Veri Sorumluları Sicili yani VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) kişisel veri işleyen gerçek ve tüzel kişilerin veri işleme faaliyetine başlamadan önce kaydolmak zorunda oldukları, Kişisel Verilerin Korunması Kurumu’nun gözetiminde Başkanlık tarafından kamuya açık tutulan sicildir. Kamuya açık bu sicil, AB veri koruma mevzuatındaki şeffaflık ve hesap verilebilirlik ilkelerinin hukukumuza yansıması niteliğinde denebilir.

VERBİS Kaydının İstisnaları
KVKK’nın 16. maddesinde “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir” hükmü yer almaktadır.
Şuan için herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler, noterler, dernek/vakıf/sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler, siyasi partiler, avukatlar, gümrük müşavirleri, arabulucular, serbest muhasebeci mali müşavirler ve yeminli mali müşavirler, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar, VERBİS’e kayıt yükümlülüğünden istisna tutulmuştur. Bu kapsamdaki veri sorumluları kayıt yükümlüsü olmamakla birlikte VERBİS’e kayıt yaptırmaları mümkündür.
Yıllık çalışan sayısı 50’den fazla olan veya yıllık mali bilanço toplamı 25 milyon TL’den fazla olanlar ile ana faaliyet konusu özel nitelikli kişisel veri işleme olanlar VERBİS’e kayıt olmak zorundadır.

VERBİS kaydı neleri içerir?
KVKK’nın 16. maddesine göre VERBİS’e yapılan bildirim şunları içerir:
Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.
Kişisel verilerin hangi amaçla işleneceği.
Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.
Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.
Yabancı ülkelere aktarımı öngörülen kişisel veriler.
Kişisel veri güvenliğine ilişkin alınan tedbirler.
Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

Kategoriler
Uncategorized

Veri Sorumluları Sicili “Verbis”Veri Sorumluları Sicili Nedir?

Veri Sorumluları Sicili yani VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) kişisel veri işleyen gerçek ve tüzel kişilerin veri işleme faaliyetine başlamadan önce kaydolmak zorunda oldukları, Kişisel Verilerin Korunması Kurumu’nun gözetiminde Başkanlık tarafından kamuya açık tutulan sicildir. Kamuya açık bu sicil, AB veri koruma mevzuatındaki şeffaflık ve hesap verilebilirlik ilkelerinin hukukumuza yansıması niteliğinde denebilir.

VERBİS Kaydının İstisnaları
KVKK’nın 16. maddesinde “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir” hükmü yer almaktadır.
Şuan için herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler, noterler, dernek/vakıf/sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler, siyasi partiler, avukatlar, gümrük müşavirleri, arabulucular, serbest muhasebeci mali müşavirler ve yeminli mali müşavirler, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar, VERBİS’e kayıt yükümlülüğünden istisna tutulmuştur. Bu kapsamdaki veri sorumluları kayıt yükümlüsü olmamakla birlikte VERBİS’e kayıt yaptırmaları mümkündür.
Yıllık çalışan sayısı 50’den fazla olan veya yıllık mali bilanço toplamı 25 milyon TL’den fazla olanlar ile ana faaliyet konusu özel nitelikli kişisel veri işleme olanlar VERBİS’e kayıt olmak zorundadır.

VERBİS kaydı neleri içerir?
KVKK’nın 16. maddesine göre VERBİS’e yapılan bildirim şunları içerir:
Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.
Kişisel verilerin hangi amaçla işleneceği.
Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.
Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.
Yabancı ülkelere aktarımı öngörülen kişisel veriler.
Kişisel veri güvenliğine ilişkin alınan tedbirler.
Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

