KVK Kapsamındaki Yükümlülükler

6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Bu kapsamda veri sorumlusu tüzel kişinin kendisidir, tüzel kişiliğin içerisinde veri işleme faaliyetlerinden sorumlu olan gerçek kişiler veri sorumlusu sayılmazlar. Veri sorumlusunun tüzel kişi olması halinde, veri sorumlusu yükümlülüğü, ilgili tüzel kişilik üzerinde doğacaktır. Bu yükümlülük tüzel kişiliği temsil ve ilzama yetkili organlar veya kişiler eliyle yerine getirilecektir. Söz konusu yükümlülüklerin yerine getirilmesi için başkaca kişiler görevlendirilse dahi bu görevlendirme tüzel kişiliğin veri sorumlusu yükümlülüğünü ortadan kaldırmaz ve görevlendirilen gerçek kişileri de veri sorumlusu yapmaz.

Kanun ve beraberinde yayımlanan tebliğ ve yönetmeliklerle veri sorumlularının uymaları gereken pek çok yükümlülük düzenlenmiştir. Bu yükümlülüklerin başlıcaları aşağıdaki şekildedir:

1. Genel İlkelere Uyum Sağlama
2. İşleme Şartlarına Uyum Sağlama
3. Aydınlatma Yükümlülüğü
4. Silme/Yok Etme/Anonimleştirme
5. Aktarım Yasağı/ Yurt Dışına Aktarım Yasağı
6. Veri Güvenliğini Sağlama ve Denetim Yükümlülüğü
7. Kişisel Veri İşleme Envanteri Hazırlama
8. Veri Sorumluları Siciline Kayıt Olma
9. Kişisel Verisi İşlenen Kişinin Başvurusunu Yanıtlama

Genel İlkelere Uyum Sağlama

Kişisel verilerin işlenmesi; kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi verilerin üzerinde gerçekleşen her türlü işlem olarak tanımlanmaktadır. Söz konusu işleme faaliyetlerinin ancak Kanun’da ve diğer kanunlarda öngörülen usul ve esaslar çerçevesinde yapılması mümkündür. Buna ek olarak, Kanun’un 4. maddesi uyarınca veri sorumlusu kişisel verilerin işlenmesi sırasında aşağıda sayılan ilkelere uymakla yükümlüdür.

• Hukuka ve dürüstlük kurallarına uygun olma,
• Doğru ve güncel olma,
• Belirli, açık ve meşru amaçlar için işlenme,
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Dürüstlük, kişisel verileri işlenecek veri sahibinden habersiz olarak hiçbir koşulda kişisel verisinin toplanmaması ve işlenmemesi, veri sahibine karşı haksızlığa yol açacak şekilde kullanılmaması, toplanma amacının aşılmaması ile sağlanmış sayılacaktır. Hukuka uygunluk ise veri işlemenin, Kanun ve diğer mevzuatlara aykırı olmamasıdır. İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi durumunda, veri sorumlusu bu durumu en kısa sürede ilgili veri sahibine ve Kişisel Verilerin Korunması Kurulu’na (“Kurul”) bildirecektir.

Kişisel verilerin işlenmesinde veri işleme amacının veri sorumlusu tarafından açık ve kesin olarak belirlenmesi ve söz konusu amacın meşru olması gerekir. Buradaki amacın meşru olmasından kasıt, veri sorumlusunun işlediği verilerin, yaptığı iş veya sunduğu hizmet ile bağlantılı ve bunlar için gerekli olmasıdır.  

Veri sorumlusu, ilgili mevzuatta verilerin saklanması için özel bir süre öngörülmüşse bu sürelere uymak, aksi halde verileri ancak işlendikleri amaç için gerekli olan süre kadar muhafaza etmelidir. Saklanması için geçerli bir sebebin kalmaması halinde veri sorumlusu; verilerin silinmesi, yok edilmesi veya yok edilmesi seçeneklerinden istediğini seçerek gereğini yerine getirmesi gerekir. Zira gelecekte ihtiyaç duyulması ihtimaline binaen verilerin saklanması mümkün değildir. Bunların yanı sıra, kişisel veri sahibi tarafından verilerinin silinmesi ya da yok edilmesi talebiyle karşı karşıya kalındığında rızanın olup olmadığına bakılmaksızın talebin gereğinin kanunda öngörülen süreler dahilinde yerine getirilmesi gerekir.

İşleme Şartlarına Uyum Sağlama

Veri sorumlusunun kişisel verilerin işlenmesi sırasında, işleme faaliyetinin kanunda belirtilmiş olan işleme şartlarına uygun olmasını sağlama yükümlülüğü söz konusudur. Kişisel verilerin işlenmesinde kural olarak açık rıza aranmakla birlikte bazı istisnai durumlarda söz konusu rıza alınmaksızın veri işleme meşru olacaktır. Veri sorumlusunun bu noktada söz konusu şartları sağlama yükümlülüğünden bahsedilecektir.

