Veri Sorumlusunun Yükümlülükleri Nelerdir ?

veri-sorumlusunun-yukumlulukleri

Veri sorumlusunun, kişisel verilerin korunması hukukunda İlgili Kişi ile birlikte temel süjelerden birisi olduğunu ve kanunun merkezinde yer alan veri sorumlusunun kanunda öngörülen yükümlülüklerin doğrudan muhatabı ve müeyyidelerin en önde gelen yükümlüsü olduğunu Veri Sorumlusu Kimdir başlıklı yazımızda anlatmıştık.

Gerçekten de 6698 sy Kişisel Verilerin Korunması Kanunu’nun çeşitli maddelerinde veri sorumlusunun yükümlülükleri düzenlenmiş olup, veri sorumlunun bu yükümlülüklere aykırı davranması halinde çok ağır idari para cezalarına muhatap kalabileceği hükme bağlanmıştır.

Veri Sorumlusunun yükümlülüklerini özel olarak saymak gerekirse

  • Veri Sorumlusunun İlgili Kişiyi Aydınlatma Yükümlülüğü
  • Veri Güvenliğini Sağlama Yükümlülüğü
  • Veri Sorumlusunun Verileri Açıklamama ve İşleme Amacından Farklı Olarak Kullanmama Yükümlülüğü
  • Başvurulara Cevap Verme ve Kurul Kararlarını Yerine Getirme Yükümlülüğü
  • Veri Sorumluları Siciline Kaydolma Yükümlülüğü
  • Veri Sorumlusunun Kişisel Veri İhlallerini Bildirme Yükümlülüğü

Bulunmaktadır.

  • Veri Sorumlusunun İlgili Kişiyi Aydınlatma Yükümlülüğü

6698 sy Kişisel Verilerin Korunması Kanunu’nun 10.maddesine göre;

Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

a) Veri sorumlusunun ve varsa temsilcisinin kimliği,

b) Kişisel verilerin hangi amaçla işleneceği,

c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

d) 11 inci maddede sayılan diğer hakları,

konusunda bilgi vermekle yükümlüdür. Bu yükümlülüğe de aydınlatma yükümlülüğü adı verilmiştir.

Aydınlatma yükümlülüğü kişisel verilerin elde edilmesi sırasında işleme faaliyetine başlamadan önce veya kişisel veriler ilgili kişilerden doğrudan elde edilmemiş ise de makul bir süre içerisinde veya ilgili kişi ile ilk temas sırasında yerine getirilmelidir.

Kişisel Verileri Koruma Kurumu tarafından Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ  yayınlanmıştır.

Aydınlatma yükümlülüğünün gereği yerine getirilmemesi, ilgili kişi tarafından verilen açık rızanın da geçersiz hale gelmesine sebep olacaktır.

Ayrıca veri sorumlusunun veri işleme faaliyete açık rızaya gerek duyulmaksızın kanun kapsamındaki istisnalardan biri kapsamında gerçekleşiyor olsa bile, veri sorumlusunun ilgili kişiyi aydınlatma yükümlülüğü devam etmektedir.

Aydınlatma yükümlülüğünün hiç veya doğru bir şekilde yerine getirilmemesi halinde veri sorumlusunun 2020 yılı için 9.013 TL’sı ile 180.264 TL’sı tutarında idari para cezası ile karşılaşma riski bulunmaktadır.

  • Veri Güvenliğini Sağlama Yükümlülüğü

veri-guvenligini-saglama

6698 sy Kanun’un 12. Maddesine göre;

Veri sorumlusu;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Veri sorumlusunun veri güvenliğine ilişkin alacağı önlemler organizasyonuna, faaliyetlerine ve maruz kalabileceği risk derecesi dikkate alındığında uygun ve yeterli olmak zorundadır. Veri sorumlusunun organizasyonel büyüklüğü, mali bilançosu ve işlediği kişisel verilerin niteliği bu tedbirlerin seçiminde önemli olacaktır.

