İzmir Avukat

Veri Sorumlularının Yükümlülükleri ve Cezai Yaptırımlar

Kişisel verilerin korunması, dijital çağın en kritik konularından biri haline gelmiştir. Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), veri sorumlularına önemli yükümlülükler getirerek kişisel veri işleme faaliyetlerini düzenlemekte ve ihlaller halinde ciddi yaptırımlar öngörmektedir. Bu makalede, veri sorumlularının temel yükümlülükleri ve uyulmaması halinde karşılaşabilecekleri cezai yaptırımlar ayrıntılı olarak ele alınacaktır.

Veri Sorumlusu Kimdir?

KVKK’ya göre veri sorumlusu, kişisel verilerin işleme amaç ve araçlarını belirleyen, verilerin işlenmesinden sorumlu gerçek veya tüzel kişidir. Başka bir ifadeyle, hangi verinin, neden ve nasıl kullanılacağına karar veren kişi veya kurum veri sorumlusu olarak kabul edilir.

Veri Sorumlularının Temel Yükümlülükleri Nelerdir?

KVKK kapsamında veri sorumlularına getirilen temel yükümlülükler şunlardır:

1. Aydınlatma Yükümlülüğü

Veri sorumlusu, kişisel verileri işlerken ilgili kişileri aydınlatmak zorundadır. Aydınlatma metninde kişisel verilerin hangi amaçla toplandığı, hangi amaçla kullanılacağı, aktarılacağı yerler ve kişisel veri sahibinin hakları açıkça belirtilmelidir.

2. Açık Rıza Alma Yükümlülüğü

Kişisel verilerin işlenebilmesi için veri sahibinin açık rızasının alınması gerekir. Açık rıza, özgür iradeyle, belirli ve bilgilendirilmiş şekilde verilmiş olmalıdır.

3. Veri Güvenliği Tedbirlerini Alma Yükümlülüğü

Veri sorumluları, kişisel verilerin korunmasını sağlamak amacıyla her türlü teknik ve idari tedbiri almakla yükümlüdür. Bunlar arasında veri erişim yetkilerinin sınırlanması, veri şifreleme, güvenli sunucuların kullanımı gibi önlemler bulunur.

4. Veri İşleme Envanteri ve Sicile Kayıt Yükümlülüğü

Veri sorumluları, kişisel veri işleme faaliyetlerini kayıt altına almak ve Veri Sorumluları Siciline (VERBİS) kayıt olmak zorundadır. Bu sicile kayıt yükümlülüğü, belirli kriterleri taşıyan veri sorumluları için geçerlidir.

5. İlgili Kişinin Başvurularına Cevap Verme Yükümlülüğü

Kişisel verisi işlenen bireylerin, verileriyle ilgili bilgi edinme, düzeltme, silme ve işlenmeye itiraz etme hakları vardır. Veri sorumlusu, ilgili kişilerden gelen başvuruları en geç 30 gün içinde cevaplandırmakla yükümlüdür.

6. Veri İhlallerini Bildirme Yükümlülüğü

Veri ihlali durumunda, veri sorumlusu bu durumu en kısa sürede (72 saat içinde) Kişisel Verileri Koruma Kurulu’na (KVKK) ve ilgili kişilere bildirmek zorundadır.

Veri Sorumlularının KVKK’ya Uyumu İçin Yapması Gerekenler

KVKK’ya uyum sağlamak için veri sorumlularının yapması gereken temel işlemler şunlardır:

  • KVKK’ya uygun açık rıza metinleri ve aydınlatma metinlerinin hazırlanması,
  • Kişisel veri envanteri oluşturulması,
  • VERBİS kaydının gerçekleştirilmesi,
  • Veri koruma politika ve prosedürlerinin oluşturulması,
  • Çalışanların KVKK konusunda eğitilmesi ve bilinçlendirilmesi,
  • Teknik ve idari tedbirlerin periyodik olarak gözden geçirilmesi ve güncellenmesi.

Veri Sorumlularının KVKK’ya Aykırı Davranışlarının Cezai Yaptırımları Nelerdir?

KVKK’ya uyulmaması durumunda ciddi cezai yaptırımlar söz konusudur. Bu cezalar, hem idari para cezaları hem de cezai sorumluluk şeklinde olabilir:

İdari Para Cezaları

KVKK’ya göre idari para cezaları ihlalin türüne göre değişir. Başlıca idari para cezaları şunlardır:

  • Aydınlatma yükümlülüğüne aykırılık durumunda 13.393 TL’den 267.883 TL’ye kadar,
  • Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi halinde 40.183 TL’den 2.678.863 TL’ye kadar,
  • VERBİS kayıt yükümlülüğüne uyulmaması durumunda 53.578 TL’den 2.678.863 TL’ye kadar idari para cezası uygulanır.

Bu tutarlar her yıl yeniden değerleme oranına göre güncellenmektedir.

Cezai Sorumluluklar

Kişisel verilerin hukuka aykırı olarak kaydedilmesi, yayılması veya başkasına verilmesi halinde Türk Ceza Kanunu hükümlerine göre 1 ila 4 yıl arasında hapis cezası ile cezalandırılır.

Veri İhlalinde Ne Yapılmalıdır?

Veri ihlali halinde veri sorumlusunun aşağıdaki adımları hızla atması gerekir:

  • İhlalin tespiti ve detaylarının belirlenmesi,
  • İhlalin kapsamı ve etkileri hakkında KVKK’ya ve ilgili kişilere 72 saat içinde bildirimde bulunulması,
  • İhlale neden olan güvenlik açığının kapatılması ve gerekli önlemlerin alınması,
  • İhlalin tekrarlanmaması için gerekli idari ve teknik tedbirlerin güçlendirilmesi.

Sık Sorulan Sorular (SSS)

  1. Veri sorumlusu kimdir?
    Kişisel verileri işleyen gerçek veya tüzel kişilerdir.
  2. KVKK’ya göre açık rıza nedir?
    Belirli konuda, bilgilendirilmiş ve özgür iradeyle verilen onaydır.
  3. KVKK’da veri güvenliği tedbirleri nelerdir?
    Veri şifreleme, erişim kontrolü, güvenli depolama gibi teknik ve idari önlemlerdir.
  4. VERBİS nedir?
    Veri Sorumluları Sicili’dir; veri işleyenlerin kayıt olmak zorunda olduğu sicildir.
  5. KVKK’ya aykırılığın cezası nedir?
    İhlalin türüne göre idari para cezaları ve hapis cezaları uygulanabilir.
  6. Veri ihlali durumunda bildirim süresi ne kadardır?
    72 saat içinde KVKK’ya bildirilmelidir.
  7. KVKK’ya aykırılıkta cezayı kim uygular?
    Kişisel Verileri Koruma Kurumu cezaları uygular.
  8. KVKK’ya uyum zorunlu mudur?
    Evet, kişisel veri işleyen tüm kişi ve kurumlar için zorunludur.
  9. Veri sorumlusunun ilgili kişi başvurusuna cevap süresi nedir?
    En geç 30 gün içerisinde cevap vermelidir.
  10. KVKK cezaları kim tarafından belirlenir?
    Kişisel Verileri Koruma Kurulu tarafından belirlenir ve uygulanır.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir