Makale
Kişisel Verilerin Korunması Kanunu kapsamında, veri sorumlularının aydınlatma, veri güvenliğini sağlama, sicile kayıt ve ihlal bildirimi gibi temel hukuki yükümlülükleri bulunmaktadır. Bu makalede, söz konusu yükümlülükler ile kişisel verilerin yurt içi ve yurt dışına aktarılma şartları hukuki bir perspektifle detaylıca incelenmektedir.
Kişisel Verilerin Aktarımı ve Veri Sorumlusu Yükümlülükleri
6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiler veri sorumlusu olarak nitelendirilmektedir. Hukukumuzda veri sorumlusu statüsü, şirketlerin tüzel kişiliği üzerinde doğmakta olup, kamu hukuku ve özel hukuk tüzel kişileri arasında bu açıdan bir farklılık gözetilmemektedir. Veri sorumlusunun temel rolü, veri işleme faaliyetinin neden ve nasıl yapıldığına karar vermek ve süreci kanuna uygun şekilde yönetmektir. Bu bağlamda, veri sorumlularının mevzuattan doğan aydınlatma yükümlülüğü, veri güvenliğini sağlama yükümlülüğü, Veri Sorumluları Siciline kayıt yükümlülüğü ve ilgili kişilerin başvurularını cevaplama gibi son derece kritik hukuki sorumlulukları bulunmaktadır. Aynı zamanda, işletmelerin ticari faaliyetlerinin kaçınılmaz bir parçası olan kişisel verilerin aktarılması süreçleri de kanunda sıkı şekil şartlarına ve kurallara bağlanmıştır.
Veri Sorumlusunun Temel Yükümlülükleri
Veri sorumlusunun kanundan doğan temel yükümlülükleri şunlardır:
- Aydınlatma yükümlülüğünün yerine getirilmesi
- Veri güvenliğine yönelik tedbirlerin alınması
- VERBİS sistemine kayıt yapılması
- İlgili kişilerin başvurularının cevaplanması
Özellikle ilgili mevzuat uyarınca, veri sorumlusu veya yetkilendirdiği kişi, verilerin elde edilmesi sırasında ilgili kişilere süreç hakkında detaylı bilgi vermek zorundadır. Aydınlatma yükümlülüğü, açık rızadan bağımsız olarak yerine getirilmesi gereken asli bir yükümlülüktür ve ilgili kişinin talebine bağlanamaz. Veri sorumlusu, bu yükümlülüğü açık, sade ve anlaşılır bir dille, veri işleme aşamasından önce yerine getirmelidir. İlgili kişiye verilecek bilgilerin, veri sorumlusunun Veri Sorumluları Siciline kayıt yükümlülüğü varsa oradaki kayıtlı bilgilerle uyumlu olması şarttır. Bu yükümlülüğün ihlali, şirketler için idari yaptırımlarla karşılaşılmasına neden olabilecektir.
Bir diğer kritik husus, veri güvenliğine ilişkin yükümlülüklerdir. Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı şekilde erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbirleri almak zorundadır. Veri sorumlusu, bu işlemleri bir veri işleyen vasıtasıyla gerçekleştiriyorsa, sistemin güvenliği hususunda veri işleyen ile müştereken sorumlu tutulur. Ayrıca, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından ele geçirilmesi, yani bir veri ihlali yaşanması halinde, veri sorumlusu bu durumu en kısa sürede, uygulamadaki kararlar ışığında yetmiş iki saat içinde, yetkili kurula ve ilgili kişiye bildirmekle yükümlüdür. Veri sorumlularının ve ilgili çalışanların, görevden ayrılsalar dahi söz konusu verileri başkalarına açıklayamayacakları katı bir sır saklama yükümlülüğü de bulunmaktadır.
Veri sorumlularının kanundan doğan bir diğer yapısal yükümlülüğü, veri işlemeye başlamadan önce kamuya açık bir şekilde tutulan Veri Sorumluları Siciline kayıt yaptırmaktır. Bu sisteme kayıt yükümlülüğü bulunan veri sorumluları, iş süreçlerine bağlı olarak yürüttükleri faaliyetleri detaylandırdıkları kurumsal bir kişisel veri işleme envanteri hazırlamakla mükelleftir. Kurul tarafından belirlenen istisnalar dışında kalan tüm gerçek ve tüzel kişi veri sorumluları bu mekanizmaya dâhil olmalıdır. Öte yandan, veri sorumluları ilgili kişilerin mevzuatın uygulanmasına yönelik başvurularını cevaplandırmak zorundadır. İlgili kişinin yazılı veya belirlenen güvenli elektronik yöntemlerle yaptığı talepler, niteliğine göre en kısa sürede ve en geç otuz gün içinde veri sorumlusunca sonuçlandırılmalıdır. Veri sorumlusu, incelediği talepleri gerekçeli olarak kabul veya reddetmeli ve oluşan sonucu mutlaka ilgili kişiye bildirmelidir.
Kişisel Verilerin Yurt İçi ve Yurt Dışına Aktarımı
Kişisel verilerin üçüncü kişilere aktarılması süreçleri, ticari yaşamda ve hizmet alımlarında sıklıkla karşılaşılan ancak hukuki sınırları son derece hassas olan işlemlerdir. Kural olarak, kişisel verilerin aktarılması işlemi için veri sahibinin yani ilgili kişinin açık rızası gerekmektedir. Ancak, mevzuatta belirtilen hukuka uygunluk şartlarının varlığı halinde, kişinin açık rızası olmaksızın da yurt içinde veri aktarımı yapılabilmesi yasal olarak mümkündür. Aktarıma konu olan verilerin özel nitelikli veri olması halinde ise ayrıca yetkili makamlarca belirlenen yeterli güvenlik önlemlerinin alınması zorunludur. Hukuki açıdan aktarım kavramı, verilerin birbiriyle ilişkili grup şirketleri arasında paylaşılmasını da kapsar; zira her bir şirketin ayrı tüzel kişiliği bulunduğundan bu iç paylaşımlar da kanunun katı veri aktarımı kurallarına bütünüyle tabidir.
İşletmelerin küreselleşmesinin bir sonucu olan kişisel verilerin yurt dışına aktarılması ise hukukumuzda çok daha sıkı şekil şartlarına bağlanmıştır. Mevzuat uyarınca, ilgili kişinin açık rızası bulunmaksızın veriler kural olarak sınır ötesine aktarılamaz. İstisnai durumlarda veri aktarımı yapılabilmesi için; kanundaki işleme şartlarından birinin varlığı ile birlikte aktarım yapılacak ülkede yeterli korumanın bulunması şartı bir arada aranır. İlgili yabancı ülkede yeterli koruma güvencesi yoksa, Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve ardından özel iznin alınması gerekmektedir. Çok uluslu şirket toplulukları arasında gerçekleşecek yoğun veri aktarımlarında ise süreçleri standartlaştırmak adına uygulanan bağlayıcı şirket kuralları mekanizması büyük kolaylık sağlar. Sunucuları yurt dışında bulunan kurumsal e-posta hizmetlerinin kullanılması dahi hukuken yurt dışına aktarım teşkil ettiğinden bu hususlara riayet edilmesi elzemdir.