VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ

 

Veri işleme faaliyetleri sırasında temel ilkelerle uyumlu olacak şekilde veri sorumlularına birtakım yükümlülükler getirilmiştir. Veri sorumlusunun yükümlülüklerini; aydınlatma yükümlülüğü, veri güvenliğine ilişkin yükümlülükler, veri sorumluları siciline kayıt yükümlülüğü, ilgili kişiler tarafından yapılan başvuruların cevaplanması yükümlülüğü, kurul kararlarının yerine getirme yükümlülüğü, kişisel verilerin silme, yok etme veya anonim hale getirme yükümlülüğü olarak sıralayabiliriz.

 

A) Aydınlatma Yükümlülüğü:

İlgili kişi, kişisel verilerinin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi edinme hakkına sahiptir. Bu duruma başka bir perspektiften bakıldığında ise bunun veri sorumlusunun aydınlatma yükümlülüğünü oluşturduğunu görmekteyiz. Kanunun 10. maddesi çerçevesinde, veri sorumlusu kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla; veri sorumlusunun ve varsa temsilcisinin kimliğini, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve 11. maddede sayılan diğer haklarını ilgili kişiye bildirmelidir. Veri sorumlularının dikkat etmesi gereken husus, kişisel veriler ister ilgili kişinin rızası kapsamında ister kanundaki diğer bir şart kapsamında işlensin her halükarda ilgili kişileri aydınlatmaları gerektiğidir.

 

B) Veri Güvenliğine İlişkin Yükümlülükler:

Kanunun veri güvenliğine ilişkin 12. maddesine göre, veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini ve bunlara hukuka aykırı olarak erişilmesini önleme, onların muhafazasını sağlama gibi yükümlülükleri vardır.

Veri sorumlusunun bu yükümlülüklerini yerine getirirken dikkat etmesi gereken en önemli husus, verilerin güvenliğini temin etmeye yönelik gerekli teknik ve idari tedbirleri alıyor olmasıdır. Kişisel verilerin işlenmesi sürecinde veri sorumlularının alması gereken teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması adına Kurul, Kişisel Veri Güvenliği rehberi hazırlamıştır. Buradaki tedbirlerle birlikte sektör bazında işlenen kişisel verilerin niteliğine göre ilave tedbirlerin alınması da söz konusu olabilecektir. Veri işleme faaliyeti veri işleyen tarafından gerçekleştiriliyorsa, bahsi geçen tedbirlerden hem veri sorumlusunun hem de veri işleyenin müşterek sorumluluğu söz konusu olacaktır. Örneğin veri sorumlusunun şirketine ilişkin kayıtlar bir muhasebe şirketi tarafından tutuluyorsa, verilerin işlenmesine ilişkin tedbirlerin alınması hususunda veri sorumlusu muhasebe şirketiyle birlikte müştereken sorumlu olacaktır.

 

Veri güvenliliğini sağlamak amacıyla veri sorumlusuna getirilen bu yükümlülük beraberinde veri sorumlusunun denetim yapma yükümlülüğünü de gerekli kılmıştır. Veri sorumlusu bu denetimi kendisi yapabileceği  gibi, bir üçüncü kişi vasıtasıyla da gerçekleştirebilir. Kişisel verileri öğrenen veri sorumlusunun veya işleyenin bu bilgileri başkasıyla paylaşmaması gerekir. Bu hem işin devamı sırasında hem de sonrasında devam eden bir yükümlülüktür. Bu uygulama ile kanun koyucunun, sürekli bir koruma sağlamaya çalıştığından bahsetmemiz mümkündür. Tüm bunlara rağmen işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerektiğinde bu durumu, bildirim beklemeksizin kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

 

C) Veri Sorumluları Siciline Kayıt Yükümlülüğü:

2016 yılında yürürlüğe giren kanunla birlikte çalışan sayısı 50 ve daha fazla olan veya yıllık mali bilançosu 25 milyon TL’den fazla olan veri sorumluları için işledikleri kişisel bilgileri veri kayıt sistemine kayıt etmeleri zorunlu hale getirilmiştir. Bu zorunluluk sadece özel sektör için değil aynı zamanda kamu kurum ve kuruluşları için de getirilmiştir. Veri sorumlusunun yurt içinde veya yurt dışında olmasına göre yahut ana faaliyetine bağlı olarak VERBİS’e kayıt için belirlenen süreler değişmektedir.

 

D) İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü:

Veri sorumluları, yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle  ilgili kişiler tarafından kendisine iletilen Kanunun uygulanmasıyla ilgili talepleri, niteliklerine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmalıdır. Kural olarak ücretsiz sunulan bu hizmet, işlemin ayrıca bir maliyet gerektirmesi hâlinde, Kurulca belirlenen tarife üzerinden ücretlendirilip veri sorumlusu tarafından ilgili kişiden istenilebilir.

 

Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusu tarafından bu talebin gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklandığı anlaşılır ise alınan ücret ilgiliye iade edilir.Veri sorumlusunun gerekçesini açıklayarak başvuruyu reddetmesi halinde ise bu cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirmesi gerekir. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.

 

E) Kurul Kararlarının Yerine Getirme Yükümlülüğü:

Kurul, önüne şikâyet üzerine gelen başvuruda yahut resen görev alanına giren konularda yapacağı inceleme sonucunda bir ihlalin varlığını tespit ederse, hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vermekte ve bunu ilgililere ilan etmektedir. Veri sorumlusu, bu kararı, tebliğ tarihinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirmek zorundadır.

 

F) Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirme Yükümlülüğü:

Kişisel verilerin hukuka uygun olarak işlenen verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından bu verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi veri sorumlusunun yükümlülüklerindendir. Birbirine yakın görünen bu kavramlar birbiriyle karıştırılmamalıdır. Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin yok edilmesi ise kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Son olarak, kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Bunları yerine getirmek için ilgili kişi tarafından yapılan bir başvuru aranmamaktadır. Ancak veri sorumlusunun ihmalinin olduğu durumlarda ilgili kişinin kişisel verilerinin yok edilmesini veya silinmesini talep etme hakkı bulunmaktadır.

 

Öte yandan, Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik çerçevesinde veri sorumlusu, hazırladığı veri imha politikası kapsamında kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.