KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI IŞIĞINDA VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ

Abone Ol

“Sevgi paylaştıkça, kişisel veriler korundukça güzel .” (Kişisel Verileri Koruma Kurumu)

VERİ SORUMLUSU

Kişisel Verileri Koruma Kanunu’nun 3. Maddesinde “ veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmıştır.

AYDINLATMA YÜKÜMLÜLÜĞÜ

Veri sorumlusu veya veri sorumlusunun veri işlemek üzere yetkilendirdiği kişi veri sahibini, kişisel verilerin elde edildiği sırada, Kişisel Verileri Koruma Kanunu Madde 10’ da sayılan hususlarda aydınlatmak zorundadır. Buna göre, veri sorumlusu ilgili kişiye kişisel verilerin kim tarafından, hangi amaçla ve hukuki sebeplerle işlenebileceği, kimlere ve hangi amaçla aktarılabileceği, toplanma yöntemi ve hukuki sebebi ayrıca KVKK Madde 11’de sayılan hakları hususlarında gerekli bilgileri vermekle yükümlüdür. Bu bilgilendirme ilgili kişinin talebine bağlı değildir.

KVKK Madde 10

Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

a) Veri sorumlusunun ve varsa temsilcisinin kimliği,

b) Kişisel verilerin hangi amaçla işleneceği,

c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.”

Kişisel Verileri Koruma Kurulu, 02.05.2019 tarihli, 2019/122 Sayılı kararıyla, aydınlatma metninde hukuki sebep ve amacın genel nitelikte ve muğlak ifadelere yer verilmeden açıkça belirtilmesi gerektiğini vurgulamıştır.

“…Bankanın internet sitesinde yer alan aydınlatma metninde, Bankanın kişisel veri işleme amaçlarının, ilgili kişilerin kişisel verilerinin Kanunun 5 inci ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğine yönelik hukuki sebep açıkça belirtilmeksizin sıralandığı; kişisel veri işleme amaçları sıralandıktan sonra metin içerisinde yer verilen “gibi amaçlar kapsamında işlenmektedir” ifadesinin ise, gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandırır nitelikte olduğu; bu çerçevede söz konusu aydınlatma metninin “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”in (Tebliğ) 5 inci maddesinin birinci fıkrasının (g) ve (h) bentlerinde yer verilen hükümlere uygun hazırlanmaması nedeniyle, Bankanın internet sitesinde yer alan aydınlatma metninin yeniden gözden geçirilerek Tebliğ hükümlerine uygun hale getirilmesi yönünde talimatlandırılmasına karar verilmiştir...”

Aydınlatma yükümlülüğü; kişisel verileri dürüstlük kurallarına uygun olarak işleme ilkesi ve şeffaflık ilkesinin bir gereğidir. Kanunda, veri işlemenin ilgili kişinin açık rızasına bağlı olduğu veya kanunda öngörülen diğer şartlara bağlı olarak yürütüldüğü durumlarda da veri sorumlusunun ilgili kişiyi bilgilendirme yükümlülüğünün devam ettiği belirtilmiştir. Yani ilgili kişi, kişisel verisinin işlendiği her durumda aydınlatılmalıdır. Kişisel veri işleme amacı değiştiği takdirde veri işleme faaliyetinden önce ayrıca bilgilendirme yapılmalıdır.

Kişisel Verileri Korumu Kurulu, 20.05.2020 tarihli 2020/404 Sayılı Kararı’yla aydınlatma yükümlüğü ve açık rızanın alınması işlemini ayrı ayrı yerine getirmeyen veri sorumlusu/işveren hakkında 50.000-TL idari para cezası uygulanmasına karar vermiştir.

“…Veri sorumlusu tarafından Kuruma gönderilen savunma yazısında çalışan ve aday çalışanlarının her birine KVKK Aydınlatma Metni ve Açık Rıza metninin tebliğ edildiği ve çalışanların bu metinleri imza karşılığı olarak veri sorumlusuna teslim ettiği ifade edilmekle birlikte yazıları ekinde aydınlatma metnine yer verilmediği, öte yandan ilgili kişinin şikayet dilekçesi ekinde yer verilen “Kişisel Verilerin İşlenmesine İlişkin Çalışan Muvafakatnamesi”nin hem aydınlatma metni hem de açık rıza metni olarak düzenlendiği kabul edildiğinde; Tebliğin 5 inci maddesinin birinci fıkrasının (f) bendinde yer alan “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.” hükmü gereği şekli olarak aydınlatmanın usulüne uygun yapıldığından söz edilemeyeceği…”

