Veri Koruma Hukukuna Göre Veri Sorumlusunun Yükümlülükleri
6698 Sayılı Kişisel Verilerin Korunması Hakkındaki Kanun’a(“KVKK”)göre, veri sorumlusu, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Tüzel kişilerde veri sorumlusu, görevlendirilen bir gerçek kişi değil tüzel kişiliğin bizzat kendisidir. Buna göre şirketlerde veri sorumlusu; şirket çalışanı, yöneticisi, patronu, yönetim kurulu başkanı, yönetim kurulu üyeleri, avukatı gibi şirketi temsil eden kişiler veya dışarıdan hizmet alınan kişiler değil, şirketin kendisidir. Ancak şirket, kanunun uygulanmasıyla ilgili iş ve işlemleri yerine getirme konusunda bu kişileri görevlendirebilir.
Veri sorumlusu, veri hukukunda verinin elde edildiği ilk andan başlamak üzere ilgili kişilerin verilerinin korunması hususunda hukuken sorumlu olan tek taraftır. Bu sorumluluk ancak verilerin bir veri işleyen tarafından işlenmesi durumu söz konusu olduğunda müteselsil sorumluluğa dönüşmektedir. Bu bağlamda veri sorumlusunun ilgili Kanun ve ikincil mevzuata göreyükümlülüklerininbelirlenmesi önem arz etmektedir.
Bu çalışma Kişisel Verilerin Korunması Kanunu ve Kanun uyarınca yayınlanmış yönetmeliklere göre veri sorumlusunun yükümlülüklerininele alınmasıamacıyla hazırlanmıştır.
KANUNLA BELİRLENMİŞ YÜKÜMLÜLÜKLER
| Kişisel Verilerin Korunması Kanunu, md. 4 | Genel ilkelere uygun hareket etmek.
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun hareket etmek. |
| Kişisel Verilerin Korunması Kanunu, md. 5 | İşleme şartlarını belirlemek.
(Özel nitelikli verilerin işlenmesinde ayrıca yeterli önlemlerin alınması ile yükümlüdür.) |
| Kişisel Verilerin Korunması Kanunu, md. 7 | İşlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verileri resen veya ilgili kişinin talebi üzerine silmek, yok etmek veya anonim hâle getirmek. |
| Kişisel Verilerin Korunması Kanunu, md. 9 | Yurtdışına aktarımda açık rıza şartının bulunmaması ve aktarım yapılacak ülkenin yeterli korumanın bulunduğu ülkeler listesinde [1] yer almıyor olması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, koşullarını yerine getirmek. [1]Kişisel Verileri Koruma Kurumu tarafından yeterli korumanın bulunduğu ülkeler listesi 28.04.2020 tarihiyle açıklanmamıştır. |
| Kişisel Verilerin Korunması Kanunu, md. 10 | Kişisel verilerin elde edilmesi sırasında ilgili kişilere karşı aydınlatma yükümlülüğünü yerine getirmek. |
| Kişisel Verilerin Korunması Kanunu, md. 11 ve 13 | İlgili kişilerin haklarını kullanabilmeleri için gerekli mekanizmaları kurmak. |
| Kişisel Verilerin Korunması Kanunu, md. 12/1-a,b | Kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek. |
| Kişisel Verilerin Korunması Kanunu, md. 12/1-c | Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak. |
| Kişisel Verilerin Korunması Kanunu, md. 12/3 | Kendi kurum veya kuruluşunda, ilgili mevzuat hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak. |
| Kişisel Verilerin Korunması Kanunu, md. 12/4 | Öğrendiği kişisel verileri ilgili mevzuat hükümlerine aykırı olarak başkasına açıklamamak ve işleme amacı dışında kullanmamak. |
| Kişisel Verilerin Korunması Kanunu, md. 12/5 | İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurula bildirmek. |
| Kişisel Verilerin Korunması Kanunu, md. 15/3 | Devlet sırrı niteliğindeki bilgi ve belgeler hariç; Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak. |
| Kişisel Verilerin Korunması Kanunu, md. 16/2 | Veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak. |
| Kişisel Verilerin Korunması Kanunu, md. 18 | Kurul kararlarına uymak. |
İKİNCİL MEVZUATLA BELİRLENMİŞ YÜKÜMLÜLÜKLER
| Veri Sorumluları Sicili Hakkında Yönetmelik [2] md. 5/1-a ve 8 | Kişisel veri işlemeye başlamadan önce Sicile kaydolmak. |
| Veri Sorumluları Sicili Hakkında Yönetmelik md. 5/ç | Kişisel Veri İşleme Envanteri hazırlamak. |
| Veri Sorumluları Sicili Hakkında Yönetmelik md. 5/1-e | Sicile sunduğu ve Sicilde yayınlanan bilgilerin eksiksiz, doğru, güncel ve hukuka uygun olduğundan emin olmak. |
| Veri Sorumluları Sicili Hakkında Yönetmelik md. 8/2 | Sonradan kayıt yükümlüsü haline gelen veri sorumluları bakımından yükümlülük altına girmeyi müteakip otuz gün içerisinde Sicile kaydolmak. |
| Veri Sorumluları Sicili Hakkında Yönetmelik md. 11 | İrtibat kişisi veya veri sorumlusu temsilcisi [3] atamak. |
| Veri Sorumluları Sicili Hakkında Yönetmelik md. 13 | Sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde VERBİS üzerinden Kuruma bildirmek. |
| Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik md. 5/1 | Kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamak.
(Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları bakımından geçerlidir.) |
| Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik md. 7/3 | Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemleri kayıt altına almak ve söz konusu kayıtları diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklamak. |
| Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik md. 7/4 | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemiyle ilgili uygulanan yöntemleri ilgili politika ve prosedürlerinde açıklamak. |
| Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik md. 8/2 | Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almak. |
| Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik md. 9/2 | Kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almak. |
| Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik md. 10/3 | Kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almak. |
| Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik, md. 12/1-a; Kişisel Verilerin Korunması Kanunu, md. 13/2 | İlgili kişi, Kanunun 11 inci ve 13 üncü maddelerine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde ilgili kişinin talebini en geç otuz gün içinde sonuçlandırmak. |
| Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik md. 12/1-b | Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve ilgili kişinin talebe konu olan kişisel verileri üçüncü kişilere aktarılmışsa bu durumu üçüncü kişiye bildirmek; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin etmek. |
[1] Kişisel Verileri Koruma Kurumu tarafından yeterli korumanın bulunduğu ülkeler listesi 28.04.2020 tarihiyle açıklanmamıştır.
[2] İşbu yönetmeliğe ilişkin yükümlülükler Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları bakımından geçerlidir.
[3] Yurtdışında yerleşik tüzel kişiler veri sorumlusu temsilcisi atayacaklardır.
Bu konu hakkında daha fazla bilgi için:
