Kişisel Verilerin Korunması Kanunu ("KVKK"),1 özel hayatın gizliliği başta olmak üzere, kişilerin temel hak ve özgürlüklerini korumayı ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemeyi amaçlar. KVKK, kişisel verileri işlenen gerçek kişiler ile bu verileri işleyen gerçek ve tüzel kişiler hakkında uygulanır. KVKK uyarınca kişisel veriler işlenirken belirli ilkelerin göz önünde bulundurulması gerekir. Örneğin, işlenen verilerin hukuka uygun, doğru ve güncel olmaları gözetilir.

KVKK hükümleri kapsamında, belirli sujelere birtakım hak ve yükümlülükler tanınmış olup bu sujeler ilgili kişi başta olmak üzere, veri sorumlusu ve veri işleyendir. Buna göre, ilgili kişi, kişisel verileri işlenen gerçek kişileri; veri sorumlusu, verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişileri; ve veri işleyen, veri sorumlusunda aldığı yetki ile kişisel verileri veri sorumlusu adına işleyen gerçek ve tüzel kişileri ifade eder.

Teknolojinin gelişmesi ile birlikte, veri aktarımı oldukça yaygınlaşmış ve verilerin korunması gerekliliği doğmuştur. Bu noktada, KVKK hükümleri çerçevesinde, veri güvenliğinin sağlanması bakımından en büyük sorumluluk veri sorumlularına düşmektedir. Veri sorumluları tarafından yerine getirilmesi zorunlu olan yükümlülükler aşağıdaki gibidir.

  1. Aydınlatma yükümlülüğü;
  2. Veri güvenliğine ilişkin yükümlülükler;
  3. Veri sorumluları siciline kayıt yükümlülüğü;
  4. İlgili kişilerce yapılan başvuruların cevaplanması yükümlülüğü; ve
  5. Kurul kararlarının yerine getirilmesi yükümlülüğü.

KVKK Madde 10 uyarınca, ilgili kişilere verilerinin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği, verilerin kimlere hangi amaçlarla aktarılabileceği gibi hususlarda bilgi edinme hakkı tanınmıştır. İlgili kişinin talebi halinde, veri sorumlusu her zaman bu bilgileri sağlamakla yükümlüdür.

Veri sorumlusu KVKK Madde 12 kapsamında, hukuka aykırı şekilde, verilerin işlenmesini önlemek ve verilere erişilmesini önlemek ve verilerin muhafazasını sağlamakla yükümlüdür. Veri sorumlusu bu yükümlülüklerini yerine getirmek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

KVKK Madde 16 gereği, veri sorumluları kişiler verileri işlemeden önce Veri Sorumluları Sicili'ne ("VERBİS") kayıt yaptırmakla yükümlüdür. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin Kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kişisel Verileri Koruma Kurulu'nca ("Kurul") belirlenecek objektif kriterler göz önüne alınarak, Kurul tarafından sicile kayıt zorunluluğuna istisna getirilmiştir.

Veri sorumluları KVKK Madde 13 uyarınca, ilgili kişilerin KVKK'nın uygulanmasına ilişkin taleplerini, talebin niteliğine göre en kısa sürede veya en geç 30 gün içerisinde cevaplamakla mükelleftir.

Yine KVKK Madde 15 gereği, ilgili kişi tarafından yapılan şikayet üzerine veya ihlal iddiasının öğrenilmesi üzerine Kurul, görev alanı giren konularda yapacağı inceleme neticesinde, ihlalin varlığını tespit ederse, hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar verir. Veri sorumlusu, söz konusu karar tebliğ aldıktan sonra en geç 30 gün içerisinde yerine getirmekle yükümlüdür.

Veri sorumlusu tarafından yukarıda bahsi geçen yükümlülüklere uyulmaması halinde, KVKK uyarınca bazı yaptırımlar öngörülmüştür. KVKK Madde 18 uyarınca, (i) aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk Lirası'dan 100.000 Türk Lirası'na kadar; (ii) veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk Lirası'ndan 1.000.000 Türk Lirası'na kadar; (iii) Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk Lirası'ndan 1.000.000 Türk Lirası'na kadar; ve (iv) Verbis'e kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk Lirası'ndan 1.000.000 Türk Lirası'na kadar idari para cezası verilir. Söz konusu idari para cezalarının miktarları, Kurul tarafından aykırılığın önemi ve veri sorumlusunun özellikleri dikkate alınarak objektif olarak belirlenmektedir.

Footnote

1. 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete'de yayımlanarak yürürlüğe girmiştir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.