6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde, veri sorumlusu olan işverenlerin kişisel verilerin işlenmesi konusundaki sorumlulukları önemi giderek daha da yaygınlaşmaktadır. Kişisel Verileri Koruma Kurulu’nun kararları ile, veri sorumlularının kişisel verileri işlerken göstermeleri gereken dikkati ile veri envanteri tutmanın önemi ve kendilerine yapılan başvurulara cevap verme yükümlülükleri öne çıkmaktadır.
KVKK’nın 11. Maddesi uyarınca;
Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
haklarına sahiptir.
KVKK’nın 13. maddesi uyarınca, ilgili kişi haklarını kullanmak amacıyla veri sorumlusuna yazılı olarak veya Kurulun belirlediği diğer yöntemlerle başvuruda bulunabilmektedir. Kişisel Verileri Koruma Kurulu, 10 Mart 2018 tarihli ve 30356 sayılı Resmî Gazete’de yayımlanan “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” ile başvuru yöntemlerini belirlemiştir. Buna göre başvuru:
- Yazılı olarak (elden, posta ile),
- Kayıtlı elektronik posta (KEP) adresi,
- Güvenli elektronik imza, mobil imza,
- İlgili kişi tarafından daha önce bildirilen ve sistemde kayıtlı olan elektronik posta adresi vasıtasıyla
Yapılabilmektedir.
Veri sorumlusu, ilgili kişiden gelen başvuruyu etkin, hukuka ve dürüstlük kurallarına uygun bir şekilde değerlendirmekle yükümlüdür. KVKK’nın 13. maddesi uyarınca veri sorumlusu, başvuruyu en geç 30 gün içinde sonuçlandırmak zorundadır.
Verilerin cevabın, genel ve yüzeysel olmaması gerekmekte olup talep edilen bilgileri ayrıntılı ve anlaşılır bir şekilde içermelidir. Veri sorumlularının ilgili kişilerin başvurularına verdiği cevabın genel ve yüzeysel olması, hangi verilerin hangi amaçla işlendiğini net bir şekilde ortaya koymaması, şeffaflık ve hesap verebilirlik ilkelerine aykırılık teşkil etmektedir.
Bu kapsamda:
- Hangi kişisel verilerin işlendiği,
- Bu verilerin işlenme amaçları,
- Verilerin yasal dayanakları,
- Verilerin kimlere aktarıldığı ve
- Saklama süreleri açıkça belirtilmelidir.
Verilecek cevabın kolaylıkla cevaplanabilmesi için veri sorumlularının Veri Envanteri oluşturması ve bu envanteri güncel tutması önem taşımaktadır. Nitekim, envanterde başvuru konusu verilere ilişkin detaylı bilgiler halihazırda bulunuyor olacaktır.
KVKK’nın 4’üncü maddesinde belirtilen kişisel verilerin işlenmesine ilişkin temel ilkeler arasında “hukuka ve dürüstlük kurallarına uygun olma” ve “belirli, açık ve meşru amaçlar için işlenme” ilkeleri yer almaktadır. Bu ilkeler, veri sorumlusunun veri işleme faaliyetlerinde açık olması ve hesap verebilir bir yaklaşım sergilemesini gerektirmektedir.
Veri sorumlularının, ilgili kişilere ait kişisel verilerin işlenmesi süreçlerinde göstermesi gereken özeni ve veri envanteri tutma sorumluluğunun önemi, başvurulara yetersiz cevap verilmesi halinde verilen cezalarla net bir şekilde ortaya koymaktadır.
Veri sorumluları, ilgili kişilere ait kişisel verilerin işlenmesi süreçlerini şeffaf ve hesap verebilir bir şekilde yürütmeli, veri envanterlerini detaylı ve yasal düzenlemelere uygun olarak tutmalı, saklama sürelerini net bir şekilde belirlemeli ve ilgili kişilerin başvurularını ayrıntılı olarak yanıtlamalıdır.
Bu sorumlulukların yerine getirilmemesi durumunda, KVKK’nın 18’inci maddesi uyarınca idari para cezaları ile karşılaşılabileceği unutulmamalıdır. Ayrıca, Kurul’un verdiği talimatlar doğrultusunda veri işleme süreçlerinde gerekli düzeltmelerin yapılması gerekmektedir.
Sonuç olarak, veri sorumlularının KVKK kapsamındaki sorumluluklarını yerine getirmeleri hem yasal yaptırımlarla karşılaşmamak hem de çalışanların kişisel verilerinin korunmasını sağlamak açısından büyük bir önem taşımaktadır.
Yönetmen Avukat Öykü Güldürmez