Kişisel Verilerin Korunması Kanunu Terminolojisine Genel Bir Bakış

Kişisel verilerin korunması Türk hukuku mevzuatında en güncel düzenlemelerden biridir. İlgili 6698 s. Kişisel Verilerin Korunması Kanunu ve ikincil düzenlemeleri haliyle birçok yeni terimi beraberinde getirmiştir. Bu yazımızda Kanun’da yer alan terimleri inceliyor olacağız.
Daha önceki yazılarımızda değindiğimiz gibi kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Kişisel veri değerini gerçek bir kişiye ilişkin olmasında bulur. Bu sebeple korunan her türlü bilgi, belirli veya belirlenebilir bir gerçek kişi ile ilişkilendirildiği takdirde bu Kanun kapsamında korunmaktadır.
İlgili kişi, “kişisel verisi işlenen gerçek kişiyi” ifade etmektedir. Kanun’un amacı gerçek kişilerin, kişisel verilerin işlenmesinin kaçınılmaz olduğu günümüzde, işlenen verileri üzerinde hakimiyet sahibi olmasıdır. Bu kanun ile korunan kişi ilgili kişi olarak tanımlanmış ve mutlaka gerçek kişi olması şartı aranmıştır.
Kişisel verilerin işlenmesi, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi” ifade etmektedir. Kişisel verinin üzerinde gerçekleştirilen her türlü işlem, işleme faaliyetidir.
Veri sorumlusu, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi” ifade etmektedir. Kısaca kişisel verilerin neden ve nasıl işlendiğini belirleyen kişi, veri sorumlusudur. Veri sorumlusu gerçek kişi olabileceği gibi tüzel kişi de olabilir.
Veri işleyen, “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi” ifade etmektedir. Veri işleyen kişinin belirlenmesinde dikkat edilmesi gereken husus, bu kişinin veri sorumlusunun organizasyonu içerisinde mi dışarısında mı olduğudur. Eğer ki bu kişi, gerçek veya tüzel kişi olabilir, veri sorumlusunun organizasyonu dışındaysa veri işleyen sıfatını haiz demektir.
Veri kayıt sistemi, “kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini” ifade etmektedir. Veri kayıt sistemi elektronik bir ortam olabileceği gibi fiziksel ortamda da olabilir. Önemli olan kişisel verilerin belirli bir sistematiğe tabi tutularak işlenmesidir.
Açık rıza, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı” ifade etmektedir. Açık rızanın varlığından söz edilebilmesi için bu üç hususun mutlaka bir arada bulunması gerekmektedir. Bu şartlardan birinde eksiklik varsa açık rızadan söz edilemeyecektir.
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler ilgili kullanıcı olarak tanımlanmıştır.
Kanun’da veri imha yöntemleri olarak silme, yok etme ve anonim hale getirme işlemleri karşımıza çıkmaktadır.
İlgili kullanıcı tarafından kişisel verinin hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi verinin silinmesi işlemidir. Silme işlemi arşivlemeden farklı olarak verinin olağan tüm kullanım ve erişim alanlarından çıkarılmasıdır.
Yok etme, silme işleminden farklı olarak, kişisel verilerin hiç kimse tarafından hiçbirşekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesidir.
Anonim hâle getirme, “Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini” ifade etmektedir. Kişisel veri anonim hale getirildiğinde artık ortada gerçek bir kişiyle ilişkilendirilebilecek bir bilgi kalmadığından kişisel veri imha edilmiş olur.

