KİŞİSEL VERİLERİN KORUNMASI KANUNU - III

VERİ SORUMLUSU VE İLGİLİ KİŞİ KAVRAMLARI

VERİ SORUMLUSU

Veri sorumlusu 6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder.” şeklinde tanımlanmıştır. Bundan yola çıkarak kişisel verilerin ne şekilde işleneceğine, hangi kişisel verilerin işleneceğine, hangi verilerin nasıl yurt içi yahut yurt dışına aktarılacağına dair tüm kararlardan veri sorumlusu yükümlü olur. Veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Ayrıca bu tedbirlerin alınması konusunda kendi kurum ve kuruluşunda gerekli denetimleri yapmakla yetkilidir. Veri sorumlusu, ilgili kişiye dair öğrendiği kişisel verileri 6698 Sayılı Kişisel Verilerin Korunması Kanununa aykırı olarak açıklayamaz ve bu verilere başkası tarafından erişildiğini, başkası tarafından işlendiğini öğrendiği an ilgilisine ve kuruma bildirmekle yükümlüdür. Veri sorumlularına yüklenen sorumluluk ağırdır.

Veri sorumlularının görevleri 6698 Sayılı Kişisel Verilerin Korunması Kanunda sayılmıştır. Buna göre veri sorumluları;

a) Veri sorumlusunun ve varsa temsilcisinin kimliği konusunda kişilere bilgi vermek.

b) Kişisel verilerin hangi amaçla işleneceği konusunda ilgili kişileri aydınlatmak.

c) İşlenen kişisel verilerin kimlere, nasıl ve hangi amaçla aktarılabileceği hususunda veri sahibini bilgilendirmek.

ç) Kişisel veri toplamanın hangi yöntemle yapılacağı ve hukuki sebeplerine dair ilgili kişilere bilgi vermek.

d) 6698 Sayılı Kişisel Verilerin Korunması Kanunun 11 inci maddesinde sayılan ilgili kişilerin diğer hakları konusunda ilgili kişileri aydınlatmakla yükümlüdür.

Veri sorumluları kendilerine yüklenen bu ağır görevleri yerine getirip getirmediği hususunda denetime tabidir. Veri sorumluları, veri işlemeye başlamadan önce kişisel verilerin hangi amaçla işleneceğini, verilerin hangi şartlar altında aktarabileceğini bildirmek koşuluyla Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kişisel Verileri Koruma Kurulu tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.

İLGİLİ KİŞİ

Kişisel verisi işlenen kişiler, 6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında ilgili kişi olarak değerlendirilir. Kişisel verilerin ne denli önemli olduğundan, işlenmesi ve aktarılması için ağır şartlara tabi olduğundan bahsetmiştik. Bu sebeple kanun koyucu kişisel verilerin sahibi olan ilgili kişi koruma yönünde tedbirler almıştır. Sahip olduğu verinin ne şekilde işleneceği, nereye aktarılacağı gibi bilgileri ilgili kişi veri sorumlusuna başvurarak öğrenme imkanına sahiptir.

İlgili kişi;

a) Kişisel verilerinin işlenip işlenmediğini öğrenme,

b) Kişisel verileri işlenmişse bu işlemeye ilişkin bilgi talep etme,

c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri öğrenme,

d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

e) 6698 Sayılı Kişisel Verilerin Korunması Kanunu 7. Maddesinde “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi” başlığı altında öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

f) Kişisel verilerin düzeltilmesi ve silinmesi veya yok edilmesi hükümleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.

VERİ SORUMLUSUNA BAŞVURU VE KİŞİSEL VERİLERİ KORUMA KURUMUNA ŞİKAYET

Verileri işlenen ilgili kişi, 6698 Sayılı Kişisel Verilerin Korunması Kanununda belirtilen hakları çerçevesinde taleplerini Kişisel Verileri Koruma Kurumunun belirleyeceği bir yöntemle (yazılı, sözlü vb.) veri sorumlusuna iletme hakkını haizdir. Veri sorumlusu kendisine yöneltilen bu talepleri en makul sürede ve kanun koyucunun düzenleyici nitelikte öngördüğü en geç 30 günlük süre içerisinde sonuçlandırmakla yükümlüdür. Kural olarak ilgili kişilerin taleplerinin sonuçlandırılması ücretsizdir ancak kimi durumlarda işlem için ayrıca bir maliyetin gerekmesi söz konusu olabilir. Bu gibi hallerde Kişisel Verileri Koruma Kurumunca tarifede belirlenen bir ücret alınabilir. Veri sorumlusu, ilgili kişinin talebini kabul veya reddedebilir ancak reddetmesi durumunda gerekçesini açıklayarak ilgili kişiye bildirmek zorundadır. Söz konusu talep veri sorumlusunun hatası sebebiyle ortaya çıkmış ve yapılacak işlem için ayrıca maliyet ortaya çıkmış ve ilgili kişiden tahsil edilmişse, bu ücret başvuruyu yapan ilgili kişiye iade edilir.

İlgili kişinin 6698 Sayılı Kişisel Verilerin Korunması Kanununda belirtilen hakları çerçevesinde veri sorumlusundan bir talepte bulunması sonucu; talebinin reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi gibi hallerde ilgili kişi bir üst merci olan Kişisel Verileri Koruma Kuruluna altmış gün içinde şikayette bulunabilir. Altmış günün geçmesiyle bu şikayet hakkı düşer. Ancak bu şikayette bulunmanın temel şartı ilk olarak veri sorumlusuna başvurmaktır. Veri sorumlusuna başvurmadan Kişisel Verileri Koruma Kuruluna başvuru yapılamaz. Kişisel Verileri Koruma Kurulunun kararına göre eğer bir kişilik hakkının ihlali söz konusu olursa genel hükümlere göre tazminat talep hakkı doğar.