Aydınlatma yükümlülüğü kapsamında veri sorumlusu veya yetkilendirdiği kişilerce uyulması gereken usul ve esaslar, Kişisel Verileri Koruma Kurumu tarafından 10.03.2018 tarihli Resmî Gazete’de yayımlanan “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” de belirtilmiştir. Buna göre, veri sorumlusu veya yetkilendirdiği kişinin aydınlatma yükümlülüğünü sözlü, yazılı, çağrı merkezi aracılığıyla ses kaydı gibi fiziksel veya elektronik ortam kullanmak suretiyle anlaşılır ve sade bir dille yerine getirebileceği belirtilmiştir. Aydınlatma yükümlülüğünün yerine getirildiğinin ispat külfeti veri sorumlusuna aittir.

VERİ GÜVENLİĞİNİ SAĞLAMA YÜKÜMLÜLÜĞÜ

Veri sorumlusunun veri güvenliğini sağlama yükümlüğü Kişisel Verileri Koruma Kanunu’nun 12. Maddesinde düzenleme bulmuştur. Buna göre, kanun koyucu kişisel verilerin hukuka aykırı olacak şekilde işlenmesini önleme, kişisel verilere hukuka aykırı olacak şekilde erişilmesini önleme ve kişisel verilerin hukuka uygun muhafazasını sağlama yükümlülüklerinin tamamını kapsayan veri güvenliğini sağlama yükümlülüğünü öngörmüştür.

Bu kapsamda veri sorumlusunun , veri güvenliğine ilişkin gerekli her türlü teknik ve idari tedbiri alma, gerekli denetimlerde bulunma, işlediği verileri başkasına açıklamama ve hukuka aykırı olarak kullanmama (bu yükümlülük görevden ayrılmalarından sonra da devam eder) , verilerin hukuka aykırı olarak ele geçirilmesi halinde kurula ve ilgili kişiye bildirme yükümlülükleri bulunmaktadır.

Veri güvenliğini sağlamaya yönelik tedbirlerin veri sızıntılarını önlemek amacıyla kişisel veri işlenmeden önce alınması gerekmektedir. Veri sorumlusunun kişisel verilerin işlenmesi için bir başkasını yetkilendirmesi halinde veri güvenliği ihlalinden veri sorumlusu ve veri işleyen müştereken sorumludur.

Kişisel Verileri Koruma Kanunu 18. Maddesinde; kişisel veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi durumunda 15.000 TL ile 1.000.000 TL arasında idari para cezası öngörülmüştür. Nitekim Kişisel Verileri Koruma Kurulu 30.01.2020 tarih, 2020/78 K. Sayılı ve 05.05.2020 tarih 2020/344 K. Sayılı kararlarında gerekli idari ve teknik tedbirleri almayarak veri güvenliği yükümlülüğüne aykırı davranan veri sorumluları hakkında idari para cezası uygulanmasına karar vermiştir.

Kişisel Verileri Koruma Kurulu 30.01.2020 Tarihli, 2020/78 K. Sayılı Kararı

“…Veri sorumlusu Bankanın ilgili kişinin bireysel ürünü olan kredi kartı ekstresindeki kişisel verilerini, Kanunda saylan işleme şartları olmaksızın bireysel mail adresi yerine e-ekstre ortağı olduğu firma üzerinde tanımlı olan e-posta adresine göndermek suretiyle Kanunun 8 inci maddesine aykırı bir kişisel veri aktarımı gerçekleştirmiş olduğu ve bu yönüyle veri sorumlusu Bankanın Kanunun 12 nci maddesinin birinci fıkrası kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine ulaşıldığından Kanunun 18 inci maddesinin birinci fıkrasının (b) bendi hükmü uyarınca hakkında 60.000 TL idari para cezası uygulanmasına karar verilmiştir…”

