Anasayfa/ Makale/ KVKK ve GDPR Kapsamında Veri Sorumlusu ve...

Makale

Bu makalede, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve Avrupa Birliği Genel Veri Koruma Tüzüğü çerçevesinde veri sorumlusu ile veri işleyenlerin yasal yükümlülükleri, idari yaptırımlar ve güvenlik tedbirleri hukuki bir perspektifle incelenmektedir.

KVKK ve GDPR Kapsamında Veri Sorumlusu ve İşleyenlerin Sorumluluğu

KVKK AYDINLATMA YÜKÜMLÜLÜĞÜ GDPR (GENEL VERİ KORUMA TÜZÜĞÜ)

Bilişim teknolojilerinin hızla gelişmesi ve dijitalleşmenin hayatımızın merkezine yerleşmesiyle birlikte, yasal süreçlerin yönetimi modern hukukun en temel tartışma alanlarından biri haline gelmiştir. Bu noktada, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve Avrupa Birliği Genel Veri Koruma Tüzüğü, veri sorumlusu ve veri işleyen sıfatını haiz gerçek ve tüzel kişilere son derece katı yasal yükümlülükler yüklemektedir. Bir veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan bu aktörler, verilerin hukuka aykırı olarak işlenmesini önlemekle mükelleftir. Mevzuatımız, dijital mahremiyeti güvence altına almak adına, veri sorumlularına aydınlatma yükümlülüğü, veri güvenliğini sağlama ve denetim yapma gibi spesifik görevler tanımlamıştır. Bu yazımızda, söz konusu aktörlerin yasal statülerini, hukuki sorumluluklarını ve güncel yaptırım pratiklerini detaylı bir biçimde analiz edeceğiz.

Veri Sorumlusu ve Veri İşleyenin Hukuki Statüsü

Hukuk sistemimizde veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişileri ifade etmektedir. Dijital mecralarda ve özellikle sosyal medya platformlarında veri sorumluları, sistemin bizzat kurucusu ve yürütücüsü olarak en geniş sorumluluk alanına sahiptirler. Mevzuat uyarınca veri sorumlusu, bilgi edinilmesi sürecinde ilgili kişilere verilerin hangi amaçla kullanılacağı, kimlere ne şekilde aktarılacağı ve hukuki sebepleri hakkında şeffaf bir biçimde aydınlatma yapmak zorundadır. Öte yandan, veri işleyenler ise veri sorumlusunun verdiği yetki ve talimatlar doğrultusunda sistem süreçlerini yürüten taraf olarak, veri sorumlusu ile birlikte hukuki ve teknik yükümlülüklere tabidirler. Hem ulusal mevzuatımızda hem de Genel Veri Koruma Tüzüğü düzenlemelerinde bu iki aktör, gizliliğin ve güvenliğin sağlanmasında sistemin ana taşıyıcı kolonları olarak kabul edilmekte ve ciddi idari yaptırımlarla denetlenmektedir.

Veri Güvenliğini Sağlama ve Denetim Yükümlülükleri

Hukuka aykırı işlemlerin ve yetkisiz erişimlerin önüne geçmek, veri sorumlularının en temel hukuki ödevleri arasında yer alır. Veri sorumluları, ellerinde bulundurdukları bilgileri muhafaza etmek için gerekli her türlü güvenlik tedbirlerini almak, gerekli denetimleri yapmak ve yaptırmak zorundadırlar. Avrupa Birliği mevzuatının 32. maddesi de bu hususu destekler nitelikte olup, veri kontrolörü ve veri işleyicisini, riske uygun güvenlik seviyesini sağlamak amacıyla teknik ve kurumsal önlemleri almakla yükümlü kılmıştır. Şifreleme, sistemlerin gizliliğini sağlama, bütünlüğü koruma ve bu önlemlerin etkinliğini ölçmek adına düzenli testler yapma gibi uygulamalar, yasal bir zorunluluktur. Ayrıca ihlal meydana geldiğinde, mevzuat gereğince veri kontrolörünün, ihlali öğrendikten sonraki yetmiş iki saat içerisinde yetkili denetim makamına bildirim yapması şarttır. Alınmayan her türlü güvenlik önlemi, veri sorumlusunu ve işleyenini doğrudan sorumluluk ile karşı karşıya bırakacaktır.

Kurul Çerçevesinde İdari Yaptırımlar ve Emsal Kararlar

Uygulamalar ve emsal kararlar incelendiğinde, veri sorumlularının aydınlatma yükümlülüklerini ihlal etmeleri veya güvenliği zafiyete uğratmaları durumunda ağır idari para cezaları ile karşılaştıkları görülmektedir. Örneğin, bir sigorta acentesinin müşterilerine ait kayıtları reklam amacıyla sosyal medya hesaplarında paylaşması vakasında, Kurul tarafından veri sorumlusuna idari para cezası uygulanmıştır. Benzer şekilde, bir eğitmenin görsellerini izinsiz kullanan veri sorumlusu iş yerine karşı verilen karar da, aydınlatma yükümlülüğünün yerine getirilmemesi durumunda doğacak yasal sonuçları gözler önüne sermektedir.

Kurul kararlarına göre veri sorumlularının sıkça karşılaştığı yaptırım nedenleri şunlardır:

  • İlgili kayıtların yasalara aykırı olarak üçüncü kişilerle veya dijital mecralarda paylaşılması.
  • Süreçlerin başlangıcında aydınlatma yükümlülüğünün eksik veya hatalı yerine getirilmesi.
  • Sistem güvenliğini sağlayacak idari ve teknik tedbirlerin yetersiz kalması nedeniyle dışarıdan hukuka aykırı erişimlere zemin hazırlanması.

Başvuruların Sonuçlandırılması ve Tazminat Sorumluluğu

İlgili hak arama süreçlerini yönetmek amacıyla doğrudan veri sorumlusuna başvurma yolları açıktır. Mevzuatımız gereği, veri sorumlusuna yapılan başvurular yazılı olarak iletildiğinde, en geç otuz gün içerisinde veri sorumlusu tarafından kabul veya ret şeklinde sonuçlandırılmak zorundadır. Bu yasal süre zarfında başvurunun reddedilmesi, cevabın yetersiz bulunması ya da hiçbir geri dönüş yapılmaması durumunda kişilerin Kurula şikâyet mekanizmasını işletme hakkı doğmaktadır. Sorumluluk sadece idari cezalarla sınırlı kalmamakta; ilgili Avrupa tüzüğünün 82. maddesinde de altı çizildiği üzere, yönetmelik ihlali dolayısıyla maddi veya manevi zarara uğrayan kişi, veri kontrolörü ve veri işleyicisinden tazminat talep edebilmektedir. İşleme faaliyetinin neden olduğu zarardan dolayı veri sorumlusu ile talimatlara aykırı hareket eden veri işleyen zararın tümünden ayrı ayrı müteselsilen sorumlu tutulabilmekte ve zararın tamamını ödeyen taraf rücu ilişkisi kapsamında diğerlerinden paylarına düşen miktarları talep edebilmektedir.

4 dk okuma Yayınlanma: Güncelleme: