KVKK kapsamında veri sorumlularının yükümlülükleri nedir?

Yazımıza geçmeden küçük bir hatırlatma: Kişisel Verilerin Korunması Kanunu (KVKK) yazı içerisinde “Kanun” olarak bahsedilmiştir.

 

Veri sorumlusu nedir?

Veri sorumlusu, hem hangi verilerin hangi sebeple işleneceğini seçen hem de verilerin saklanması için gerekli sistemin kurulmasından ve sürdürülmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Başka bir deyişle veri sorumlusu, veri işleme sürecinin kapsamını belirleyen kişidir.

 

Veri Sorumlusunun yükümlülükleri nelerdir?

Kanun, veri işleme faaliyetinin önemli bir halkası olan veri sorumlusuna bazı yükümlülükler yüklemiştir. Bu yükümlülüklerin yerine getirilmemesi halinde, veri sorumluları hakkında Kurul tarafından idari para cezası uygulanır.

 

Aydınlatma yükümlülüğü nedir?

Kanun gereğince veri sorumlusu, kişisel verileri toplarken ilgili kişiye doğrudan veya belirlediği bir temsilci aracılığıyla birtakım bilgileri sağlamakla yükümlüdür.

Bu bilgilerin sağlanma nedeni, hem veri sorumlusunun kimliği hususlarında bir aydınlatma hem de verilerin toplanma amaç ve nedenleri hakkında bir aydınlatma olarak açıklanabilir.

Asıl amaç kişisel verileri, toplanan kişiye haklarını ifade etmek ve veri işleme faaliyetinden önce konu hakkında aydınlanmasını sağlamaktır.

Bununla birlikte, veri işleme faaliyetinin veri sahibinin açık rızasını gerektirdiği veya faaliyetin başka bir yasal gereklilik uyarınca gerçekleştirildiği durumlarda, veri sorumlusunun veri sahibini detaylar hakkında bilgilendirmesi önem arz etmektedir.

 

Veri güvenliği nasıl sağlanır? Veri güvenliğine ilişkin yükümlülükler nelerdir?

Kanun’a göre veri sorumlusu, kişisel verilerin muhafazasını sağlamakla yükümlüdür. Verilerin güvenliği, hukuka aykırı erişimi ve işlemeyi önleyerek korunacağı gibi gerekli tüm tedbirleri alarak da sağlanabilir.

Veri sorumlusu, gerekli güvenlik önlemlerinin uygulanmasından kendi adına kişisel verileri işleyen diğer gerçek veya tüzel kişilerle birlikte sorumludur. Bu nedenle, veri işleyenler de veri güvenliğini sağlamak için gerekli tüm önlemleri almalıdır.

Veri sorumlusuna veri güvenliğini sağlama kapsamında yüklenen bir diğer önemli kural ise Kanun'un gerekliliklerine uyulduğunu garanti etmek için kendi kurumu veya işletmesi içinde ilgili denetimleri yapması veya yaptırmasıdır.

Veri güvenliği kapsamında, veri sorumluları ve veri işleyenlerin kişisel verileri işleme amacı dışında kullanmaları veya ifşa etmeleri ve bu Kanun hükümlerine aykırı olarak başkalarına ifşa etmeleri yasaktır.

Veri sorumlusunun bu yükümlülük altında dikkat etmesi gereken bir diğer hüküm ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde bu durumu ilgili tarafa ve Kişisel Verileri Koruma Kurulu’na (“Kurul”) derhal bildirmesi gerektiğidir.

 

VERBİS’e kayıt yükümlülüğü nedir?

VERBİS, tüm veri işleme sürecinde edinilen verilerin beyan edildiği bir kayıt sistemidir. Veri sorumluları hakkında Kanun’da öngörülen en önemli yükümlülüklerden bir diğeri ise Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt zorunluluğudur. Yasa hükümlerine göre kişisel verileri işleyen gerçek ve tüzel kişiler, kişisel veri işlemeye başlamadan önce VERBİS’e kayıt olmak zorundadır.

"Veri sorumluları siciline kayıt yükümlülüğü nedir?"diye merak edenler için:

Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından Veri Sorumluları Sicili Hakkında Yönetmelik düzenlenerek VERBİS’e kayıt yükümlülüğü hakkında usul ve esasları belirlenmiştir.

