0552 502 80 27
·
info@esyhukuk.com
·
Pazartesi - Cuma 09:00-18:00
İletişim

KVKK Kapsamında Veri Sorumlusunun Yükümlülükleri Nelerdir?

Yorum yok

Kişisel Verilerin Korunması Kanunu

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) (bknz.) 7 Nisan 2016 tarihinde Resmî Gazete ‘de yayınlanarak yürürlüğe girmiştir. Verilerin kanunda belirtilen şekillerde işlenmesine ilişkin yükümlülükler kanunun yayın tarihinden itibaren başlamıştır. KVKK’nın yayın tarihinden önce işlenen verilerin kanuna uygun hale getirilmesi için ise veri sorumlusuna iki yıllık bir süre tanınmıştır.

Kişisel Verilerin Korunması Kanunu ile birlikte hayatımıza da birçok yeni terim girmiştir. Bu terimlerden en önemlisi kişisel veri kavramıdır. Kanunda Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır.  Görüldüğü üzere, kanun çerçevesinde sadece gerçek kişilere ait kişisel veriler koruma altına alınmıştır. Özel nitelikli kişisel verileri ise kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik verileri olarak tanımlanmıştır.

Kişisel Verilerin Korunması Kanunu
Kişisel Verilerin Korunması Kanunu

Bir diğer önemli kavram ise veri sorumlusudur. KVKK’ya göre veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Kişisel verilerin hangi amaçla ve ne şekilde işleneceğini belirleyen gerçek veya tüzel kişi, kural olarak veri sorumlusu olup KVKK kapsamında veri sorumlusuna bazı yükümlülükler yüklenmiştir.

Veri Sorumlusunun Yükümlülükleri

Kişisel Verilerin Korunması Kanunu kapsamında veri sorumlusunun yerine getirmesi gereken birçok yükümlülük belirlenmiştir. Söz konusu yükümlülükler aşağıdaki şekilde özetlenebilir:

Veri Sorumlusunun Aydınlatma Yükümlülüğü

Kişisel Verilerin Korunması Hakkında Kanun kapsamında, kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi edinme hakkı bulunmaktadır. Bu doğrultuda veri sorumlusu kişisel verilerin elde edilmesi sürecinde kendisi veya yetkilendirdiği kişi aracılığıyla aşağıdaki bilgileri ilgili kişiye sağlamakla yükümlüdür:

  1. Veri sorumlusunun ve varsa temsilcisinin kimliği,
  2. Kişisel verilerin hangi amaçla işleneceği,
  3. Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  4. Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  5. Kanun’un 11. maddesinde sayılan diğer hakları.

Veri Sorumlusunun Veri Güvenliğine İlişkin Yükümlülükleri

Kişisel Verilerin Korunması Kanunu’nun veri güvenliğine ilişkin 12. maddesine göre veri sorumlusu;

  1. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  3. Kişisel verilerin muhafazasını sağlamak ile yükümlüdür.

Veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Bunun yanında, Kurul tarafından belirlenecek asgari kriterler esas alınmak üzere sektör bazında işlenen kişisel verilerin niteliğine göre ilave tedbirlerin alınması da söz konusu olabilecektir.

Ayrıca, veri sorumlusu kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, gerekli tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. Bununla birlikte, veri sorumlusu veri işleyenin eylemleri de dahil tüm süreçte denetim yükümlülüğü altındadır. Buna ek olarak veri sorumlusu, kişisel veri işlemeden önce, Kanun’da yukarıda yer verilen 5. Maddede belirtilen istisnai durumlar söz konusu değilse, veri sahibinde verilerinin işlenmesine dair açık onay almalıdır.

Son olarak, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

Veri Sorumluları Siciline Kayıt Yükümlülüğü

Veri Sorumluları Sicili (VERBİS), veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. Veri Sorumluları Kişisel Veri Koruma Kurulu tarafında açıklanan kriterleri sağlıyor ise veri işlemeye başlamadan önce Veri Sorumluları Sicili (VERBİS)’ne kayıt olmakla yükümlüdür.

Kurul’un yayınladığı karara göre;

  1. Yıllık çalışan sayısı 50’den fazla olan veya yıllık mali bilanço toplamı 25 milyon TL’den fazla olan gerçek ve tüzel kişiler,
  2. Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları,
  3. Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişiler VERBİS’E kayıt yükümlülüğü altındadır. (İstisnalar mevcuttur.)

Türkiye’de yerleşik olan veri sorumluları ile Türkiye’de yerleşik olmayan veri sorumluları adına veri sorumlusu temsilcileri, Sicile kayıt sırasında irtibat kişisi bilgilerini Sicile işlemelidirler. Ayrıca, Veri Sorumluları Sicili’ ne kayıt yükümlülüğü bulunan veri sorumluları tarafından Kişisel Veri İşleme Envanteri” ve “Kişisel Veri Saklama ve İmha Politikası” hazırlanmalıdır.

Veri Sorumlusuna İlgili Kişilerce Yapılan Başvuruların Yanıtlanması Yükümlülüğü

İlgili kişiler tarafından yazılı olarak veya Kurulun belirleyeceği diğer usullerle veri sorumlusuna iletilen talepleri, niteliklerine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırılması gerekmektedir.  

Veri sorumlusu, ilgili kişi tarafından kanunun uygulanması ile ilgili talebi kabul eder veya gerekçesini açıklayarak reddeder ise bu cevabını ilgili kişiye bildirmesi gerekir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusu tarafından bu talebin gereği yerine getirilir.

Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.

Kurul Tarafından Verilen Kararların Yerine Getirilmesi Yükümlülüğü

Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda yapacağı inceleme sonucunda bir ihlalin varlığını tespit ederse, hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek, kararı ilgililere tebliğ eder. Veri sorumlusu, bu kararı, tebliğ tarihinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirmek zorundadır. Ayrıca, kurul tarafından veriler kararlar herkes için bağlayıcıdır.

Yükümlülüklere Aykırı Davranma Halinde Uygulanacak Yaptırımlar

Bu yaptırımlar idari ve cezai yaptırımlar olarak ikiye ayrılır.

İdari Yaptırımlar 

  • Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 9.834-TL’den 196.686 TL’ye kadar,
  • Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 29.503-TL’den 1.966.862-TL’ye kadar,
  • Kurul tarafından verilen kararları yerine getirmeyenler hakkında 49.172-1.966.862-TL’ye kadar,
  • Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğünü yerine getirmeyenler hakkında 39.337-1.966.862-TL’ye kadar idari para cezası uygulanır.

** Belirtilen tutarlar 2021 yılına ait olup, yasada yer alan ceza miktarları her yıl yeniden değerleme oranı nispetinde güncellenerek uygulanmaktadır.

Cezai Yaptırımlar

Bu Kanuna aykırı hareket edenler aleyhine aşağıdaki cezai yaptırımlar uygulanacaktır.

  • Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanunu’nun 135 ila 140 ıncı madde hükümleri uygulanır.
  • Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.

Kişisel verilerin korunması kanununu kapsamında verdiğimiz hizmetler hakkında bilgi almak için bu sayfayı ziyaret edebilirsiniz.

Sonraki Makale

İlgili Makaleler

iscinin-is-sozlesmesini-hakli-nedenle-feshi

İşçinin İş Sözleşmesini Haklı Nedenle Feshi

7 Mart 2024
isci-avukati-ve-is-davalarindaki-rolu

İşçi Avukatı ve Rolü

5 Mart 2024
tazminat-hesaplama-sureci-5-adimda-iscilerin-haklarini-koruma-rehberi

Tazminat Hesaplama Süreci: 5 Adımda İşçilerin Haklarını Koruma Rehberi

5 Mart 2024

Yorum Yap

Yeni Makaleler

iscinin-is-sozlesmesini-hakli-nedenle-feshi
İşçinin İş Sözleşmesini Haklı Nedenle Feshi
7 Mart 2024
isci-avukati-ve-is-davalarindaki-rolu
İşçi Avukatı ve Rolü
5 Mart 2024
tazminat-hesaplama-sureci-5-adimda-iscilerin-haklarini-koruma-rehberi
Tazminat Hesaplama Süreci: 5 Adımda İşçilerin Haklarını Koruma Rehberi
5 Mart 2024
arabuluculuk-nedir-arabulucu-kimdir
ARABULUCULUK NEDİR? ARABULUCU KİMDİR?
3 Temmuz 2023
sirket-kurma-yoluyla-turk-vatandasi-olma
Şirket Kurma Yoluyla Türk Vatandaşı Olma
15 Aralık 2021
gayrimenkul-satin-alma-yoluyla-turk-vatandasi-olma
Gayrimenkul Satın Alma Yoluyla Türk Vatandaşı Olma
1 Aralık 2021
evlilik-yoluyla-turk-vatandasi-olmak
Evlilik Yoluyla Türk Vatandaşı Olmak
29 Kasım 2021
kiracinin-tahliyesi-icin-ihtarname-ornegi
Kiracının Tahliyesi İçin İhtarname Örneği
22 Ekim 2021
kadinin-kizlik-soyadini-kullanmasi
Kadının Kızlık Soyadını Kullanması
21 Eylül 2021
kidem-ve-ihbar-tazminati-nasil-hesaplanir
Kıdem Ve İhbar Tazminatı Nasıl Hesaplanır?
17 Eylül 2021
Mesaj gönder
Danışmanlık için iletişime geçin
Merhaba 👋🏻

Danışmanlık almak istediğiniz bir konu mu var?

Hemen iletişime geçin uzman kadromuzdan bilgi alın.

Not: Danışmanlık Avukatlık Kanunu gereği ücretlidir.