Kategoriler
Uncategorized

Kişisel Verilerin Korunması Kanunu Terminolojisine Genel Bir Bakış

Kişisel Verilerin Korunması Kanunu Terminolojisine Genel Bir Bakış

Kişisel verilerin korunması Türk hukuku mevzuatında en güncel düzenlemelerden biridir. İlgili 6698 s. Kişisel Verilerin Korunması Kanunu ve ikincil düzenlemeleri haliyle birçok yeni terimi beraberinde getirmiştir. Bu yazımızda Kanun’da yer alan terimleri inceliyor olacağız.
Daha önceki yazılarımızda değindiğimiz gibi kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Kişisel veri değerini gerçek bir kişiye ilişkin olmasında bulur. Bu sebeple korunan her türlü bilgi, belirli veya belirlenebilir bir gerçek kişi ile ilişkilendirildiği takdirde bu Kanun kapsamında korunmaktadır.
İlgili kişi, “kişisel verisi işlenen gerçek kişiyi” ifade etmektedir. Kanun’un amacı gerçek kişilerin, kişisel verilerin işlenmesinin kaçınılmaz olduğu günümüzde, işlenen verileri üzerinde hakimiyet sahibi olmasıdır. Bu kanun ile korunan kişi ilgili kişi olarak tanımlanmış ve mutlaka gerçek kişi olması şartı aranmıştır.
Kişisel verilerin işlenmesi, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi” ifade etmektedir. Kişisel verinin üzerinde gerçekleştirilen her türlü işlem, işleme faaliyetidir.
Veri sorumlusu, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi” ifade etmektedir. Kısaca kişisel verilerin neden ve nasıl işlendiğini belirleyen kişi, veri sorumlusudur. Veri sorumlusu gerçek kişi olabileceği gibi tüzel kişi de olabilir.
Veri işleyen, “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi” ifade etmektedir. Veri işleyen kişinin belirlenmesinde dikkat edilmesi gereken husus, bu kişinin veri sorumlusunun organizasyonu içerisinde mi dışarısında mı olduğudur. Eğer ki bu kişi, gerçek veya tüzel kişi olabilir, veri sorumlusunun organizasyonu dışındaysa veri işleyen sıfatını haiz demektir.
Veri kayıt sistemi, “kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini” ifade etmektedir. Veri kayıt sistemi elektronik bir ortam olabileceği gibi fiziksel ortamda da olabilir. Önemli olan kişisel verilerin belirli bir sistematiğe tabi tutularak işlenmesidir.
Açık rıza, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı” ifade etmektedir. Açık rızanın varlığından söz edilebilmesi için bu üç hususun mutlaka bir arada bulunması gerekmektedir. Bu şartlardan birinde eksiklik varsa açık rızadan söz edilemeyecektir.
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler ilgili kullanıcı olarak tanımlanmıştır.
Kanun’da veri imha yöntemleri olarak silme, yok etme ve anonim hale getirme işlemleri karşımıza çıkmaktadır.
İlgili kullanıcı tarafından kişisel verinin hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi verinin silinmesi işlemidir. Silme işlemi arşivlemeden farklı olarak verinin olağan tüm kullanım ve erişim alanlarından çıkarılmasıdır.
Yok etme, silme işleminden farklı olarak, kişisel verilerin hiç kimse tarafından hiçbirşekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesidir.
Anonim hâle getirme, “Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini” ifade etmektedir. Kişisel veri anonim hale getirildiğinde artık ortada gerçek bir kişiyle ilişkilendirilebilecek bir bilgi kalmadığından kişisel veri imha edilmiş olur.

VERİ SORUMLUSU KİMDİR VE YÜKÜMLÜLÜKLERİ NELERDİR?

Veri sorumlusu, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmıştır. Kısaca kişisel verilerin neden ve nasıl işlendiğini belirleyen kişi, veri sorumlusudur. Veri sorumlusu gerçek kişi olabileceği gibi tüzel kişi de olabilir. Kişisel Verilerin Korunması Kanunu (KVKK) ile getirilen yükümlülüklerin veri sorumlusunun şahsında doğduğu görülmektedir. Bu yükümlülükler şöyle sınıflandırılabilir:
⦁ Aydınlatma Yükümlülüğü
⦁ Veri Güvenliğine İlişkin Yükümlülükler
⦁ Veri Sorumluları Siciline (VERBİS) Kayıt Yükümlülüğü
⦁ İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü
⦁ Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü
Aydınlatma Yükümlülüğü
KVKK’nın amacı kişisel verisi işlenen gerçek kişilerin (KVKK’daki tanımına göre ilgili kişilerin) kişisel verileri üzerinde hakimiyet sahibi olmasıdır. Kişilerin bu hakimiyetini sağlayabilmek için de hangi kişisel verilerinin neden işlendiği, kimlere aktarıldığı, nerede ne süre saklandığı gibi bilgilere sahip olması gerekmektedir. İşte bu noktada veri sorumlularının aydınlatma yükümlülüğü karşımıza çıkmaktadır. KVKK’nın 10. maddesinde düzenlenen aydınlatma yükümlülüğü kapsamında veri sorumlusu ilgili kişileri şu konularda aydınlatmalıdır:
⦁ Veri sorumlusunun ve varsa temsilcisinin kimliği,
⦁ Kişisel verilerin hangi amaçla işleneceği,
⦁ Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
⦁ Kişisel veri toplamanın yöntemi ve hukuki sebebi,
⦁ 11. maddede sayılan diğer hakları.
Aydınlatma yükümlülüğü ilgili kişinin talebine bağlı değildir, ilgili kişinin kişisel verileri açık rızasına veya KVKK’da yer alan diğer veri işleme şartlarından birine dayalı olarak da işlenmiş olsa veri sorumlusu aydınlatma yükümlülüğünü yerine getirmelidir.
Veri Güvenliğine İlişkin Yükümlülükler
KVKK’nın veri güvenliğine ilişkin 12. maddesine göre veri sorumluları kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak ile yükümlüdür. Veri sorumluları bu yükümlülüğü yerine getirebilmek için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almaktadır. Burada veri sorumlusu hem hukuk hem bilişim alanında bir uyum süreci geçirmeli, risk ve tehditler belirlenerek KVKK’ya uyum sağlamalıdır.
Veri Sorumluları Sicili’ne Kayıt Yükümlülüğü
Veri Sorumluları Sicili (VERBİS), Kişisel Verileri Koruma Kurumu’nun gözetiminde tutulan kamuya açık bir sicildir. Veri sorumluları, veri işleme faaliyetine başlamadan evvel VERBİS’e kayıt olmakla yükümlüdür. VERBİS’e ilişkin detaylı açıklamamızı bir sonraki yazımızda bulabilirsiniz.
İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü
Veri sorumluları, ilgili kişilerin 11. maddede sayılan haklarını kullanmak üzere kendilerine yaptıkları başvuruları en kısa sürede ve en geç 30 gün içinde cevaplandırmakla yükümlüdür.
Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü
Kişisel Verilerin Korunması Kurulu kendiliğinden (re’sen) veya şikayet üzerine yaptığı incelemede bir ihlal tespit ederse bu ihlalin giderilmesi için yapılması gerekenleri içeren kararını veri sorumlusuna tebliğ eder. Veri sorumlusu bu kararın kendisine tebliğinden itibaren gecikmeksizin ve en geç 30 gün içinde kararın gereğini yerine getirmekle yükümlüdür.

Yükümlülüklere Uyulmaması Halinde Ne Olur?
Peki veri sorumlusu KVKK ile getirilen bu yükümlülüklerini yerine getirmemesi halinde hangi durumlarla karşı karşıya kalır? Öncelikle dünyanın dinamiğinin kişisel veriye bağlı olduğu günümüzde yükümlülüklerini yerine getirmeyen veri sorumluları ciddi bir repütasyon (ün) problemi yaşarlar. Bilişim çağında veri güvenliğini sağlamaya yönelik aksiyonları almayan veri sorumlularının marka değerleri azalır, ticari itibarları zedelenir. Ancak veri sorumlularının karşılaştığı tek sonuç bu değildir. Türk Ceza Kanunu’ndan kaynaklanan gerçek kişiler için hapis, tüzel kişiler için güvenlik tedbirleri uygulanırken; KVKK, yükümlülüklere uymamanın yaptırımı olarak idari para cezaları öngörmüştür:

Kategoriler
Uncategorized

VERİ SORUMLUSU KİMDİR VE YÜKÜMLÜLÜKLERİ NELERDİR

VERİ SORUMLUSU KİMDİR VE YÜKÜMLÜLÜKLERİ NELERDİR?

