düzenlemiştir. 

  1. Diğer Yükümlülükler 

Veri Sorumlusunun en çok önem arz eden yükümlülüklerini yukarıda izah ettik. Ancak Veri Sorumlusunun bu yükümlülükleri haricinde de Kişisel Veri işleme faaliyeti esnasında uymakla yükümlü olduğu hususlar mevcuttur. Örneğin; 

-Veri Sorumlusu, hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklindeki kişisel verilerin işlenmesinde aranan genel ilkelere uygun hareket etmelidir.  

-Özel nitelikli kişisel veriler işleniyor ise bu durumda Kişisel Verileri Koruma Kurulu tarafından belirlenecek yeterli önlemler alınmalıdır. 

-Kanun ve ilgili diğer mevzuata uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmeli, yok edilmeli veya anonim hâle getirilmelidir.  

-Kişisel verilerin üçüncü kişilere aktarılmasında Kanunun 8. ve 9. Maddelerinde yer alan düzenlemelere uygun olarak hareket edilmelidir.