VERİ SORUMLUSU VE YÜKÜMLÜLÜKLERİ

GİRİŞ

Kişisel verilerin korunması kavramı, gerek günümüz teknolojisi ile birlikte veri işleme faaliyetinin artması gerekse de birey açısından kişisel verilerin işlenmesinin barındırdığı tehlike bakımından önem arz etmektedir. Bu önem nedeniyle zaman içerisinde verisi işlenen kişilerin haklarını ve veri işleyen kişilerin yükümlülüklerini düzenleme ihtiyacı doğmuştur. Bu ihtiyaca karşılık ülkemizde Avrupa’ya göre geç de olsa 2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verileri Koruma Kanun ile birlikte temel mevzuat çalışması tamamlanmıştır.
Bu yazımızda Kişisel Verilerin Korunması Kanunu kapsamında veri sorumlusu kavramının tanımı ve veri sorumlusunun yükümlülükleri üzerinde durulacaktır.

VERİ SORUMLUSU KAVRAMI

Veri sorumlusu, Kişisel Verilerin Korunması Kanunu’nda “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmıştır. Bu tanımdan hareketle, veri sorumlusunun elde edilen kişisel verinin “hangi amaçla” ve “ne şekilde” işleneceğine karar verecek olan gerçek veya tüzel kişi olduğunu söylemek mümkündür.
Tüzel kişiler bakımından değerlendirilecek olursak tüzel kişiler, (dernekler, şirketler, kurumlar, vakıflar) elde edilen verinin işlenmesi faaliyeti dolayısıyla doğrudan veri sorumlusu olurlar. Şirket içi birimler, şirketten bağımsız bir yapı söz konusu olmadığından ayrıca veri sorumlusu sıfatına sahip olamazlar. Ancak bir şirketler grubu söz konusu olduğunda, grup firmalardan her biri ayrı veri işleme faaliyetinden sorumlu olabilir ve veri sorumlusu sıfatına sahip olabilecektir.

Veri sorumlusunun kişisel verilerin korunması hukuku bakımından temel bir öneme sahip olduğunu söylenebilir. Çünkü veri sorumlusunun en temel yükümlülüğü kişisel verilerin korunması kapsamında hukuk kurallarına uygun hareket etmektir. Bu yönü ile veri sorumlusu hem kişisel verisi elde edilerek işlenen ilgili kişinin, hem de Kişisel Verileri Koruma Kurumu’nun doğrudan muhatabıdır.
Bu kapsamda Kanun kapsamında kişisel verilerin korunmasına ilişkin olarak öngörülen aydınlatma yükümlülüğü, veri güvenliğine ilişkin yükümlülükler gibi son derece önemli yükümlülüklerin temel muhatabı veri sorumlusudur. Bu nedenle, veri sorumlusu olmak, birçok yükümlülüğü de beraberinde getirmektedir.
Veri sorumlusunun hem işleme faaliyetini Kanun’a uygun olarak gerçekleştirmesi hem de işleme faaliyetini temel bazı prensiplere uygun olarak gerçekleştirmesi gerekecektir. Aksi halde gerçekleştirilen veri işleme faaliyeti hukuka aykırı hale gelecek ve veri sorumlusunun sorumluluğu gündeme gelecektir.

VERİ SORUMLUSU`NUN YÜKÜMLÜLÜKLERİ

6698 sayılı Kanunda veri sorumlusu, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmıştır . Veri sorumluları, veri işleme faaliyetini bizzat yapabileceği gibi, bunu gerçekleştirmesi üçüncü bir kişiyi yani veri işleyeni yetkilendirmek suretiyle de yapabilir. Veri işleyen, veri sorumlusundan aldığı yetkiyle, veri sorumlusu adına verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişidir . 6698 sayılı Kanunla veri sorumlusuna kişisel verileri işlerken yukarıda belirtilen genel ilkelerin yanında birtakım yükümlülükler de getirilmiştir. Bu yükümlülükler başlıca; aydınlatma yükümlüğü, veri güvenliğine ilişkin yükümlükler, ilgili kişiler tarafından yapılan başvuruların cevaplanması, Kurul kararlarının yerine getirilmesi yükümlülüğü, Veri Sorumluları Siciline kaydolma yükümlüğü ve veri ihlali durumunda Kurula bildirim yapma yükümlüğüdür.

AYDINLATMA YÜKÜMLÜLÜĞÜ

Veri sorumlusu, kişisel verileri işlenen ilgili kişilere bu verilerin kim tarafından, hangi amaçla ve hukuki dayanaklarla toplandığı, işlendiği, kullanıldığı, depo edildiği veya aktarıldığı konusunda gerekli bilgileri vermekle yükümlüdür. Kişinin haklarını tam anlamıyla kullanabilmesi için işlenen kişisel verileri ile işleme faaliyeti hakkında bilgi sahibi olması gerekliliği ve özellikle kamu sektörünün elinde bulunan kişisel veriler düşünüldüğünde idarenin şeffaflığı bakımından bu yükümlülük önem arz etmektedir.
Bireyin kişisel verilerinin işlendiği konusundaki bilgilendirme yükümlülüğü dürüstlük ve şeffaflık ilkesi ile yakından ilişkilidir. Kanunun 10. maddesi kapsamında veri sorumlusu, kişisel verilerin elde edildiği esnada bizzat veya yetkilendirdiği kişi vasıtasıyla “Veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve 11. maddede sayılan diğer hakları ” konularında ilgili kişileri aydınlatmakla yükümlüdür.

