Kişisel Verilerin Korunması Kanunu (KVKK), veri sorumlularına belirli yükümlülükler yükleyerek hem bireylerin temel hak ve özgürlüklerini korumayı hem de kurumların veri işleme süreçlerini güvenli ve şeffaf hale getirmeyi amaçlar. Aşağıda, KVKK kapsamında kurumların yerine getirmesi gereken en temel 15 yükümlülük yer almaktadır:
1. Aydınlatma Yükümlülüğü
Veri sorumlusu, kişisel verileri toplarken ilgili kişiyi bilgilendirmek zorundadır. Bu bilgilendirme veri işleme amacı, hukuki sebebi, aktarım durumu ve ilgili kişinin haklarını kapsamalıdır. Aydınlatma, açık, sade ve kolay erişilebilir bir şekilde yapılmalıdır. Sözlü, yazılı ya da elektronik yollarla gerçekleştirilmesi mümkündür. Aydınlatma yapılmadan veri işleme hukuka aykırı hale gelir.
2. Veri Güvenliğini Sağlama Yükümlülüğü
Kurumlar, işledikleri kişisel verilerin gizliliğini ve bütünlüğünü sağlamakla yükümlüdür. Bunun için teknik (şifreleme, erişim kontrolü vb.) ve idari (politika, eğitim, denetim) tedbirler alınmalıdır. Veri sızıntılarını engellemek ve yetkisiz erişimi önlemek esastır. Gerekli önlemleri almayan veri sorumluları doğrudan sorumlu tutulur. Bu yükümlülük ihlalinde ciddi idari para cezaları gündeme gelir.
3. Açık Rıza Alma Yükümlülüğü (Gerekliyse)
Kişisel veriler belirli durumlarda açık rıza alınarak işlenebilir. Bu rıza, belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle verilmiş olmalıdır. Açık rıza, işleme şartlarından biri olup aydınlatma ile karıştırılmamalıdır. Her zaman geri alınabilir olması, hukuki geçerliliğini etkiler. Rızanın geçerli olabilmesi için açık, ayrı ve belirli olması gerekir.
4. Veri Envanteri Hazırlama Yükümlülüğü
Kurumlar, hangi kişisel verileri, ne amaçla ve ne süreyle işlediklerini içeren bir envanter hazırlamalıdır. Bu envanter, VERBİS kaydı ve iç denetim için temel belgedir. Envanter sayesinde riskli alanlar tespit edilir ve önlemler geliştirilir. Kategorilere ayrılmış şekilde tutulması uyum denetimlerinde kolaylık sağlar. Envanterin güncel tutulması da ayrı bir yükümlülüktür.
5. Verbis’e Kayıt Yükümlülüğü
Kanunen belirlenmiş ölçekteki veri sorumluları, VERBİS sistemine kayıt olmak zorundadır. Bu sistem, kamuya açık bir kayıt platformudur ve şeffaflık sağlar. Envantere dayalı bilgiler bu sisteme girilir. Süresi içinde kayıt yapılmaması durumunda ciddi yaptırımlar söz konusudur. Kayıt sonrası güncelleme yükümlülüğü de devam eder.
6. İlgili Kişi Başvurularını Yanıtlama Yükümlülüğü
Bireyler, kişisel verilerine ilişkin bilgi talep etme hakkına sahiptir. Kurumlar, bu talepleri 30 gün içinde yazılı veya elektronik olarak yanıtlamakla yükümlüdür. Yanıtlar açık, anlaşılır ve gerekçeli olmalıdır. Süresinde ve eksiksiz yanıt verilmemesi hukuki sorumluluk doğurabilir. Başvuruların kayıt altına alınması da önemlidir.
7. Veri İhlallerini Bildirme Yükümlülüğü
Kişisel veri güvenliğine yönelik bir ihlal yaşandığında, en geç 72 saat içinde Kurum’a bildirim yapılmalıdır. Eğer ihlal ilgili kişileri de etkiliyorsa, bu kişiler de bilgilendirilmelidir. Bildirim süreci için iç prosedürlerin tanımlanmış olması gerekir. Geç bildirilen ihlallerde idari yaptırımlar uygulanabilir. Bu yükümlülük, kurumsal itibar açısından da kritik önemdedir.
