Veri sorumlularının yükümlülükleri, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), bununla ilişkili ikincil mevzuat ve Kişisel Verileri Koruma Kurulu’nun vermiş olduğu kararlar çerçevesinde belirlenmiştir. Bu yazımızda kişisel verilerin korunması konusunda Kişisel Verilerin Korunması Kanunu düzenlemeleri ışığında yapılması gerekenleri ele alacağız.
Veri Sorumlusu Kimdir?
Kişisel verilerin işlenmesi süreci bakımından KVKK’da saptanmış en önemli aktörlerden biri kuşkusuz veri sorumlusudur. Kişisel verilerin işlenmesinden doğan sorumluluğun tespiti için, veri sorumlusu kavramının iyi anlaşılması gereklidir. Bu nedenle KVKK ile uyum aşamalarına geçmeden önce veri sorumlusu kavramını açıklayacağız.
Veri sorumlusu kavramı, KVKK’da, “Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder” şeklinde tanımlanmıştır.
Ancak uygulamada bazen veri sorumlusu kavramının tespitinde sorun yaşandığı görülmektedir. Yaşanan bu sorun karşısında kurul, 30.01.2020 tarihli ve 2020/71 sayılı karar özeti ile, veri sorumlusunun tespitinde kişisel verinin işlenmesine ve kimin işleyeceği, veri işleme faaliyetinin neden ve nasıl yapılacağı, hangi kişisel veri türlerinin işleneceği, veri işlemenin yasal dayanağının ne olduğu, işlenen verilerin hangi amaçlarla kullanılacağı, verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kimlerle paylaşılacağı, kendi adına veri işleme faaliyetini yürütecek bir veri işleyen atanması, verilerin ne kadar süreyle saklanacağı gibi hususlara kimin karar verdiğine bakılması gerektiğini açıklamıştır. Bu konuda söz konusu kriterlerin çoğunu gerçekleştirenler, veri sorumlusu olarak değerlendirilmektedir.
Bu kapsamda, KVKK ile veri sorumlularına, faaliyetlerine uygun veri envanteri hazırlama, veri sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kaydolma ve bildirimde bulunma, Saklama ve İmha Politikası hazırlama, kişisel veri güvenliğine ilişkin teknik ve idari tedbirleri alma gibi yükümlülükler yüklenmiştir. Bu yükümlülüklerin yerine getirilmesi için gerekli aksiyonlar alınması ve doküman setleri oluşturulması gerekmektedir. Sonrasında ise ara ara denetimler yapılarak kanuni şartların yerine getirilip getirilmediği kontrol edilmelidir. Bu aşamada kurulan sistemin işleyip işlemediğini kontrol etmek büyük önem arz etmektedir. Alınan tedbirlerin sürekliliğinin sağlanması, şirketin KVKK’ya uyum sağlaması açısından en önemli adımlardan biridir. İşte bu yükümlülüklerin yerine getirilmesi için gerçekleştirilecek faaliyetlerin tamamına KVKK uyum süreci diyebiliriz.
KVKK Uyum Kapsamında Yapılması Gerekenler
1. Veri İşleme Envanteri
KVKK kapsamında veri sorumlularının öncelikle iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini, kişisel veri işleme amaçları ve hukuki sebepleri, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek bir envanter oluşturmaları gerekmektedir. Bu envanterde işledikleri kişisel verilerin işlenme amaçları için gerekli olan azami süre belirlenmeli ve yabancı ülkelere aktarımı öngörülen kişisel veriler ve veri güvenliğine ilişkin alınan tedbirler detaylı olarak açıklanmalıdır.
2. Saklama ve İmha Politikası
Veri sorumlularının, şirketler nezdinde gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla politika hazırlamaları gerekmektedir. Bu politika sayesinde veri sorumlusu tarafından, veri sahiplerine hesap verilebilirliği sağlamak amacıyla verilerin ne kadar süre ile muhafaza edileceği, bu verilerin hangi süreler sonunda imha edileceği bildirilmiş olur. Veri sahiplerinin verilerinin silinmesi, yok edilmesi veya anonimleştirilmesini isteme hakları saklıdır. Bu uygulamalar ile veri sorumluları verilerin yönetiminde bir disiplin oluşturmuş olurlar ve veri saklama maliyetlerini de öngörebilir hale gelirler.
