07.04.2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) [1] kapsamında kişisel verilerin işlenmesinde özel hayatın gizliliği ve kişilerin temel hak ve özgürlüklerinin korunması amacıyla kişisel veri işleyen “veri sorumlulularının” yükümlülükleri ve uyması gereken kurallar düzenlenmiştir.
Buna göre kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü veriyi (kişisel veri) işleyen gerçek veya tüzel kişiler; otomatik veya manuel olarak kişisel verilerin kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, anonimleştirilmesi, aktarılması, devralınması, sınıflandırılması gibi işlemlerden sorumlu olacaklardır.
Bu sorumluluklar kapsamında veri sorumlusunun ilgili kişiyi aydınlatma, onayını alma, veri güvenliğini sağlama, denetleme, sır saklama, ilgili kişiye bildirimde bulunma, başvuruları cevaplama gibi yükümlülükleri bulunmaktadır. Ayrıca veri sorumlulularının veri siciline (VERBİS) kaydolma, bildirimde bulunma gibi Kişisel Verileri Koruma Kurumu (“Kurum") nezdinde yerine getirmesi gereken yükümlülükleri de bulunmaktadır.
Kanun’un getirdiği en önemli kurumlardan birisi kanuna uygunluk sebepleri arasında sayılan “açık rıza” kavramıdır. Buna göre; açık rıza belirli bir konuya ilişkin olmalı, bilgilendirmeye dayanmalı ve özgür irade ile açıklanmalıdır. [2] Örneğin veri sorumlusu kimlik bilgilerini işleyeceği kişiden açık rıza alırken; hangi konuda kimlik bilgisinin alacağını belirlemeli, kişinin neye izin verdiği konusunda açıkça bilgilendirmeli ve kişinin iradesini sakatlamadan özgür bir şekilde rıza beyanını almalıdır. Örneğin, bir hizmetten yararlanılmasının üyelik şartına bağlandığı yerlerde, üye olmak isteyen ilgili kişinin parmak izinin alınması ve işlenmesinin üyelik sözleşmesinin kurulması için zorunluluk olarak öngörülmesi hukuka aykırı olacaktır. [3] Önemle belirtilmelidir ki; kişisel verilerin işlenmesinde kanuna uygunluk sebeleri olarak sayılan tek şart açık rıza alınması değildir. Kişisel verilerin işlenmesinde, KVKK m.5’de belirtilen tüm şartlar kümülatif olarak dikkate alınmalıdır.
Yukarıda belirtilen yükümlülüklerin denetimi de yine Kurum tarafından gerçekleştirilecektir. Nitekim Kurum, Kanun’a aykırı hareket eden veri sorumluluları hakkında gerek re’sen gerekse ilgili kişilerin başvuruları üzerine inceleme başlatmakta, idari para cezası veya uyarı niteliğinde kararlar tesis etmektedir. İlgili kararların bir kısmına aşağıda belirtilen linkten ulaşılabilmektedir. [4]
KVKK kapsamında gerekli yükümlülüklerin yerine getirilmemesi halinde Kurum tarafından 5.000 TL’den 1.000.000 TL’ye kadar para cezası kesilebilmektedir. [5] Ayrıca kişisel veri ihlalleri KVKK veya Türk Ceza Kanunu kapsamında cezai sorumluluk da getirebilmekte olup bu gibi durumlarda veri sorumlusu şirketlerin yönetim kurulu üyeleri hapis cezaları ile karşı karşıya kalabilmektedir.
[2] Taştan, Furkan Güven; Türk Sözleşme Hukukunda Kişisel Verilerin Korunması, İstanbul 2017, s. 152-155
[3] Kişisel Verilerin Korunması Kurumu, Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi, Ankara Mart 2018, s. 50
[4] https://www.kvkk.gov.tr/Icerik/4214/Kurul-Kararlari
[5] Kabahatler MADDE 18- (1) Bu Kanunun; a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından
100.000 Türk lirasına kadar, b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk
lirasından 1.000.000 Türk lirasına kadar, c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından
1.000.000 Türk lirasına kadar, ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler
hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.
Kommentarer