6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)’nun yürürlüğe girmesiyle birlikte hayatımıza giren önemli kavramlardan biri veri sorumlusudur. Veri sorumlusu, Kanun’un 3. maddesinde şu şekilde tanımlanmıştır:
“Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.”
Ayrıca, Kanun’un 10. ve devamı maddelerinde veri sorumlularına çeşitli yükümlülükler getirilmiştir. Bu yükümlülüklerin başında aydınlatma yükümlülüğü gelir.
Aydınlatma Yükümlülüğü
Aydınlatma yükümlülüğü, kişisel verilerin elde edilmesi sırasında başlar. Bununla birlikte, verilerin işlenmesi veya aktarılması sırasında bir değişiklik olması durumunda da devam eder. KVKK’nın 10. maddesinde yer alan aydınlatma yükümlülüğünün kapsamı şunları içerir:
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- maddede belirtilen ilgili kişinin hakları.
Aydınlatma yükümlülüğü, bilgilendirmeye dayalı açık rızanın ön şartı niteliğindedir. Ancak bu yükümlülük sadece açık rızaya dayalı durumlarda değil, kişisel verilerin işlendiği her durumda geçerlidir.
Veri sorumlusu tarafından yapılacak aydınlatmanın herhangi bir şekil şartına tabi olmadığı belirtilmiştir. Ancak aydınlatma açıklamasının yapıldığını ispat etme yükümlülüğü veri sorumlusuna aittir. Bu nedenle, ispat açısından uygun bir yol seçilmelidir.
Veri Güvenliğine İlişkin Yükümlülükler
KVKK’nın 12. maddesi, veri güvenliği konusundaki yükümlülükleri sıralar. Veri sorumlusu, aşağıdaki tedbirleri almak zorundadır:
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak için uygun güvenlik düzeyinde teknik ve idari tedbirler almak.
Eğer kişisel veriler, veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işleniyorsa, bu tedbirlerin alınmasından müştereken sorumluluk söz konusudur.
- madde ayrıca veri sorumlularına şu yükümlülükleri getirir:
- Alınan tedbirlerin yürürlükte olduğundan emin olmak amacıyla denetim yükümlülüğü,
- Kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi durumunda, ilgili kişiyi ve Kurulu bilgilendirme zorunluluğu.
Başvurulara Cevap Verme ve Kurul Kararlarını Yerine Getirme Yükümlülüğü
Kanun’un 13. maddesi, veri sorumlularına yapılan başvurulara cevap verme yükümlülüğünü düzenler. Veri sorumlusu, başvuruları en geç 30 gün içinde sonuçlandırmalıdır.
Başvurunun veri sorumlusunun hatasından kaynaklanması durumunda alınan ücret iade edilir. Ayrıca, başvurunun reddedilmesi veya verilen cevabın yetersiz bulunması halinde başvurucu, Kurula şikâyette bulunabilir.
Kurulun bir hukuka aykırılık tespit etmesi durumunda, ilgili veri sorumlusu Kurul kararlarını en geç 30 gün içinde yerine getirmekle yükümlüdür.
Veri Sorumluları Siciline Kayıt Zorunluluğu
KVKK’nın 16. maddesine göre veri sorumluları, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, Kurul tarafından belirlenen bazı durumlarda bu zorunluluk istisna tutulabilir.
Sicile kayıt zorunluluğundan istisna tutulabilecek kişiler ve gruplar arasında noterler, avukatlar ve belirli meslek grupları yer alır.
KVKK’ya Uyulmamanın Yaptırımları
Kanun, veri sorumlularının yükümlülüklerini yerine getirmemesi durumunda idari para cezaları ve cezai yaptırımlar öngörmektedir.
Tablo 1: İdari Para Cezaları
| Kabahatler | İdari Para Cezası (TL) |
|---|---|
| Aydınlatma Yükümlülüğünün İhlali | 5.000 - 100.000 |
| Veri Güvenliği Yükümlülüğünün İhlali | 15.000 - 1.000.000 |
| Kurul Kararlarının Yerine Getirilmemesi | 25.000 - 1.000.000 |
| Sicile Kayıt ve Bildirim Yükümlülüğünün İhlali | 20.000 - 1.000.000 |
Tablo 2: Cezai Yaptırımlar (TCK)
| Suçlar | Hapis Cezası |
|---|---|
| Kişisel Verilerin Hukuka Aykırı Kaydedilmesi | 1 - 3 yıl |
| Özel Nitelikli Verilerin Hukuka Aykırı Kaydedilmesi | 1,5 - 4,5 yıl |
| Kişisel Verileri Hukuka Aykırı Verme veya Ele Geçirme | 2 - 4 yıl |
| Verileri Zamanında Yok Etmeme | 1 - 2 yıl |
KVKK’nın temel amacı, kişisel verilerin korunması ve ilgili kişilerin temel haklarının güvence altına alınmasıdır. Kanuna uyulmaması durumunda idari ve cezai yaptırımlarla karşılaşılabileceği unutulmamalıdır.