3. Aydınlatma Metni
KVKK, kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaç ve hukuki sebeple işlenebileceği, kimlere hangi amaçlar ile aktarılabileceği hususunda bilgi edinme hakkı tanımakta ve bu hususları veri sorumlusunun aydınlatma yükümlülüğü kapsamında ele almaktadır. Buna göre veri sorumlusu, KVKK’nın 10. maddesi çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla ilgili kişiye bilgilendirme yapmakla yükümlüdür. Söz konusu aydınlatma metninde, veri sorumlusunun ve varsa temsilcinin kimliği, kişisel verilerin hangi amaç ile aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, Kanun’un 11. maddesinde sayılan ilgili kişinin hakları aydınlatma metninde yer almak zorundadır. Kanun’un 18. maddesinde aydınlatma yükümlülüğünü yerine getirmeyen veri sorumluları hakkında 5.000 TL’den 100.000 TL’ye kadar idari para cezası uygulanabileceği belirtilmiştir.
4. Açık Rıza
KVKK’ya göre açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür irade ile açıklanan rızadır. Kanun’un 5. maddesinin 1. fıkrasında belirlenen istisnalar haricinde, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyecek, üçüncü kişilere ve yurt dışına aktarılamayacaktır. Kanun’da ayrı ayrı belirtilmiş olan bu maddelere uyulmaması halinde kurumlar idari para cezasına çarptırılabilecektir.
Veri sorumlularının işledikleri kişisel verilere ilişkin olarak ilgili kişilerden alacakları açık rızaların içermesi gereken hususlar vardır. Bunlardan en önemlisi açık rızanın belirli bir konuya ilişkin olmasıdır. Rızanın bilgilendirmeye dayanması gerekmektedir ve özgür irade ile açıklanmalıdır.
5. VERBİS
Veri sorumluları Sicil Bilgi Sistemi (VERBİS) Kanun’un 16. maddesi gereği veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. Kişisel verileri işleyenler, veri işleme faaliyetine başlamadan önce VERBİS’e kaydolmak zorundadırlar. VERBİS kamuya açık olarak tutulur.
Her veri sorumlusu Kanun’a uyum sağlamakla mükelleftir fakat Verbis’e kayıt olmak için bazı şartlar gerekmektedir. Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları Sicil’e kayıt yükümlülüğü altındadır.
Kişisel Verileri Koruma Kurulu’nun 11.03.2021 tarihli ve 2021/238 sayılı kararı ile;
- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicil’e kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,
- Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicil’e kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,
- Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumlularının Sicil’e kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine kadar uzatılmasına karar verilmiştir.
31.12.2021 tarihine kadar Verbis’e kayıt olmayan veri sorumlularının bu tarihten sonra idari para cezaları ile karşılaşmaları söz konusu olacaktır.
6. Sözleşmelerin KVKK’ya Uyarlanması
KVKK uyum sürecinde veri sorumlularının, sözleşmeleri de bu sürece uyarlaması gerekmektedir. Bu kapsamda mevcut sözleşmelere ek protokoller hazırlanabileceği gibi KVKK ile uyumlu olarak yenilenmesi de mümkün olabilmektedir. Sözleşmelerin uyarlanması kapsamında iş sözleşmelerine ek protokoller, tedarikçi sözleşmelerine ek olarak aydınlatma metinleri, gizlilik sözleşmeleri hazırlanabilmektedir. Yeni imzalanacak sözleşmelerde ise mutlaka kişisel verilerin korunmasına yönelik hükümlerin bulundurulması önerilir.