Madde metninde belirtilen konulardan herhangi birini içermeyen bir bildirimin yapılması halinde, veri sorumlusu aydınlatma yükümlülüğünü yerine getirmemiş sayılacaktır. Aydınlatma yükümlülüğü veri sorumluları açısından bir yükümlülük olmakla birlikte, kişisel verileri işlenen kişiler için bir hak niteliğindedir. Kişisel Verileri Koruma Kurumu tarafından 10.03.2018 tarihli Resmî Gazete’de yayımlanan “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” ile aydınlatma yükümlülüğü kapsamında veri sorumluları tarafından uyulması gereken usul ve esaslar belirtilmiştir. Tebliğde, veri sorumlusu veya yetkilendirildiği kişinin aydınlatma yükümlülüğünü sözlü, yazılı, çağrı merkezi aracılığıyla ses kaydı gibi fiziksel veya elektronik ortam kullanarak yerine getirebileceği belirtilmiştir. Ancak aydınlatma yükümlülüğünün ispat yükü veri sorumlusuna ait olduğundan bilgilendirmenin sözlü yapılması ispat açısından sorun teşkil edebilir.

VERİ GÜVENLİĞİNİ SAĞLAMA YÜKÜMLÜLÜĞÜ

KVKK'nın 3. maddesine göre veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
Kanun koyucu, kişisel veri güvenliğinin sağlanmasını Kanun'un amaçlarından biri olarak görmüş ve veri sorumlusu için kişisel verilerin hukuka aykırı olacak şekilde işlenmesini önleme, bu verilere hukuka aykırı olacak şekilde erişilmesini önleme ve kişisel verilerin hukuka uygun olacak şekilde muhafazasını sağlama yükümlülüklerinin tamamını kapsayan veri güvenliğini sağlama yükümlülüğünü öngörmüştür.
Bu kapsamda KVKK'nın 12. Maddesi uyarınca veri sorumlusu; (i) kişisel verilerin hukuka aykırı olarak işlenmesini önleme, (ii) kişisel verilere hukuka aykırı olarak erişilmesini önleme, (iii) kişisel verilerin muhafazasını sağlama amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türkü teknik ve idari tedbiri almak zorundadır. Bununla birlikte, kişisel veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi durumlarında KVKK kapsamında 15.000 TL ile 1.000.000 TL arasında idari para cezası öngörülmüştür.

Bu kapsamda örnek bir karar olarak bir sigorta şirketinin internet sayfasının bulunduğu test sunucusunun siber saldırıya uğraması ve yetkisiz erişim sonucunda, uygulamanın bulunduğu veri tabanı silinerek, yerine fidye taleplerinin yer aldığı yeni bir veri tabanının sisteme yüklenmesi suretiyle, veri ihlali gerçekleşmiştir. Veri sorumlusu tarafından gerçekleştiği gün tespit edilen bu veri ihlalinden 311 kişi etkilenmiş; ihlalden etkilenen kişisel veri türlerinin, TC Kimlik Numarası, isim-soy isim, e-posta ve plaka bilgisi olduğu belirtilmiştir. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (‘KVKK’) 12/1 fıkrası uyarınca, veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusuna, 300.000 TL idari para cezası uygulanmasına karar verilmiştir.

İLGİLİ KİŞİLER TARAFINDAN BAŞVURULARIN CEVAPLANMASI YÜKÜMLÜLÜĞÜ

KVKK Madde 11`de düzenlenen bu sorumluluk, ilgili kişinin veri sorumlusuna başvurarak kişisel verileri üzerindeki her türlü faaliyeti öğrenme, kişisel verisi ve işleme faaliyeti hakkında bilgi edinme hakkına sahip olduğunu belirtmiştir
İlgili kişiler tarafından yapılan başvuruların cevaplanması yükümlülüğü, ilgili kişinin verileri hakkında bilgi alma hakkı ile birlikte düşünülmelidir. Çünkü ilgili kişinin verileri hakkında bilgi alma hakkını kullanarak veri sorumlusuna başvurması akabinde veri sorumlusunun da bu başvuruyu cevaplaması gerekmekte olup, bu hak ve yükümlülük birbirini tamamlamaktadır.

Kanunun 13. maddesine ve bu madde doğrultusunda Kurum tarafından 10.03.2018 tarihli Resmi Gazetede yayımlanan “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” ile veri sorumlularının, ilgili kişiler tarafından yazılı olarak veya ilgili Tebliğde belirtilen kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla kendisine iletilen başvuruları, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırılması gerektiği belirtilmiştir.