Veri sorumlusu, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmıştır. Kısaca kişisel verilerin neden ve nasıl işlendiğini belirleyen kişi, veri sorumlusudur. Veri sorumlusu gerçek kişi olabileceği gibi tüzel kişi de olabilir. Kişisel Verilerin Korunması Kanunu (KVKK) ile getirilen yükümlülüklerin veri sorumlusunun şahsında doğduğu görülmektedir. Bu yükümlülükler şöyle sınıflandırılabilir:
⦁ Aydınlatma Yükümlülüğü
⦁ Veri Güvenliğine İlişkin Yükümlülükler
⦁ Veri Sorumluları Siciline (VERBİS) Kayıt Yükümlülüğü
⦁ İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü
⦁ Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü
Aydınlatma Yükümlülüğü
KVKK’nın amacı kişisel verisi işlenen gerçek kişilerin (KVKK’daki tanımına göre ilgili kişilerin) kişisel verileri üzerinde hakimiyet sahibi olmasıdır. Kişilerin bu hakimiyetini sağlayabilmek için de hangi kişisel verilerinin neden işlendiği, kimlere aktarıldığı, nerede ne süre saklandığı gibi bilgilere sahip olması gerekmektedir. İşte bu noktada veri sorumlularının aydınlatma yükümlülüğü karşımıza çıkmaktadır. KVKK’nın 10. maddesinde düzenlenen aydınlatma yükümlülüğü kapsamında veri sorumlusu ilgili kişileri şu konularda aydınlatmalıdır:
⦁ Veri sorumlusunun ve varsa temsilcisinin kimliği,
⦁ Kişisel verilerin hangi amaçla işleneceği,
⦁ Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
⦁ Kişisel veri toplamanın yöntemi ve hukuki sebebi,
⦁ 11. maddede sayılan diğer hakları.
Aydınlatma yükümlülüğü ilgili kişinin talebine bağlı değildir, ilgili kişinin kişisel verileri açık rızasına veya KVKK’da yer alan diğer veri işleme şartlarından birine dayalı olarak da işlenmiş olsa veri sorumlusu aydınlatma yükümlülüğünü yerine getirmelidir.
Veri Güvenliğine İlişkin Yükümlülükler
KVKK’nın veri güvenliğine ilişkin 12. maddesine göre veri sorumluları kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak ile yükümlüdür. Veri sorumluları bu yükümlülüğü yerine getirebilmek için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almaktadır. Burada veri sorumlusu hem hukuk hem bilişim alanında bir uyum süreci geçirmeli, risk ve tehditler belirlenerek KVKK’ya uyum sağlamalıdır.
Veri Sorumluları Sicili’ne Kayıt Yükümlülüğü
Veri Sorumluları Sicili (VERBİS), Kişisel Verileri Koruma Kurumu’nun gözetiminde tutulan kamuya açık bir sicildir. Veri sorumluları, veri işleme faaliyetine başlamadan evvel VERBİS’e kayıt olmakla yükümlüdür. VERBİS’e ilişkin detaylı açıklamamızı bir sonraki yazımızda bulabilirsiniz.
İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü
Veri sorumluları, ilgili kişilerin 11. maddede sayılan haklarını kullanmak üzere kendilerine yaptıkları başvuruları en kısa sürede ve en geç 30 gün içinde cevaplandırmakla yükümlüdür.
Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü
Kişisel Verilerin Korunması Kurulu kendiliğinden (re’sen) veya şikayet üzerine yaptığı incelemede bir ihlal tespit ederse bu ihlalin giderilmesi için yapılması gerekenleri içeren kararını veri sorumlusuna tebliğ eder. Veri sorumlusu bu kararın kendisine tebliğinden itibaren gecikmeksizin ve en geç 30 gün içinde kararın gereğini yerine getirmekle yükümlüdür.

Yükümlülüklere Uyulmaması Halinde Ne Olur?
Peki veri sorumlusu KVKK ile getirilen bu yükümlülüklerini yerine getirmemesi halinde hangi durumlarla karşı karşıya kalır? Öncelikle dünyanın dinamiğinin kişisel veriye bağlı olduğu günümüzde yükümlülüklerini yerine getirmeyen veri sorumluları ciddi bir repütasyon (ün) problemi yaşarlar. Bilişim çağında veri güvenliğini sağlamaya yönelik aksiyonları almayan veri sorumlularının marka değerleri azalır, ticari itibarları zedelenir. Ancak veri sorumlularının karşılaştığı tek sonuç bu değildir. Türk Ceza Kanunu’ndan kaynaklanan gerçek kişiler için hapis, tüzel kişiler için güvenlik tedbirleri uygulanırken; KVKK, yükümlülüklere uymamanın yaptırımı olarak idari para cezaları öngörmüştür: