GDPR KAPSAMINDA VERİ SORUMLUSUNUN SORUMLULUK REJİMİ



“Kişisel Verilerin Korunması Kanunu” (KVKK); ona aykırı uygulamalara yönelik öngördüğü şaşırtıcı meblağlardaki yaptırımlarıyla, muhataplarına yüklediği sorumluluklar ve gerçek kişilere tanımladığı haklar itibariyle, kişisel veriyle temas halinde olan faaliyetler yürüten tüm kamu hukuku ve özel hukuk tüzel kişilerinin, ve yanı sıra her halükarda veri sahibi olarak belirecek gerçek kişilerin radarına girmeyi ve gündemlerini yoğunlukla işgal etmeyi başarmıştır. İstikrarlı bir şekilde barındırdığı kompleksliği arttıran insan yaşamı, veri tutma ve işleme suretiyle faaliyet gösterecek sistemlerce düzen verilmeye muhtaç vaziyettedir. Bu bakımdan kişisel veriyle temas halinde olup da onu çeşitli sebeplerle işlemeyen bir gerçek ya da tüzel kişi bulmak epey düşük bir ihtimal olarak belirir. Dolayısıyla bu geniş muhatap kitlesinin gerek KVKK’ya gerekse KVKK’nın ona uyumluluğunu düşlediği “Avrupa Birliği Genel Veri Koruma Regülasyonu”na (GDPR) bakışlarını çevirmesi şaşırtıcı bir durum değildir.


1998 yılında yürürlüğe giren 95/46/AT sayılı “Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktif” isimli Avrupa Birliği Konseyi ve Avrupa Parlamentosu direktifi, düzenlediği alanda öncelikle Avrupa coğrafyasında ve ardından neredeyse dünya ölçeğinde bir hukuki çerçeve sunmuştur. Doğrudan hukuki bir bağlayıcılık sağlayamamasına rağmen Avrupa Birliği üyesi devletlerin, yerel mevzuatlarında bu direktife uyumlu hükümler barındırması ve iç hukuklarında onu referans alarak ilgili hususta yasama fonksiyonlarını gerçekleştirmesi vasıtasıyla bağlayıcılığını elde etmiştir.


7 Nisan 2016 tarihine gelindiğinde Türkiye topraklarında uygulanmak üzere 95/46/AT sayılı direktifi referans alan KVKK’nın yürürlüğe girdiğini görüyoruz. KVKK’nın yürürlüğe

girmesinden sonra ise GDPR metni, 25 Mayıs 2018’de yürürlüğe girmek üzere Avrupa

Parlamentosu tarafından kabul edilmiştir. Direktifin zamana ayak uyduramaması sonucunda tüm üye devletler için hukuki bağlamda ortak bir kişisel veri koruma zemini yaratmayı hedefleyen GDPR, bunu yaparken daha üst düzey bir hak koruma ve sorumluluk yükleme yaklaşımı benimser. Bu kronolojik gelişmeler neticesinde de görüyoruz ki KVKK’nın GDPR’a kısmi bir uyumluluğu söz konusu olabilmiştir.


 

GDPR’ın “Data Controller” sıfatıyla ifade ettiği “Veri Kontrolcüsü”, KVKK’daki “Veri

Sorumlusu” statüsüne tekabül eder. Sorumluluk rejimleri, bu iki mevzuatta farklı şekillerde ve ölçülerde belirlenmiş olmasına karşın bahsettikleri/tanımladıkları aynı kişidir.


KVKK veri sorumlusunu; “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir” şeklinde tanımlamıştır. Bu doğrultuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir ayrım gözetilmemiştir. Devamında veri koruma hukukunun baş aktörlerinden bir diğeri olan “Veri İşleyen” statüsünü tanımlar. Bu iki statüye kanunen farklı yükümlülükler tayin edilmiştir. Aralarındaki farkı şu şekilde anlayabiliriz; kişisel verilerin toplanması, toplanma yöntemi, amacı, toplanacağı kişiler, üçüncü kişilerle paylaşımı ve bunun tabi tutulduğu amaç ve vasıtaları ile ilgili hususlarda karar veren kişi veri sorumlusu sıfatına sahiptir. Yani işleme faaliyetlerinin “neden” ve “nasıl” yapılacağını belirleyen veri sorumlusudur. Veri işleyen ise daha çok kendisine verilen talimatlar çerçevesinde işleme faaliyetlerinin teknik kısmıyla ilgilenen gerçek ya da tüzel kişi olarak karşımıza çıkar.


KVKK veri sorumlusuna bir takım yükümlülükler tayin etmiştir. Bu yükümlülükler şu

başlıklarda toplanabilir:

  1. Veri sahibini aydınlatma yükümlülüğü,

  2. Kişisel veri güvenliğine ilişkin yükümlülükler,

  3. Veri sorumluları siciline kayıt yükümlülüğü,

  4. İlgili kişiler tarafından yapılan başvuruların cevaplanması yükümlülüğü,

  5. Kurul kararlarının yerine getirilmesi yükümlülüğü

Bu yükümlülükleri GDPR’da farklı başlıklar açarak, farklı ölçeklerde göreceğiz. GDPR, veri

sorumlusunu/kontrolcüsünü madde 4’te KVKK’nın tanımına benzer şekilde açıklamıştır.

Burada da vurgu kişisel veri işlemenin amaç ve vasıtalarını belirleyen kişi oluşunadır.


Öncelikle belirtmeliyiz ki GDPR veri sorumlusuna ek olarak veri işleyeni de kişisel verinin

hukuka uygun işlenmesi hususunda sorumlu tutmaktadır. KVKK uyarınca ise para cezası yaptırımına tabi tutulacak kişi yalnızca veri sorumlusu olabilmektedir. KVKK’nın öngördüğü 1 milyon Türk lirasına kadar yükselebilen idari para cezasının GDPR’daki karşılığı 20 milyon Euro’ya uzanabilen ya da söz konusu kurumun bir önceki mali yıl küresel cirosunun %4’üne varan yaptırımlardır. Bunların yanı sıra GDPR; unutulma hakkı, veri taşınabilirliği, başlangıçtan veya tasarımdan itibaren veri koruma yaklaşımları gibi hususlarda KVKK’nın aksine düzenlemeye gitmiştir.


Kısacası karşılaştırmamız halinde mevzubahis bu iki mevzuatta veri sorumlusunu ilgilendiren hükümler ifade edildiği üzere farklılaşır.


 

Nihayet GDPR’da veri sorumlusunun -ya da başka bir deyişle veri kontrolcüsünün-

yükümlülüklerini irdelemeye girişebiliriz. Bu hususta başlıklar şu şekilde açılacaktır:


1.Veri Sorumlusunun GDPR Hükümlerine Uyum Yükümlülüğü


Veri sorumlusunun yapması gereken ilk şey uyumluluğu sağlamak konusunda uygun teknik ve idari tedbirleri almaktır. Uyumlu olmanın ilk adımı ise bu uyumluluğun zarureti konusunda bir bilince sahip olmak ile atılabilir. Veri sorumlusu, GDPR madde 5’te bahsi geçen kişisel veri işlenmesine ilişkin ilkelerin hayata geçirilmesini sağlamak zorundadır. İlkelere uygun veri işleme konusunda veri işleyenin de yükümlülükleri söz konusudur. Mevzubahis ilkeler şunlardır:


a) Hukuka Uygunluk, Hakkaniyet ve Şeffaflık:

Kişisel veriler işlenirken hukuka uygun ve adil olunmalıdır. Veri sahibi/süjesi işleme faaliyetleri hususunda bilgi edinebilmeli ve dolayısıyla bu faaliyetler şeffaf olmalıdır.


b) Amaçla Sınırlılık:

Belirli, sarih ve meşru bir amaç doğrultusunda veri toplanmalıdır.

Amaçla bağdaşmayan ve amacın gerekliliklerini aşan bir veri işleme faaliyeti yürütülemez.


c) Veri Minimizasyonu:

İşlenme amacına elverişli, onla bağdaşan ve amacın gereklilikleriyle sınırlı düzeyde verinin toplanması gerekmektedir. Asgari düzeyde veri toplanıp işlenmek zorundadır.


ç) Doğruluk:

Kişisel veri doğru ve güncel olmalıdır.


d) Depolama Hususunda Sınırlama:

İşlendiği amaç sona erdiğinde kişisel veri, sahibiyle ilişkilendirilebilen yani onun kimliğinin saptanmasına imkan verebilen bir formda tutulmaya devam edemez.


e) Bütünlük ve Gizlilik:

Kişisel verinin sahip olması gereken güvenliğini temin etmeye yönelik bir biçimde işleme faaliyetleri gerçekleştirilmelidir.



2.Uyumluluğunu İspatlama Yükümlülüğü


Veri sorumlusu regülasyona uyumluluğu sağlayamamaktan sorumlu tutulacaktır. Bu bakımdan veri sorumlusunun hesap verebilirliği sağlayabilmesi büyük bir önem arz eder. İlkelere uygun olarak veri işleme faaliyetini sürdürdüğünü ispatla yükümlüdür. İspata yarayacak belgelendirme, alınan önlemlerin etkili olduğunu ve koşulların gereklerine göre değiştirilip güncellendiğini ortaya koymalıdır.


3.Gerekmesi Halinde Veri İşleyen Tayin Etmesi Yükümlülüğü


4.İşleme faaliyetlerine ilişkin kayıt tutma yükümlülüğü


5.Düzenleyici/Denetleyici Otorite (Supervisory Authority) ile işbirliği yapma yükümlülüğü


6.Kişisel veri işlenmesinde güvenliğini sağlama yükümlülüğü


7.Kişisel verinin ihlali durumunda, 72 saat içinde Denetleyici Otoriteye bildirim yükümlülüğü


8.Gerçek kişinin hak ve özgürlüklerine zarar verme riski taşıyan veri ihlallerinde, veri sahibine gecikmeksizin bildirim yapma yükümlülüğü


9.Gerektiğinde “Veri Koruma Etki Değerlendirmesi” (Data Protection Impact Assesment/ DPIA) yapma yükümlülüğü


10.Veri koruma etki değerlendirmesi sonucunda; tedbirlerin yokluğu halinde yüksek riskin meydana gelebileceği kanısına varılırsa, kişisel verileri işlemeden önce Denetleyici Otoriteye danışma yükümlülüğü


11.Veri Koruma Memuru (Data Protection Officer) tayin etme yükümlülüğü


12.Müşterek veri sorumluları olması halinde görev dağılımlarını mutabık kalarak ayarlama ve veri sahibi için bu durumla ilgili hususları bilinir kılmakla beraber irtibat noktasını belirleme yükümlülüğü


13.Veri sorumlusu Avrupa Birliği toprakları dışında kurulmuşsa, kişisel veri işlenmesine ilişkin sorunlarda temasa geçilmek üzere AB toprakları içinde bir temsilci tayin etme yükümlülüğü


Sonuç itibariyle; belirttiğimiz yükümlülükler GDPR tarafından veri sorumlusunun omuzlarına yüklenmiştir. Bu yükümlülüklerin yerine getirilmemesi durumunda sorumluluğun doğacağı aşikardır. Mevzubahis idari para cezalarının 20 milyon Euro’ya varan miktarlara ulaşması; veri sorumlularını, durumun ciddiyetini bir an evvel anlamaya davet eder. Diğer bir deyişle söz konusu bu meblağ ve ilgili yaptırımlar, mevzuata uyumluluğu sağlamaya teşvik eden bir çimdik mahiyetine bürünmesi itibariyle kayda değerdir. Kaldı ki kişisel verinin, hemen hemen her sistemin işleyişinde pay sahibi olduğu bir konjonktürde ona verilen önemin ve sahiplerine tanınan hukuki korumanın daha az olması beklenemezdi.


 

KAYNAKÇA

-Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi, KVKK Yayınları, Mart 2018

-European Data Protection Board, https://edpb.europa.eu/

-Progress on EU Data protection reform now irreversible following European Parliament vote, Strasbourg, 12 March 2014, http://europa.eu/ rapid/press-release_MEMO-14-186_en.htm

-Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), Official Journal of the European Union, L 119/1, 4 May, 2016

-Seven Principles of Privacy by Design, https://medium.com/ searchencrypt/7-principles-of-privacy-

by-design-8a0f16d1f9ce