VERİ SORUMLULARININ SİCİLE KAYIT ZORUNLULUĞU

Kişisel Verileri Koruma Kanunu madde 16 kapsamında düzenlenmiş olan bu yükümlülüğe göre, veri sorumluları veri işlemeye başlamadan önce sicile kayıt olma yükümlülüklerini yerine getirmek zorundadırlar. Bu kapsamda 1 Ocak 2018 yürürlüğe giren “Veri Sorumluları Sicili Hakkındaki Yönetmelik” ile Kanunun 16. maddesinde belirtilen Veri Sorumluları Siciline ilişkin usul ve esaslar düzenlenmiştir.
Sicile kayıt yükümlülüğü altında bulunan veri sorumluları herhangi bir hukuki, fiili ya da teknik imkansızlık olması hasebiyle kayıt yükümlülüklerini yerine getirememeleri halinde bu durumun ortaya çıktığı tarihten itibaren en geç 7 gün içerisinde kuruma yazılı olarak başvuru yaparak gerekçesini de belirtmek suretiyle kayıt için ek süre talep edebililer. Kurum bir kereye özgü olarak her halde 30 günü geçmemek suretiyle ek süre verebilir.

KURULA BİLDİRİM YÜKÜMLÜLÜĞÜ

Veri sorumlusu tarafından işlenen kişisel verilerin kanuna aykırı olarak başkaları tarafından ele geçirilmesi durumunda, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirmekle yükümlüdür. Kurul çeşitli ihtimallere göre, kendi internet sitesi üzerinden veya ilan yoluyla bildirimi yapmaktadır. Bu kapsamda değerlendirilecek olursa veri sorumlusu sadece ilgili durumun bildirimini yapmakta, ilgili ihlale ilişkin bildiri yayınlama Kurulun sorumluluğunda olmaktadır. Mevcut bildiri yayınlamaya ilişkin örnek olarak Kurul, ING Bank A.Ş bünyesinde gerçekleşen veri ihlaline ilişkin 01.03.2019 tarih ve 2019/43 sayılı Karar ile kamuoyu duyurusu yapmıştır . Yine aynı şekilde Microsoft Corporation tarafından yapılan bir veri ihlali bildiriminin Kurul tarafından kamuoyuna duyurulmasına karar verilmiştir.
Mevcut olan bu yükümlülük ile kişiler ve Kurul bilgilendirilmiş olacak akabinde ihlalin sonucuna yönelik önlem almalarına imkan verilecek, zarar en alt düzeyde tutulup ihlalin tekrar meydana gelmesi önlenebilecektir.

Kanunda ihlalin ilgili kişiye ve Kurula en kısa sürede bildirilmesi gerektiğini belirtmiştir. Fakat buradaki temel sorun “en kısa süre” ibaresinden ne anlamamız gerektiğinin açıkça bildirilmemiş olmasıdır. Kurul tarafından verilmiş olan bi kararda ilgili kişilere 17 ay, Kurula ise 10 ay sonra bildirim yapan veri sorumlusunun, bildirim yükümlüğü için öngörülen en kısa süreyi aştığına hükmetmiştir. Bu kapsamda 24.01.2019 tarih ve 2019/10 sayılı Kararda konuya bir açıklık getirilmiş olup “en kısa sürede” ifadesinden, ihlalin veri sorumlusu tarafından öğrenilmesinden itibaren en geç 72 saat içinde Kurula bildirilmesi, veri sorumlularınca ihlalden etkilenen ilgili kişilerin belirlenmesinin ardından makul olan en kısa sürede ilgili kişiye bildirilmesi gerektiğini belirtmiştir.

Uygulamada yaşanan bir diğer sorun ise ihlal durumunda ilgili kişiye ulaşmanın çoğu zaman mümkün olmamasıdır. Öncelikle ilgili kişinin iletişim bilgileri mevcut, doğru ve güncelse doğrudan ilgili kişiye bildirim yapılmalı, ilgili kişiye ulaşılamıyorsa veri sorumlusunun kendi internet sitesi üzerinde ihlali yayımlaması yoluna gidilmelidir.

SONUÇ VE GENEL DEĞELENDİRME

Tüm bu belirtilen düzenlemelerin amacı kişisel verilerin işlenmesinin belirli bir hukuki düzen altına alınması ve kişisel verilerinin korunması hakkı başta olmak üzere kişinin haklarını ve özgürlüklerini ihlal etmeden veri işleme faaliyetinin yürütülmesidir. Genel olarak değerlendirildiğinde, günümüzde kişisel verilerin işlenmesi kaçınılmazdır. Sonuç olarak, kişisel verilerin korunması ile işlenme ihtiyacı arasında, kişinin temel hak ve özgürlüklerini ihlal etmeden, hassas bir denge sağlanmalıdır.