Kurum’un hazırladığı Kişisel Veri Güvenliği (Teknik ve İdari Tedbirler) Rehberi’ne göre; Veri sorumlusu mevcut durumunu tespit etmeli, çalışanlarına farkındalık kazandırıp eğitimini sağlamalı ve güvenlik prosedürlerini oluşturmalıdır.

Ayrıca veri sorumlusu tarafından alınması gerekli teknik tedbirler;

veri-guvenligi-teknik-tedbirler

ve idari tedbirler de şu şekilde

veri-guvenligi-idari-tedbirler

tespit edilmiştir

Yasanın 12/3. Maddesi ile  Veri sorumlusuna, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak yükümlülüğü getirilmiş ve 12/2.maddesi ile de Veri Sorumlusu’nun Veri işleyen ile müşterek sorumlu olduğu düzenlenmiştir.

Veri sorumlusunun veri güvenliğine ilişkin sorumlularını yerine getirmemesi halinde Kurul tarafından 2020 yılı için 27.040 TL ile 1.802.641 TL’sı arasında idari para cezası verilebilecektir.

  • Veri Sorumlusunun Verileri Açıklamama ve İşleme Amacından Farklı Olarak Kullanmama Yükümlülüğü

6698 sy yasanın 12/4.maddesine göre; Veri sorumluları faaliyeteri gereğince vakıf oldukları kişisel verileri yasaya aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam edecektir.

Yine Kanun’un 4/ç maddesinde tanımlandığı üzere kişisel veriler işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir şekilde işlenmelidirler. Amaca bağlılık ilkesi olarak tanımlanan bu ilkenin amacı verinin işlenme amaçlarının belirlemek ve kişinin neye rıza gösterdiğini bilmesini ve veri sorumlusunun da belirttiği amaç dışına çıkmasını önlemektir.

Yasa’nın 12/4.maddesi ile veri sorumlusuna getirilen bu yükümlülük aslında 4/ç maddesinde düzenlenen amaca bağlılık ilkesinin bir yansımasıdır.

Veri sorumlusunun bu yükümlülüğüne aykırı davranması halinde yine veri güvenliğine ilişkin yükümlülükleri yerine getirmemiş olacak ve 2020 yılı için 27.040 TL ile 1.802.641 TL’sı arasında bir idari para cezasına maruz kalabilecektir. Ayrıca bu ihlalin kasden işlenmesi halinde  Türk Ceza Kanunu’nun 136/1.maddesinde düzenlenen “Verileri hukuka aykırı olarak verme veya ele geçirme” suçu gündeme gelebilecek ve ihlali gerçekleştiren kişi, iki yıldan dört yıla kadar hapis cezası ile yargılanabilecektir.

  • Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hâle Getirilmesi Yükümlülüğü

verilerin-aanonim-hale-getirilmesi

6698 sy yasanın 7.maddesine göre; kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmeli, yok edilmeli veya anonim hâle getirilmelidir.

Kurum tarafından 28.10.2017 tarihinde Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik yayımlanmıştır. Yönetmelik ile Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumlularına bir de  kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlama yükümlülüğü getirilmiş ancak bu yükümlülük altında olmayan veri sorumlularının da kanun ve yönetmelikten kaynaklı sorumluluklarının devam ettiği açıklanmıştır.

Yönetmeliğin 7.maddesi ile de açıklandığı üzere; kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

Verileri silmemenin veya yok etmemenin müeyyidesi Türk Ceza Kanunu’nun 138.maddesinde ağır bir şekilde düzenlenmiştir. Yasaya göre; Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilecektir.

  • Başvurulara Cevap Verme ve Kurul Kararlarını Yerine Getirme Yükümlülüğü

6698 sy yasanın 13. Maddesinde ilgili kişinin veri sorumlusuna başvuru yöntem ve cevap verme şartları düzenlenmiştir. Buna göre 13/1. Maddesine göre; ilgili kişi 11.maddede düzenlenen haklarını kullanmak için önce veri sorumlusuna başvurmak zorundadır.