Kanun’un 5. maddesinde kişisel verilerin hangi hallerde hukuka uygun olarak işlenebileceğine dair veri işleme şartları düzenlenmiştir. Bu doğrultuda kişisel veriler ancak aşağıda sıralanan şartlardan en az birinin varlığı halinde hukuka uygun şekilde işlenebilir:

• Veri sahibinin açık rızasının varlığı,
• Kanunlarda açıkça öngörülmesi,
• Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı ve beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• Veri sahibinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması,
• Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

Aydınlatma Yükümlülüğü

Veri sorumlusunun aydınlatma yükümlülüğü Kanun’un 10. maddesinde düzenlenmiştir. Buna göre, kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, kişisel verilerini işleyecekleri kişilere;

• Veri sorumlusunun ve varsa temsilcisinin kimliğini,
• Kişisel verilerin hangi amaçla işleneceğini,
• İşlenen kişisel verilerin kimlere ve hangi amaçlarla aktarılabileceğini,
• Kişisel veri toplamanın yöntemi ve hukuki sebebini,
• İlgili kişinin haklarını bildirmekle yükümlü kılınmıştır.

Veri sorumlusu, kişisel veri elde ettiği her aşamada aydınlatma yapmakla yükümlüdür. Kişisel verilerin toplanmasının yöntemi ve hukuki sebebi kişisel verilerin elde edildiği aşamaya göre değiştikçe aydınlatma metni de ona göre revize edilmelidir. Bununla birlikte aydınlatma yükümlülüğü yerine getirilirken veri sahibine verilecek bilgiler, veri sorumlusu siciline açıklanan bilgilerle uyumlu ve kategorik şekilde olmalıdır. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusundadır.

Silme/Yok Etme/Anonimleştirme

Veri sorumlusu, kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde re’sen ya da veri sahibinin talebi üzerine kanunda öngörülen süreler içerisinde söz konusu verileri silmek, yok etmek ya da anonim hale getirmekle yükümlüdür.

Aktarım Yasağı/Yurt Dışına Aktarım Yasağı

Kural olarak veri sorumlusu, kişisel verileri 3.kişilere aktarabilmek için veri sahibinin açık rızasını almakla yükümlüdür. Ancak aşağıda belirtilen istisnalardan birinin bulunması halinde ilgili kişinin açık rızası olmaksızın 3. kişilere aktarabilecektir.

• Kanunlarda açıkça öngörülmesi,
• Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı ve beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• Veri sahibinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması,
• Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,
• Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından ise, yeterli önlemlerin alınması şartı ile kanunda öngörülen hallerde aktarılabilecektir.
• Sağlık ve cinsel hayata ilişkin kişisel veriler de ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanın planlanması ve yönetilmesi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın aktarılabilir.

Kanun’un 8.maddesinde diğer kanunlarda yer alan kişisel verilerin aktarılmasına dair hükümlerin saklı olduğu belirtilmiştir.

Yurt Dışına Aktarılma; Kanun’un 9. Maddesinde kişisel verilerin ve özel nitelikli kişisel verilerin yurt dışına aktarılması hususu düzenlenmiştir. Kural olarak kişisel veriler, ilgilinin açık rızası aranmaksızın yurt dışına aktarılamaz. Ancak yukarıda açıklanan “3.kişilere açık rıza aranmaksızın veri aktarımı yapılmasına dair istisnai haller” aşağıdaki birtakım şartlarla birlikte gerçekleşmek koşuluyla burada da geçerli sayılacaktır:

Kişisel verilerin aktarım yapılacağı yabancı ülkede; “Yeterli korumanın bulunması ya da yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması kaydıyla ilgili kişinin açık rızası bulunmaksızın yurt dışına aktarılabilecektir.”

Kanun’un 9.maddesinde diğer kanunlarda yer alan kişisel verilerin yurt dışına aktarılmasına dair hükümlerin saklı olduğu belirtilmiştir.

Veri Güvenliğini Sağlama ve Denetim Yükümlülüğü                                                                                          

Veri güvenliğinin sağlanması konusunda veri sorumlusuna düşen yükümlülükler Kanun’un 12. maddesinde belirtilmiştir. Buna göre veri sorumlusu;

• Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
• Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
• Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbiri almakla yükümlüdür. Ayrıca;
• Veri sorumlusu kendi kurum ve kuruluşlarında, Kanun’un uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak ve yaptırmak zorundadır.
• Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
• İşlenen kişisel verilerin hukuka aykırı şekilde başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.

Kişisel Veri İşleme Envanteri Hazırlama

Veri sorumluları, iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işlemeamaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri detaylı şekilde açıklayarak bir kişisel veri envanteri oluşturmalıdır. Zira, veri sorumluları siciline yapılacak başvurularda Sicile açıklanacak bilgiler bu envantere dayalı olarak hazırlanacaktır.

