KVKK’da Hak ve Yükümlülükler

a. İlgili Kişinin Hakları

KVKK’nın 11. Maddesi ile ilgili kişinin kişisel verileri üzerindeki denetimini artırmak için birtakım haklar verilmiştir. Buna göre ilgili kişi; veri sorumlusuna başvuruda bulunmak yoluyla kişisel verilerinin işlenip işlenmediğini, işlenmişse işlenme amacını ve verilerinin amacına uygun kullanılıp kullanılmadığını, yurt içinde ve yurt dışında verilerinin aktarıldığı üçüncü kişileri öğrenme hakkına sahiptir.

İlgili kişi, kişisel verilerinin işlenmesine yönelik bilgi edinmeye yönelik haklarına ek olarak; gerektiğinde yine veri sorumlusuna başvurmak suretiyle eksik veya yanlış olan kişisel verilerinin düzeltilmesini isteme, işlenme sebebi ortadan kalkan kişisel verilerinin silinmesini veya yok edilmesini talep etme ile düzeltme ve silme gibi işlemlerden üçüncü kişilerin haberdar edilmesini talep etme hakkına da sahiptir.

Münhasıran otomatik işleme yapan sistemler aracılığı ile analiz yapılan durumlarda ilgili kişi, kendisi hakkında aleyhe bir sonuç çıkmasına itiraz edebilir. KVKK’nın gerekçesinde performansı otomatik bir siteme analiz ettirilerek buna göre değerlendirmesi yapılan işçinin, bu hakka dayanarak itiraz edebileceği düzenlenmiştir.

Veri sorumlusuna başvurunun usulü ve esasları Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğ’inde düzenlenir. Tebliğin 4. Maddesinin 2. Fıkrasına göre “İlgili kişiler, başvurularını Türkçe olarak yapmak kaydıyla bu haktan yararlanabilir.” Tebliğin 5.

Maddesi ile ilgili kişinin 11. Madde kapsamındaki taleplerini veri sorumlusuna iletebileceği kanallar sayılmıştır. Buna göre ilgili kişi; 11. Madde kapsamındaki taleplerini yazılı olarak iletebileceği gibi, kayıtlı elektronik posta (KEP) adresi, elektronik ya da mobil imza ile imzalanmış şekilde de iletebilir. Ek olarak, veri sorumlusuna önceden bildirilmiş elektronik

76 posta adresini kullanmak suretiyle veya başvuru için özel olarak geliştirilmiş bir yazılım vasıtasıyla da iletebilir.

b. Veri Sorumlusunun Yükümlülükleri

(1) Aydınlatma Yükümlülüğü

Şüphesiz, ilgili kişinin işleme faaliyetlerine dair denetimini ve kişisel verilerinin üzerindeki kontrolünü artırmanın en önemli aşaması işleme ile ilgili kişiyi bilgilendirmektir.

Nitekim, yukarıda açıklanan kişisel verilerin işlenmesi ilkelerinin birçoğunun temelinde de ilgili kişinin bilgilendirilmesi yatmaktadır. Bu kapsamda kanun koyucu, veri sorumlusunu verileri topladığı esnada ilgiliyi bilgilendirmek ile sorumlu tutmuştur.

KVKK’nın 10. Maddesinde yer verilen aydınlatma yükümlülüğüne göre ilgili kişilere:

• Veri sorumlusunun ve varsa temsilcisinin kimliği,

• Kişisel verilerin işlenme amacı,

• İşlenen kişisel verilerin aktarılacağı kişiler,

• Verilerin hangi yöntemle ve hangi hukuki dayanak ile toplandığı ve

• İlgili kişinin KVKK’nın 11. Maddesi ile tanınan hakları

hususlarındaki bilgiler, verilerin elde edilmesi esnasında ilgili kişiye verilmek zorundadır.

Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin onayına tabii değildir.

Veri sorumlusu tek taraflı irade beyanı ile bu yükümlülüğünü yerine getirebilir. Ancak bu yükümlülüğün yerine getirildiğine ilişkin ispat yükü veri sorumlusundadır.¹⁵⁵

(2) Veri Güvenliğine İlişkin Yükümlülükler

Kanun koyucu ilgili kişiye verdiği kişinin verileri üzerindeki hakimiyetini kuvvetlendirmeyi amaçlayan hakların yanı sıra, verilerin güvenliğini sağlamak üzere veri sorumlularına da çok sayıda idari ve teknik yükümlülük getirmiştir. KVKK’nın 12. Maddesine göre veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla teknik ve idari tedbirleri almak zorundadır. Buna paralel olarak şayet veri sorumlusu bir kurum veya

155 Turan, Metin, Karşılaştırmalı Hukukta Kişisel Verilerin Korunması, Seçkin Yayınevi, Ankara, 2019, s. 86.

77 kuruluş adına hareket ediyor ise kendi kuruluşlarında KVKK’nın uygulanmasını sağlamak zorundadırlar. Veri sorumlularının öğrendikleri kişisel verilere ilişkin sır saklama yükümlülükleri vardır ve bu yükümlülük görevden ayrılsalar dahi devam eder.

Veri güvenliği bakımından belki de en çok karşılaşılan durumlardan biri verilerin sızdırılması hadiselerinin kamuoyundan gizlenmesidir.¹⁵⁶ Kanun koyucu bunu öngörmüş ve veri sorumlusunu; işlenen verilerin hukuka aykırı olarak başkaları tarafından ele geçirildiği hallerde ilgilisine ve Kurul’a bildirmekle sorumlu tutmuştur. Bildirim yükümlülüğü ile sızıntı sebebi ile oluşacak zararın en aza indirilmesi ve gelecekte olan sızıntıların önlenmesi yolunda adımlar atılması amaçlanmıştır.¹⁵⁷

(3) İlgili Kişi Tarafından Yapılan Başvuruların Cevaplanması ve Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü

KVKK’nın 13. maddesine ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe göre veri sorumluları, ilgili kişi tarafından yapılan başvuruları en geç otuz gün içerisinde cevaplamak durumundadırlar.

İlgili kişinin cevabı yetersiz bulması veya cevap alamaması üzerine Kurul’a başvurduğu hallerde, Kurul veri sorumlusunun bir ihlali ortadan kaldırması yönünde karar verirse bu karar en geç otuz gün içerisinde veri sorumlusu tarafından yerine getirilir.¹⁵⁸

(4) Veri Sorumluları Siciline Kaydolma Yükümlülüğü

Veri işleyen gerçek ve tüzel kişiler, KVKK’nın 16. Maddesine göre Başkanlık tarafından tutulan veri sorumluları siciline kaydolmak zorundadırlar. Veri Sorumluları Sicili Hakkında Yönetmelik ile bu zorunluluğa bazı istisnalar getirilmiş ve işlenen kişisel verilerin niteliği, sayısı ve işlemenin amacı gibi birtakım kriterlere göre bazı veri sorumluları 16. Madde ile getirilen kayıt yükümlülüğünden muaf tutulmuşlardır.¹⁵⁹

156 Küzeci, 2019: 358.

157 Küzeci, 2019: 359.

158Kişisel Verileri Koruma Kurumu, "Kanun Kapsamında Hak Ve Yükümlülükler", (Erişim) https://www.kvkk.gov.tr/Icerik/4192/Kanun-Kapsamindaki-Hak-ve-Yukumlulukler, 20 Şubat 2020

159Kişisel Verileri Koruma Kurumu, "Kanun Kapsamında Hak Ve Yükümlülükler", (Erişim) https://www.kvkk.gov.tr/Icerik/4192/Kanun-Kapsamindaki-Hak-ve-Yukumlulukler, 20 Şubat 2020

78 (5) Bildirim Yükümlülüğü

İşlenen kişisel verilerin kanuna aykırı olarak herhangi bir şekilde üçüncü kişilerce ele geçirilmesi durumunda veri sorumlusu, en kısa sürede ilgili kişiye ve Kurul’a bildirmek zorundadır.¹⁶⁰