7. Kişisel Verileri Koruma Komitesi Oluşturulması
Kişisel verileri koruma politikalarını yönetmek ve politikalarda belirlenen süreçlerin yürütülmesini sağlamak, denetimlerin sağlanması, farkındalık oluşturulması gibi konularda şirket içerisinde aktif çalışan bir Kişisel Verileri Koruma Komitesi oluşturulması uyum sürecinin sürekliliği bakımından oldukça faydalıdır. Kişisel veri işleme faaliyeti en küçük işletmeden en büyük işletmeye kadar, faaliyet devam ettiği sürece yaşayan bir organizma gibidir. Dolayısıyla, veri sorumlusunun uyum kapsamında aldığı önlemlerin faaliyetlere devam edildiği sürece ayakta tutulması gerekir. Kişisel Verileri Koruma Komitesi bu görevi aktif olarak yerine getirebilir. Komite şirket içerisinde çalışanlardan oluşturulabileceği gibi, tamamen şirket dışından kişilerden de oluşturulabilir. Komitenin faaliyetlerinin mevzuata ve güncel gelişmelere uyumlu şekilde yürütülmesinde Komite içerisinde hukuk müşavirlerinden faydalanılması yararlı olacaktır.
Uyum Denetimleri Nasıl Yapılır?
Veri sorumlusu gerçek ve tüzel kişilerin Kanun’a uyum sağlaması kadar söz konusu uyum çalışmalarının denetiminin sağlanması da oldukça önem arz etmektedir. Uyum denetimleri ile; Veri Envanterinin şirket faaliyetleri doğrultusunda güncel tutulması sağlanır, güncellenen Veri Envanterine ve şirket faaliyetlerine uygun olarak VERBİS girişlerinin yapılması sağlanır.
Kişisel verilerin korunması hususunda alınması gerekli idari ve teknik tedbirlerin denetimleri sağlanarak mevcut duruma göre alınması gereken aksiyonlar tespit edilir, tespit edilen aksiyonların uygulanabilirliği kurgulanarak bunlar için bir uygulama stratejisi oluşturulur.
Bu denetim faaliyetlerinde güncel mevzuata uygunluk denetimlerinin yerindeliği araştırması için hukuk danışmalarından destek alınması denetimlerin verimliliğini arttıracaktır. Keza, teknik tedbirler kapsamında da teknik uzmanlardan destek alınması tedbirlerin uygulanabilirliği açısından kolaylık sağlar. Veri sorumlularının hukuk ve teknoloji alanında danışmanlık almaları bu denetimlerin amacına hizmet etmesinde önemli role sahiptir.
Denetime Hazır Mısınız?
Yukarıda sayılan tüm adımları eksiksiz ve Kanun’a uygun bir şekilde yerine getirdiyseniz ve faaliyetleriniz çerçevesinde kişisel veri uyum süreçlerinizi aktif olarak yürütüyorsanız denetime hazırsınız!
Ancak bugüne kadar edindiğimiz tecrübeler neticesinde veri sorumlularının yukarıda bahsedilen adımlardan biri veya birkaçı fark etmeden atlama veya uygulamama yoluna gittiğini görmekteyiz. Unutmamalıdır ki Kanun’a bir bütün olarak uyum sağlanmalıdır. Gerekli tedbirlerin bir bütün olarak alınmaması halinde çeşitli yaptırımlarla karşılaşılması olasıdır. Dolayısıyla KVKK uyum sürecinin titizlikle yönetilmesi gerekmektedir.
Metnin PDF’i için buraya tıklayabilirsiniz.
Uyarı: Yukarıdaki bilgi ve görüşlerimiz sadece yol gösterme amaçlıdır ve yasal tavsiye alma olarak değerlendirilemez. Vona Hukuk Bürosu, doğru ve güncel içerikli bilgiyi sağlamak için her türlü çabayı göstermektedir ancak, bu makalenin yayımlanmasından sonra yürürlüğe girebilecek olan yasa ve mevzuatlarda yapılan değişiklikler nedeniyle en güncel yasal gelişmeleri yansıtmayabilir. Bu nedenle, bu makaledeki hiçbir şey yasal tavsiye olarak görülmemeli ve herhangi bir karar vermeden veya bu makalede yer alan bilgilere dayanarak herhangi bir işlem yapmadan önce avukatlara danışmalısınız.
Konut Dokunulmazlığının İhlali
Bir cevap yazın