Bu kapsamda, hangi veri sorumlularının bu yükümlülükten sorumlu tutulduğu ve hangi veri sorumlularının bu yükümlülükten muaf olduğu da Kurum aracılığı ile kamuya duyurulmaktadır.

 

VERBİS'e zorunlu kayıt olma şartları nelerdir?

Yıllık çalışan sayısı 50'den fazla olan veya yıllık mali bilanço toplamı 25 milyon TL'den yüksek olan gerçek ve tüzel kişiler ile, yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 25 milyon TL'den az olan, ancak ana faaliyetleri özel nitelikli kişisel veri işlemesi olan veri sorumluları için bazı önemli yükümlülükler bulunur.

Eğer 2022 yılında aktif büyüklüğünüz 25 milyon TL'yi aştıysa, Kurumlar Vergisi beyannamesini takip eden 30 gün içinde VERBİS'e kaydolmanız gerekir. Kayıt yükümlülüğünü ihmal eden işletmeler, 20.000 TL'den başlayıp 1.000.000 TL'ye kadar çıkan idari para cezalarıyla karşılaşabilirler.

Bu yüksek cezaların riskini minimize etmek için hukuk müşavirinizden profesyonel destek almanız önemlidir. Hukuk müşavirleri, size gerekli adımları atmanız konusunda rehberlik edecek ve VERBİS kaydıyla ilgili gereken bilgileri sağlar.

 

Yapılan başvuruların cevaplanması yükümlülüğü

Verilerini paylaşmış ve veri sorumluları tarafından paylaşılan bu verileri işlenmiş olan kişi, ilgili kişi olarak adlandırılmaktadır.

İlgili kişinin Kanun kapsamında yazılı veya Kurum’un belirleyeceği herhangi bir şekilde veri sorumlusundan birtakım taleplerde bulunma hakkı vardır. Veri sorumlusu, ilgili kişilerin işte bu taleplerini içeren başvurularını talep içeriğine göre en kısa sürede fakat en geç 30 gün içerisinde cevaplamak zorundadır.

Veri sorumlusu, başvuruyu cevaplamak için herhangi bir ücret talep edemeyeceği gibi talep edilen işlemin haricen bir maliyeti gerektirmesi hâlinde, veri sorumlusu başvuru sahibinden başvuru cevaplamak için ücret talebinde bulunabilir. Bu talep ancak Kurul’un belirlediği tarifedeki ücretler dahilinde olabilir.

Veri sorumlusu, başvuru talebine karşı gerekçe belirtmek koşulu ile red veya kabul cevabı verebilir. Bu cevap ilgili kişiye yazılı olarak veya elektronik ortamda bildirilir. Başvuruya nedenin veri sorumlusunun hatası olması halinde başvuru ücretinin ilgili kişiye iade edilmesi gerektiğini de belirtmekte fayda olacaktır.

İlgili kişinin, başvuruya dair cevabı öğrenmesiyle veya veri sorumlusunun başvuruya hiç cevap vermemesiyle 60 gün içerisinde Kurul’a şikâyet hakkı doğacaktır. Bu halde, veri sorumlusu şikâyete konu başvuru kapsamında incelemeye alınabilecektir.

 

Kurul kararlarının yerine getirilmesi yükümlülüğü

Veri sorumluları hakkında inceleme yaparak bir karara varma görevi Kurul’a aittir. Veri sorumluları hakkında, yukarıdaki maddede belirttiğimiz gibi bir şikâyet alınması veya Kanun hükümleri kapsamda bir ihlalin varlığının tespit edilmesi hallerinde Kurul görev alanına giren konularda re ’sen (kendi başına) inceleme yaparak bir karara varır.

Kurul yaptığı inceleme sonucunda bir ihlalin varlığına karar verirse, veri sorumlusunun ihlalleri düzeltmesine dair bir karara hükmeder ve kararını ilgili taraflara bildirir. Veri sorumlusunun bu noktada Kurul kararının yerine getirilmesi yükümlülüğü doğar ve daha fazla gecikmeksizin kararın gereğini yerine getirmesi için bildirim tarihinden itibaren otuz gün süresi olacaktır.