Kişisel Verilerin Korunması Kanunu Kapsamında Veri Sorumlusunun Yükümlülükleri

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) yürürlüğe girmesiyle karşımıza çıkan yeni
kavramlardan biri veri sorumlusudur. Veri sorumlusu Kanun’un 3. maddesinde “Kişisel verilerin işleme
amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu
olan gerçek veya tüzel kişi” şeklinde tanımlanmıştır. Yine Kanun, 10. ve devamı maddelerinde haklar
ve yükümlülükler başlığı altında veri sorumlusuna birtakım yükümlülükler getirmiştir. Kanun’un veri
sorumlusuna getirdiği en temel yükümlülük 10. maddede düzenlenen aydınlatma yükümlülüğüdür.
Aydınlatma yükümlülüğü kişisel verilerin elde edilmesi sırasında başlayan bir yükümlülüktür. Bunun
yanında verilerin işlenmesi, aktarılması hususlarında bir değişiklik olduğunda aydınlatma yükümlülüğü
kişisel verilerin elde edilmesinden sonra da gündeme gelecektir. Aydınlatma yükümlülüğünün
muhtevasına bakıldığında, bu hususun Kanun’un 10. maddesinde yer aldığı görülmektedir. Veri
sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin
kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve 11.
maddede sayılan diğer haklar aydınlatma yükümlülüğünün kapsamını oluşturmaktadır. Aydınlatma
yükümlülüğü, bilgilendirilmeye dayalı açık rızanın da ön şartı niteliğindedir. Öte yandan aydınlatma
yükümlülüğü sadece açık rızaya dayalı kişisel verilerin işlendiği hallerde değil, ilgili kişinin kişisel
verilerinin işlendiği her durumda söz konusu olmaktadır. Veri sorumlusu tarafından verilecek
aydınlatma açıklaması herhangi bir şekle tabi olmamakla birlikte aydınlatma açıklamasının verildiğinin
ispatı veri sorumlusuna düşeceğinden ispat açısından elverişli bir yol seçilmelidir. KVKK veri
sorumlusuna aydınlatma yükümlülüğünün yanında veri güvenliğine ilişkin birtakım yükümlülükler de
getirmiştir. Veri güvenliğine ilişkin yükümlülükler Kanun’un 12.maddesinde şu şekilde sıralanmıştır:
-Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
-Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
-Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik
gerekli her türlü teknik ve idari tedbirleri almak zorundadır. 12. maddenin 2. fıkrasında, veri
sorumlusunun, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi
hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu
olduğu belirtilmiştir. Dolayısıyla veri işleyenler için de gerekli önlemleri alma yükümlülüğü getirilmiştir.
Aynı maddenin 3. fıkrası ise veri sorumlusuna gerekli tedbirleri almanın yanı sıra denetim yükümlülüğü
getirmektedir. Başka bir deyişle veri sorumlusu, işlediği kişisel verilerin hukuka uygun olmasını
sağlamaya ilişkin bir denetim yükümlülüğü altındadır. Şüphesiz ki denetim yükümlülüğünün kapsamına
ayrıca alınan tedbirlerin yürürlük ve işlerliğinin kontrolü de girecektir. Veri sorumlularına getirilen bir
başka yükümlülük de 12. maddenin 4. fıkrasında yer almaktadır. Buna göre veri sorumluları ile veri
işleyen kişiler öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak açıklayamazlar. Dikkat
edilmesi gereken ilk husus burada sadece veri sorumlularına değil, aynı zamanda veri işleyenlere de
bu yükümlülüğün getirildiğidir. Fıkra, aynı zamanda veri sorumluları ile veri işleyenlerin öğrendikleri
kişisel verileri amacı dışında kullanamayacaklarını da düzenlemektedir. Açık rızayla verilmiş olsa dahi
kişisel verilere vâkıf olan veri sorumlusu ve veri işleyenler açısından getirilen bu yükümlülük elbette
ilgili kişilerin temel hak ve özgürlüklerini korumak açısından gerekli ve yerindedir. Veri sorumlusunun
diğer bir yükümlülüğü ise 12. maddenin 5. fıkrasında düzenlenmiştir. İlgili fıkraya göre, işlenen kişisel
verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede
ilgilisine ve Kurula bildirmektir. Kurul, gerekmesi hâlinde bu durumu kendi internet sitesinde ya da
uygun göreceği başka bir yöntemle ilan edebilir. KVKK’nın 13. maddesi veri sorumlularına, kendilerine
yapılan başvurulara cevap verme ve kurul kararlarının yerine getirilmesi yükümlülüğü getirmiştir. İlgili
kişi kişisel verilerine ilişkin hususlarda veri sorumlusuna başvurma hakkına sahiptir. Bu başvuru
üzerine veri sorumlusunun cevap verme yükümlülüğü 13. maddede düzenlenmiştir. Veri sorumlusu
başvurudaki talepleri, talebin mahiyetine göre en kısa sürede ve en geç otuz gün içinde
sonuçlandırmalıdır. Kural olarak bu işlem için ücret talep edilmez. Ancak veri sorumlusu işlemin
maliyet gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifeye göre
başvurucudan bir ücret talep edebilir. Başvurunun veri sorumlusunun hatasından kaynaklanması
durumunda ise alınan ücret iade edilir. Başvurunun reddedilmesi, süresinde cevap verilmemesi yahut
verilen cevabın yeterli bulunmaması halinde başvurucu, veri sorumlusunun cevabını öğrendiği tarihten
itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.
Kurul, bir hukuka aykırılık tespit ederse hukuka aykırılıkların giderilmesi kararını ilgililere tebliğ eder.
Kanun’un 15. maddesine göre veri sorumlusu, bu kararı tebliğ tarihinden itibaren gecikmeksizin ve en
geç otuz gün içinde yerine getirmek zorundadır. Başka bir deyişle veri sorumlusu, Kurul kararlarını
yerine getirmekle yükümlüdür. Kanun’un 16. maddesinin 2. fıkrasına göre veri sorumluları veri
işlemeye başlamadan önce “Veri Sorumluları Siciline” kaydolmak zorundadır. Bu sicil, Kurulun
gözetiminde, Başkanlık tarafından kamuya açık olarak tutulur. Kural olarak veri sorumlularının bu sicile
kaydı zorunludur ancak işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması

veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak
suretiyle Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebileceği
öngörülmüştür. Sicil’e kaydın zorunlu olması kuralının birtakım istisnaları mevcuttur. İlk olarak
KVKK’nın 28. maddesi düşünülmelidir. 28. madde, Kanun kapsamı dışında tutulan durumları
düzenlemektedir. İlk fıkra, tamamen kapsam dışında tutulan hususları düzenlemekteyken ikinci fıkra
kısmen kapsam dışı tutulan hususları düzenlemektedir. İlk fıkranın kapsamına giren hallerde Sicil’e
kayıt zorunluluğu olmayacaktır. Yine kısmen kapsam dışı tutulan hususları düzenleyen 2. fıkra, Sicil’e
kayıt yükümlülüğünü düzenleyen 16. maddenin uygulanmayacağı halleri belirlemektedir. Dolayısıyla,
28. madde kapsamına giren durumlarda Sicil’e kayıt zorunluluğu bulunmamaktadır. Sicil’e kayıt
zorunluluğun bir diğer istisnası Sicil’e kayıt zorunluluğunu düzenleyen 16. maddede yer almaktadır.
Anılan hükme göre “Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan
kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz
önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna
getirilebilir.” Kurul bu yetkilendirmeye dayanarak 30.12.2017 tarihli Resmî Gazete’ de yayımlanan “Veri
Sorumluları Sicili Hakkında Yönetmelik” ile adı geçen objektif kriterleri sıralamıştır. Anılan
düzenlemeye göre bu kriterler:
-Kişisel verinin niteliği,
-Kişisel verinin sayısı,
-Kişisel verinin işlenme amacı,
-Kişisel verinin işlendiği faaliyet alanı,
-Kişisel verinin üçüncü kişilere aktarılma durumu,
-Kişisel veri işleme faaliyetinin kanunlardan kaynaklanması,
-Kişisel verilerin muhafaza edilmesi süresi,
-Veri konusu kişi grubu veya veri kategorileri.
 Kişisel Verileri Koruma Kurumu, 02/04/2018 tarih ve 2018/32 sayılı Kurul kararı ile Yönetmelik
doğrultusunda kendisine tanınan yetkiye istinaden bazı meslek gruplarını veri sorumluları siciline kayıt
yükümlülüğünden istisna tutmuştur. Anılan karara göre istisna tutulanlar şu şekildedir:
-Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel
veri işleyenler
-18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler
-04/11/2004 tarihli ve 5253 sayılı Dernekler Kanunu’na göre kurulmuş derneklerden, 20/02/2008 tarihli
ve 5737 sayılı Vakıflar Kanuna göre kurumuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar
ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına
uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve
bağışçılarına yönelik kişisel veri işleyenler.
-22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler.
-19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar
-1/6/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu
uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler.
Özetle KVKK, veri sorumlularına, bilhassa ilgili kişilerin haklarını korumak ve kişisel verilerin hukuka
aykırı işlenmesini önlemek amacıyla birtakım yükümlülükler getirmiştir. Bu yükümlülüklere uyulmaması
halinde idareye geniş bir takdir yetkisi tanınarak idari para cezaları öngörülmüştür (Bkz. Tablo-1 İdari
Cezalar Tablosu). Ayrıca işlemin suç teşkil etmesi yahut zarar doğurması sebebiyle Türk Ceza
Kanunu uyarınca cezai (Bkz. Tablo-2 Cezai Yaptırımlar Tablosu) ve özel hukuk uyarınca tazmin edici
yaptırımlar da saklıdır.

Tablo-1 İdari Para Cezaları Tablosu (Kabahatler)
KVKK’DA ÖNGÖRÜLEN
KABAHATLER

İDARİ PARA CEZALARI
ASGARİ/AZAMİ
Aydınlatma Yükümlülüğünün İhlali 5.000 TL/100.000 TL
Veri Güvenliğine İlişkin
Yükümlülüklerin İhlali 15.000 TL/1.000.000 TL
Kurul Tarafından Verilen Kararları
Yerine Getirilmemesi 25.000 TL/1.000.000 TL
Veri Sorumluları Siciline Kayıt ve 20.000 TL/1.000.000 TL

Bildirim Yükümlülüğünün İhlali

Tablo-2 Cezai Yaptırımlar Tablosu (Suçlar)

TCK’DA ÖNGÖRÜLEN SUÇLAR HAPİS CEZASI
ASGARİ/AZAMİ

Kişisel Verilerin Hukuka Aykırı
Olarak Kaydedilmesi 1 Yıl/3 Yıl
Özel Nitelikli Kişisel Verilerin Hukuka
Aykırı Olarak Kaydedilmesi 1,5 Yıl/4,5 Yıl
Kişisel Verileri Hukuka Aykırı Olarak
Verme veya Ele Geçirme 2 Yıl/4 Yıl
Verileri Zamanında Yok Etmeme 1 Yıl/2 Yıl