Kişisel Verileri Koruma Kurulu 05.05.2020 Tarihli, 2020/344 K. Sayılı

“…Kişisel Veri Güvenliği Rehberinde idari tedbirler arasında yer alan “Çalışanların Eğitilmesi ve Farkındalık Çalışmaları” başlığı altında ifade edilen, veri sorumlusu nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumluluklarının, görev tanımlarında belirlenmesi ve çalışanların bu konudaki rol ve sorumluluğunun farkında olmasının sağlanması gerektiği ancak bunun veri sorumlusu tarafından sağlanmadığının görüldüğü; Veri sorumlusu tarafından ihlal öncesi yapılması gereken kullanıcı yetki ve rollerine yönelik kontrollerin ve düzenlemelerin ihlal sonrasında gerçekleştirilmiş olmasının gerekli idari tedbirlerin zamanında alınmadığının göstergesi olduğu; Veri sorumlusu tarafından ihlal öncesi yapılması gereken KKB sorgulama limitlendirilmesi gibi kritik önemi haiz tedbirlerin ihlal sonrasında gerçekleştirilmiş olmasının gerekli teknik tedbirlerin yeterince alınmadığının göstergesi olduğu dikkate alınarak, Kanunun 12 nci maddesinin (1) numaralı fıkrasına uygun olarak gerekli teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.000.000 TL idari para cezası uygulanmasına karar verilmiştir.”

VERİ SORUMLULARI SİCİLİNE KAYIT YÜKÜMLÜLÜĞÜ

Veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. Kanun uyarınca kamuya açık tutulan VERBİS ile kişisel verilerin korunmasının daha etkin olması amaçlanmaktadır.

Kişisel verileri işleyen her gerçek veya tüzel kişi kişisel verileri işlemeden önce veri sorumluları siciline kayıt olmak zorundadır. Kanunda, Kişisel Verileri Koruma Kurulu’na, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi objektif kriterleri göz önünde bulundurarak bazı veri sorumlularını veri sorumluları siciline kayıttan istisna getirme hakkı verilmiştir. Kişisel Verileri Koruma Kurumu’nun güncel uygulamalarına göre herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler; 04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler ; avukatlar, arabulucular, serbest muhasebeciler, mali müşavirler, yeminli mali müşavirler , gümrük müşavirleri ve yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25.000.000’dan az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu kişisel veri işleme olmayanlar verbise kayıt yükümlülüğünden istisna tutulmuştur. Bu veri sorumluları, veri sorumluları siciline kayıttan muaf tutulsalar da kanunda öngörülen diğer yükümlülüklere ve genel ilkelere uygun davranmak zorundadırlar.

Veri sorumluları siciline kayıt bildiriminin içeriği KVKK’nun 16. Maddesinde düzenlenmiştir. Buna göre; veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri, kişisel verilerin hangi amaçla işleneceği, veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, yabancı ülkelere aktarımı öngörülen kişisel veriler, kişisel veri güvenliğine ilişkin alınan tedbirler, kişisel verilerin işlendikleri amaç için gerekli olan azami süre sicile kayıt bildiriminin içeriğini oluşturmaktadır. Bu bilgilerde değişiklik olması halinde geciktirmeksizin kuruma bilgi verilmesi gerekmektedir.

Veri sorumluları siciline kayıt yükümlülüğü bulunan veri sorumluları sicile VERBİS aracılığıyla kayıt olmak zorundadırlar. Sistem, veri sorumlularını Türkiye’de yerleşik gerçek ve tüzel kişiler, yurtdışında yerleşik gerçek ve tüzel kişiler ve kamu kurumu olmak üzere üç şekilde gruplandırmıştır. Türkiye’de yerleşik gerçek kişiler bizzat kendileri, tüzel kişiler ise yetkili organları vasıtasıyla sicile kayıt olurlar. Türkiye’de yerleşik olmayan veri sorumlusunun veri sorumlusu temsilcisi ataması ve Kurum’a bildirmesi gerekmektedir. Kamu kurum ve kuruluşlarında irtibat kişisi, Kurum ile iletişimi sağlamak amacıyla belirlenerek Sicile kaydı yapılan daire başkanı veya üstü yöneticidir.

İLGİLİ KİŞİLER TARAFINDAN YAPILAN BAŞVURULARIN CEVAPLANMASI YÜKÜMLÜLÜĞÜ

Veri sorumluları, ilgili kişilerin kişisel verileri üzerindeki her türlü faaliyeti öğrenme, kişisel verisi ve işleme faaliyeti gibi kanunun uygulanmasından kaynaklanan taleplerini talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde sonuçlandırmakla yükümlüdür. Kurum tarafından 10.03.2018 tarihli Resmi Gazetede yayımlanan “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” ile veri sorumlularının, ilgili kişiler tarafından yazılı olarak veya ilgili Tebliğ’de belirtilen kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla kendisine iletilen başvuruları, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırılması gerektiği belirtilmiştir. İşlemin ek bir maliyet gerektirmesi ve başvuru veri sorumlusunun hatasından kaynaklanmaması halinde, veri sorumlusu Kurulca belirlenen tarifedeki ücretleri başvuruda bulunan ilgili kişiden isteyebilir. İlgili kişi tarafından yapılan başvuruların Türkçe olması gerekmektedir.

Veri sorumluları ilgili kişiler tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kurallarına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almak zorundadır:

Başvuruda yer alan talep kabul edildiği takdirde veri sorumlusu tarafından gereği yerine getirilir. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikayette bulunabilir. Veri sorumlusuna başvuru yolu tüketilmeden doğrudan Kişisel Verileri Koruma Kurulu’na şikayet yoluna gidilemez. Kurul, tespit ettiği hukuka aykırılıkların giderilmesine karar vererek bu kararı ilgililere tebliğ eder.

Kişisel Verileri Koruma Kurulu 28.05.2020 Tarih, 2020/435 Esas

“…İlgili kişinin başvurusunun, Kanunda düzenlenen haklara ilişkin olmadığı ve başvurunun Kanunda düzenlenmeyen bir konu olan belge örneği talebi içerdiği için Kanunun 11 inci maddesi kapsamında karşılanmasının mümkün olmadığı gerekçesiyle veri sorumlusu tarafından 30 günlük yasal süre içerisinde cevaplandırılmadığı dikkate alındığında, ilgili kişiye ait kişisel veri niteliğindeki bilgilerini içeren 30.09.2019 tarihli savunma yazısı ile 18.10.2019 tarihli ve 17.10.2019 tarihli istifa dilekçelerinin birer örneğinin ilgili kişiye verilmesi hususunda Kanunun 15 inci maddesinin (5) numaralı fıkrası kapsamında veri sorumlusunun talimatlandırılmasına; Veri sorumlusunun, ilgili kişiler tarafından Kanun kapsamında yapılan başvurulara yasal süresi içerisinde cevap vermesi noktasında azami dikkat ve özeni göstermesi gerektiği hususunda talimatlandırılmasına karar verilmiştir.”

KURUL KARARLARININ YERİNE GETİRİLMESİ YÜKÜMLÜLÜĞÜ

Kurul, kendisine gelen şikâyet üzerine veya ihlal iddiasını öğrenmesi halinde kendiliğinden görev alanına giren konularda yapacağı inceleme sonucunda bir ihlalin varlığını tespit ederse, hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek, kararı ilgililere tebliğ eder. Veri sorumlusu, bu kararı tebliğ tarihinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirmek zorundadır.

Kişisel Verileri Koruma Kurulu 08.10.2020 tarihli 2020/766 Sayılı Kararıyla Kurul kararını yerine getirmeyen veri sorumlusu hakkında 120.000-TL idari para cezası uygulanmasına karar vermiştir.

Kişisel Verileri Koruma Kurulu 08.10.2020 Tarihli 2020/766 Sayılı Kararı

“…veri sorumlusu tarafından yayımlanan aydınlatma metninin Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun olarak düzenlenmediği, bu çerçevede Kurul Kararı ile verilen talimatın yerine getirilmeyerek veri sorumlusu tarafından Kanunun 15’inci maddesinin (5) numaralı fıkrasına aykırı hareket edildiği kanaatine varıldığından, Kanunun 18’inci maddesinin (1) numaralı fıkrasının (c) bendi uyarınca veri sorumlusu hakkında 120.000 TL idari para cezası uygulanmasına karar verilmiştir…”

SONUÇ:

6698 Sayılı Kişisel Verileri Koruma Kanunu, veri sorumluları için bir takım yükümlülükler getirerek kişisel verilerin etkin bir şekilde korunmasını amaçlamıştır. Kişisel Verileri Koruma Kurulu’nun kararları ışığında veri sorumlusunun yükümlülükleri incelenmiştir.

Kaynakça:

Selçuk Üniversitesi Sürekli Eğitim Merkezi Kişisel Verileri Koruma Kanunu Eğitimi Yard. Doç Dr. Sami AKKURT

Kişisel Verileri Koruma Kurumu

Dergipark