Veri Sorumluları Siciline Kayıt Olma

Kanun’un 16. Maddesine göre, Kurul gözetiminde Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulacaktır. Kamuya açıklık kavramı, isteyen kişinin sicil üzerinde inceleme yapabilmesi anlamına gelmektedir. Kamuya açıklık ilkesi sayesinde veri sorumlularının kamu tarafından bilinebilir olması, veri sahiplerinin hak ihlallerine karşı daha etkili bir şekilde mücadele etmesine imkan verecektir. Yine bu maddeye göre kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce bu Sicile kaydolmak zorundadır. Ancak aynı maddenin devamında, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından Veri Sorumluları Siciline kayıt zorunluluğuna istisnalar getirilebileceği belirtilmiştir. Bu hükme istinaden Kurul tarafından söz konusu kriterler belirlenmiş ve 30.12.2017 tarihli Resmi Gazete’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmelikte bu kriterler sayılmıştır:

• Kişisel verinin niteliği,
• Kişisel verinin sayısı,
• Kişisel verinin işlenme amacı,
• Kişisel verinin işlendiği faaliyet alanı,
• Kişisel verinin üçüncü kişilere aktarılma durumu,
• Kişisel veri işleme faaliyetinin kanunlardan kaynaklanması,
• Kişisel verilerin muhafaza edilme süresi,
• Veri konusu kişi grubu veya veri kategorileri.

Akabinde 15.05.2018 tarihli Resmi Gazete’de yayımlanan 02.04.2018 tarihli, 2018/32 sayılı Kurul kararı ile sicile kayıt yükümlülüğünden muaf tutulacak kişiler aşağıdaki şekilde belirlenmiştir:

• Herhangi bir veri kayıt sisteminin parçası olarak, yalnızca otomatik olmayan yollarla kişisel veri işleyenler,
• 18.01.1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler,
• 04.11.2004 tarihli ve 5253 sayılı Dernekler Kanunu’na göre kurulmuş derneklerden, 29.02.2008 tarihli ve 5737 sayılı Vakıflar Kanunu’na göre kurulmuş vakıflardan ve 18.10.2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanunu’na göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler,
• 22.04.1983 tarihli ve2820 sayılı Siyasi Partiler Kanunu’na göre kurulmuş siyasi partiler,
• 19.03.1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar,
• 01.06.1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ile Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler

Yukarıda sayılan istisnalar kapsamında sayılmayan veri sorumlularının, Veri Sorumluları Siciline kayıt için yapacakları başvuru aşağıdaki bilgileri içermelidir:

• Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,
• Kişisel verilerin hangi amaçla işleneceği,
• Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
• Kişisel verilerin aktarılabileceği alıcı ve alıcı grupları,
• Yabancı ülkelere aktarımı öngörülen kişisel veriler,
• Kişisel veri güvenliğine ilişkin alınan tedbirler,
• Kişisel verilerin işlendikleri amaç için gerekli olan azami süre

Veri sorumluları, Sicile sunulan ve Sicilde yayınlanan bilgilerin eksiksiz, doğru, güncel ve hukuka uygun olmasından sorumludur. Sicile ilişkin işlemler, veri sorumluları tarafından Veri Sorumluları Sicil Bilgi Sistemi (“VERBİS”) üzerinden gerçekleştirilir.

Kişisel Verisi İşlenen Kişinin Başvurusunu Yanıtlama

Kanun uyarınca, kişisel verileri işlenen kişiler aşağıda belirtilen hususlarda veri sorumlusuna başvurma hakkına sahiptir:

• Kişisel verilerinin işlenip işlenmediğini öğrenme,
• İşlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik ya da yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
• İşlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerinin silinmesini veya yok edilmesini isteme,
• Kişisel verilerin aktarıldığı üçüncü kişilerin, kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesinin ve işlenmesini gerektiren sebeplerin ortadan kalkması hallerinde yapılan silme veya yok etme işlemlerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin yalnızca otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.

Veri sorumlusu, söz konusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç 30 gün içerisinde ücretsiz olarak sonuçlandırmakla yükümlüdür. Veri sorumlusu bu talebi kabul ya da reddedebilir. Reddetmesi halinde gerekçesini açıklaması gerekmektedir ve cevabı ilgili kişiye yazılı olarak veya elektronik ortamda bildirecektir. Talebin kabul edilmesi halinde veri sorumlusunun gereğini yerine getirmesi gerekmektedir. 

Veri sorumlusu tarafından başvurunun reddedilmesi, verilen cevabın yetersiz bulunması ya da süresinde başvuruya cevap verilmemesi hallerinde, veri sahibi, veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 ve her halde başvuru tarihinden itibaren 60 gün içinde Kurula şikayette bulunabilir.

 Veri sahibi, şikayet yolunu ancak veri sorumlusuna başvuru yolunu tükettikten sonra başvurabilecektir.

Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapacaktır.

Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri 15 gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.

Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikâyet tarihinden itibaren 60 gün içinde cevap verilmezse talep reddedilmiş sayılır.

Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ edecektir. Bu karar, tebliğden itibaren gecikmeksizin ve en geç 30 gün içinde yerine getirilecektir. Aksi halde Kanun’un 18. Maddesi uyarınca 25.000 ile 1.000.000 TL değerinde idari para cezası yaptırımı uygulanacaktır.