8. Veri Saklama ve İmha Yükümlülüğü
Kişisel veriler, ancak işleme amacına uygun süreyle saklanabilir. Saklama süresi dolan verilerin imha edilmesi zorunludur. Bu imha fiziksel, dijital veya anonimleştirme yöntemiyle yapılabilir. Kurumlar bir Saklama ve İmha Politikası hazırlamakla yükümlüdür. Periyodik imha süreçleri ayrıca planlanmalıdır.
9. Çalışanları Bilgilendirme ve Eğitme Yükümlülüğü
Kişisel veri işleyen çalışanlara, KVKK konusunda düzenli eğitim verilmelidir. Eğitim içeriği, kurumun veri işleme faaliyetlerine özgü olmalıdır. Personelin farkındalığı, veri güvenliğinin ilk adımıdır. Eğitimsiz personel kaynaklı ihlallerde kurum doğrudan sorumlu tutulur. Eğitim kayıtları belgelenmeli ve güncel tutulmalıdır.
10. Tedarikçi ve Hizmet Sağlayıcılarla Uyum Yükümlülüğü
Kurum, veri işleyen konumundaki üçüncü taraflarla sözleşmesel güvenlik önlemleri almak zorundadır. Bu kapsamda taahhütnameler ve gizlilik sözleşmeleri yapılmalıdır. Veri aktarılan tüm tarafların KVKK uyumuna dikkat edilmelidir. Ortak veri sorumluluğu durumları açıkça belirlenmelidir. Aksi hâlde ihlalin sorumluluğu kuruma da yansır.
11. Yurtdışına Veri Aktarım Kurallarına Uyma Yükümlülüğü
Yurtdışına veri aktarımı, açık rıza veya Kurul tarafından ilan edilen güvenli ülkelere yapılabilir. Aksi hâlde taahhütname onayı veya Kurul izni gerekir. Aktarılan veri türü, alıcı ülke ve aktarım amacı belgelenmelidir. Bu işlemler sıkı denetime tabidir. Uyumsuz aktarımlar ağır cezalara neden olabilir.
12. Özel Nitelikli Verilerin İşlenmesinde Ekstra Tedbir Yükümlülüğü
Sağlık, cinsel hayat, biyometrik ve genetik veriler gibi özel nitelikli verilerin işlenmesi daha sıkı kurallara tabidir. Bu verilerin işlenebilmesi için açık rıza veya özel hukuki dayanak gerekir. Ayrıca Kurul’un belirlediği teknik ve idari güvenlik önlemleri uygulanmalıdır. Bu verilerin sızması, yüksek itibar ve güvenlik riski doğurur. İzinsiz işlemeye dair cezalar daha yüksektir.
13. Açık Rıza ve Aydınlatmanın Ayrı Olmasını Sağlama Yükümlülüğü
Açık rıza metinleri, aydınlatma metinlerinden bağımsız hazırlanmalıdır. Aydınlatma, bilgi vermek; açık rıza, onay almak amacı taşır. Her iki belge de ayrı ayrı, zamanlı ve anlaşılır olmalıdır. Rıza metninde “zorunlu değil, isteğe bağlı” olduğuna açıkça yer verilmelidir. Bu ayrım yapılmazsa rızalar geçersiz sayılabilir.
14. Veri Kategorilerinin Sınıflandırılması ve Risk Analizi Yapma Yükümlülüğü
Kurum, işlediği kişisel verileri türlerine göre sınıflandırmalı ve her biri için risk düzeyi belirlemelidir. Bu analiz, alınacak güvenlik önlemlerinin seviyesini belirlemede kritiktir. Veri envanteri bu çalışmaya dayanır. Risk analizi periyodik olarak güncellenmelidir. Bu süreç, denetim ve savunma aşamalarında kanıt olarak kullanılır.
15. İç Denetim ve Süreç Takibi Yükümlülüğü
Kurum, KVKK uyumunu sürdürülebilir hale getirmek için iç denetim mekanizması kurmalıdır. Politikaların uygulanıp uygulanmadığı düzenli olarak kontrol edilmelidir. Denetim sonuçları üst yönetime raporlanmalıdır. Gerekli revizyonlar hızlıca yapılmalı ve kayıt altına alınmalıdır. Bu yükümlülük, sadece bir kere değil, sürekli sorumluluk gerektirir.