13/2.maddeye göre; Veri sorumlusu başvuruda yer alan talepleri en geç 30 gün içinde herhangi bir ücret talep etmeksizin sonuçlandırmak zorundadır. Veri Sorumlusu yazılı olarak cevap verecek ise vereceği cevaplar için on sayfaya kadar ücret alamayacak ancak On sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücret talep edebilecektir.

Veri sorumlusunun ilgili kişiye müspet veya menfi mutlaka bir cevap vermesi gerekir. İlgili kişinin talebi kabul edilirse gereği yapılmalı, talep reddedilecek ise de cevabı ilgili kişiye gerekçeli bir şekilde yazılı veya elektronik ortamdan bildirmelidir.

Yasa da Veri sorumlusunun cevap vermemesi veya talebi yerine getirmemesi halinde hakkında verilebilecek bir idari para cezası düzenlenmemiştir. Ancak ilgili kişinin bu durumu Kurul’a şikayet etme hakkı olacaktır.

Kişisel Verileri Koruma Kurulu tarafından Veri sorumlusunun ilgili kişinin başvurusuna hiç veya gereği gibi cevap vermediği ve hatalı bir şekilde talebi yerine getirmediğine karar verilir veya Kurul tarafından re’sen yapılan bir inceleme sonucunda yasaya aykırılık tespit edilir ise 6698 sy yasanın 15/5.maddesine göre; Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Veri sorumlusu bu kararın gereğini tebliğden itibaren en geç otuz gün içinde yerine getirmek zorundadır.

Veri sorumlusunun Kurul’un aldığı kararların gereğini yerine getirmemesi halinde Kurul tarafından 45.060 TL ile 1.802.641 TL’sı arasında bir idari para cezası ile karşılaşma riski bulunmaktadır.

  • Veri Sorumluları Siciline Kaydolma Yükümlülüğü

verbis-veri-sorumulari-sicili

Kişisel Verilerin Korunması Kanunu’nun 16/2. Maddesine göre; Kişisel verileri işleyen tüm gerçek ve tüzel veri sorumluları, veri işleme faaliyetlerine başlamadan önce Veri Sorumluları Siciline yani VERBİS sistemine kaydolmak zorundadırlar. Ancak Kurul tarafından alınan bazı kararlar ile veri sorumlularının büyük bir çoğunluğu veri sorumluları siciline kayıt olmaktan muaf tutulmuştur.

Veri sorumları siciline kayıt olma zorunluluğu bulunan veri sorumlularının ise 30.06.2020, 30.09.2020 ve 31.12.2020 gibi değişen süreler ile bu kayıtlarını tamamlama mecburiyetleri bulunmaktadır. Ancak bu sürelerin uzatılması beklenmektedir. 

  • Veri Sorumlusunun Kişisel Veri İhlallerini Bildirme Yükümlülüğü

6698 sy yasanın 12/5.maddesine göre; İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildirmesi gerekmektedir.

Kişisel Verileri Koruma Kurulu tarafından 24.01.2019 Tarih Ve 2019/10 sy ile alınan Kişisel Veri İhlali Bildirim Usul Ve Esaslarına İlişkin karar ile yasada tanımlanan en kısa sürede ifadesinin 72 saat olarak yorumlanacağı ve 72 saatin aşılması halinde gecikmenin nedenlerinin de bildirilmesi gerektiğine karar verilmiştir.

Kurum tarafından ihlal bildirimi için internet sitesinde ayrı bir modül de düzenlenmiştir. Bildirimler bu modül üzerinden yapılmalıdır.

Yine Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda da bildirim yükümlülüğü bulunmaktadır.

Bugüne kadar Kurum’a çok sayıda veri ihlali bildirimi yapılmıştır. Veri sorumlusu tarafından bu bildirimin yapılmaması halinde Kurul tarafından 36.053 TL ile 1.802.641 TL’sı arasında bir idari para cezası verilebilecektir.

Yorum Bırak

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir