Legal Status of Data Controllers Under the KVKK

The role, obligations and liability scope of data controllers under Turkish data protection law.

This article is shown in its original Turkish text.

6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin işlenmesinde gerçek kişilerin temel hak ve özgürlüklerini korumayı ve kişisel veri işleyen gerçek ve tüzel kişilerin yükümlülüklerini düzenlemeyi amaçlar.

Kanun sistematiğinde veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan kişidir. Bu nedenle veri sorumlusunun hukuki durumu yalnızca teknik bir kayıt yükümlülüğüyle sınırlı değildir; aydınlatma, veri güvenliği, başvuru cevaplama ve hukuka uygun işleme süreçlerini de kapsar.

Veri sorumlusu, kişisel verileri işlerken hukuka ve dürüstlük kurallarına uygun hareket etmeli, verilerin doğru ve gerektiğinde güncel olmasını sağlamalı, belirli, açık ve meşru amaçlar doğrultusunda işlem yapmalı ve işlenen verileri amaçla bağlantılı, sınırlı ve ölçülü tutmalıdır.

Kişisel verilerin açık rıza olmaksızın işlenebildiği haller Kanun'da sınırlı olarak sayılmıştır. Bu istisnaların dışında kalan veri işleme faaliyetlerinde ilgili kişinin özgür iradesine dayanan, belirli konuya ilişkin ve bilgilendirmeye dayalı açık rızası aranır.

Veri sorumluları, ilgili kişilerden gelen başvuruları kanuni süre içinde sonuçlandırmalı; veri güvenliğine ilişkin teknik ve idari tedbirleri almalı; ihlal halinde Kurul ve ilgili kişilere bildirim süreçlerini doğru şekilde işletmelidir.

KVKK'ya aykırı hareket edilmesi, idari para cezaları yanında özel hukuk ve ceza hukuku bakımından da sonuç doğurabilir. Bu nedenle veri sorumlularının faaliyetlerini düzenli olarak denetlemesi, veri envanteri ve aydınlatma metinlerini güncel tutması önem taşır.