KVKK’nun 3. Bölümünde düzenlenen haklar ve yükümlülükler kısmında, ilgili kişinin sahip olduğu haklar kapsamında gündeme gelen veri sorumlusunun aydınlatma ve veri güvenliğine ilişkin yükümlülüklerine yer verilmiştir. 12. Maddede yer alan veri güvenliğine ilişkin yükümlülükler esasen kanunun, kişisel veriler işlenirken temel hak ve özgürlükleri koruma amacına ve KVKK.m.4’de sıralanan ilkeleri temin etmek adına gerekli, her türlü teknik ve idari önlemleri almak zorundadır.
Veri sorumlusunun yükümlülüklerinin başında veri güvenliği gelmektedir zira kişisel verilerin güvenliği sağlandığı sürece, kanunun amacına uygun şekilde veri işleme faaliyeti gerçekleştirilebilir. Dolayısıyla aynı maddenin 1. Fıkrasında yer verildiği üzere veri sorumlusu, verilerin hukuka aykırı şekilde işlenmesini ve erişimini önleyecek her türlü tedbiri almak zorundadır. Bu tedbirlerin kapsamına; kurum ve kuruluşları tüm verileri bulut sistemine depolaması ve bu sisteme girişleri kontrol altında tutması, sistem içinde verilerin başka bir sisteme depolanması gibi işlemlerin denetlenerek bunun önlenmesi örneği girebilir. Aynı maddenin devamında; veri sorumlusu adına kişisel verilerin 3. Bir kişi ya da kurum/kuruluş tarafından işlenmesi halinde; hukuka aykırı işlenme ve erişimin önlenmesi adına alınacak tedbirlerden müştereken sorumlu olacaklardır. Bir şirketin veri sorumlusu olarak edindiği verilerin, muhasebe işlemleri için başka bir şirketle paylaşılması ihtimalinde, her iki şirkette veri güvenliği bakımından birlikte sorumlu olacaklardır. Maddenin 4. Fıkrasında kişisel verilerin kanunda yer alan hükümlere aykırı şekilde başkalarına açıklanamayacağını ve şahsi çıkarlar doğrultusunda kullanılamayacağını belirterek; veri sorumlusu ve veri işleyenin sır saklama yükümlülüğünü, görevden ayrılsalar dahi bu yükümlülük altında olduklarına dikkat çekmek üzere düzenlenmiştir.
5. Fıkra ise diğer 4 fıkranın işletilemediği ya da işletildiği halde kanuni olmayan yollarla bir başkası tarafından ele geçirilen kişisel verilerin hukuka aykırı kullanılmasının en kısa sürede önüne geçebilmek adına, bu durumu Kurul’a bildirme yükümlülüğü düzenlenmiştir. Kurul ihlal bildiriminin ardından bu ihlali internet sitesinde veya uygun gördüğü başka bir yolla ihlal edecektir. Nitekim 24.01.2019 tarih ve 2019/10 sayılı Kurul kararıyla; ‘’ Veri ihlal bildirimlerinde, Kurula ve ihlalden etkilenmiş kişilere bildirim yapılmasındaki amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemler alınmasını sağlamak olduğu, öte yandan 6698 sayılı Kanuna kaynak teşkil eden Avrupa Birliğinin 95/46/EC sayılı Direktifini ilga eden Avrupa Genel Veri Koruma Tüzüğünde de veri ihlal bildirimlerine ilişkin olarak Direktifin aksine detaylı düzenlemelere yer verildiği dikkate alındığında Kurul tarafından bu konuda alınacak kararlar arasında herhangi bir uyumsuzluğa mahal verilmemesi ve uygulamada bir standartlaşma sağlanabilmesini teminen;’’ diyerek, ihlal bildirimine ilişkin usûl ve esasları duyurmuş, kişisel verilerin korunmasına ilişkin uluslararası direktiflere referans vererek alınacak önlemlere yer vermiştir.
Veri sorumlusunun aydınlatma yükümlülüğünün, madde 11’de yer alan veri sahibinin haklarıyla birlikte ele alınması gerekir. Özellikle KVKK.m.10/1-d bendine bakıldığında aydınlatmanın yapılacağı haller 11. Madde de yer alan veri sahibinin haklarına referans verilerek genişletilmiştir. Uygulamada Veri Siciline kayıt zorunluluğu bulunan veri sorumlularının hazırlamakla yükümlü oldukları Kişisel Verilerin Korunması Politikasının ve ayrıca hazırlanacak aydınlatma metninin kapsamını belirleyen kanunun 10. Ve 11. Maddeleridir. KVKK.11/1-a bendi kapsamında; veri sahibinin, kişisel verilerinin işlenip işlenmediğini öğrenme ve b bendi kapsamında ise işlenen bu verileri hakkında bilgi talep etme hakkı düzenlenmiştir. Uygulamaya bakıldığında veri sahibi hali hazırda içine katıldığı bir organizasyon, platform vb. ortamlarda kişisel veriler doğrudan veri sahibinden elde edilecektir ve ilgili kişi verilerinin ne şekilde işlenip işlenmeyeceği hakkında bilgi sahibi olacaktır zira kanunla birlikte özellikle sicile kayıt zorunluluğu altında olan veri sorumlularına Kişisel Verilerin Korunması Politikası ve aydınlatma metni hazırlama zorunluluğu getirilmiş ve böylece 11. Madde kapsamında sayılan aydınlatma yükümlülüğü arasında öngörülen hallerin düzenlenerek, veri sahibinin sürecin en itibaren, kişisel verilerinin işlenmesi konusunda haberdar olmasına imkan tanınmıştır. Kişisel verilerin doğrudan veri sahibinden elde edilmediği haller ise Aydınlatma Yükümlüğünün Yerine Getirilmesinde Uyulacak Usûl ve Esaslar Hakkında Tebliğinin 6. Maddesinde düzenlenmiş olup, verilerin işlenmesi hususunda veri sahibine; ‘’ Kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde, kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında veya kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada’’ bilgilendirmenin yapılması gerektiği belirtilmiştir.
Aydınlatma Yükümlüğünün Yerine Getirilmesinde Uyulacak Usûl ve Esaslar Hakkında Tebliğ’in 4. Maddesi, veri sorumlusunun kanunun 10. Maddesinden doğan aydınlatma yükümlülüğünün ne şekilde yapılacağı ve kapsamını detaylı şekilde düzenlenmiştir. Buna göre veri sorumlusu veya onun yetkilendirdiği kişiler, veri sahiplerine bilgilendirme yapmakla yükümlüdür. Uygulamaya bakıldığında bu yükümlülüğün, hazırlanan aydınlatma metninin ilgili kişiye okudum, anladım ve kabul ediyorum şeklinde fiziksel veya elektronik ortamda beyanını vermesi yoluyla veya ses kaydı, çağrı merkezi gibi ortamlarda sözlü bilgilendirme ve beyan yapılmasıyla sağlanır. Veri sahibinden alınan bu kabul beyanı aynı zamanda veri sorumlusunun Tebliğin madde 5/1-e bendi uyarınca sorumlu olduğu ispat yükününde bir delili niteliğinde olacaktır. Tebliğin 4. Maddesi kapsamında aydınlatmanın barındırması gereken asgari konular sayılmıştır. Buna göre;
kapsamında, veri sahibinin yapılan bilgilendirme içerisinde yer alması gerekir dolayısıyla veri sorumlusu bu asgari konulara ek olarak kişisel verilerin işlenmesine ilişkin farklı bilgilendirmeler yapması mümkün olacaktır.
Tebliğin devamındaki madde hükümlerinde, aydınlatma yükümlülüğü yerine getirilirken dikkate alınması gereken hususlara yer verilmiştir. Bu kapsamda; kişisel veri işleme amacının muğlak değil; açık anlaşılabilir ve meşru olması, buna bağlı olarak bilgilendirmenin de aynı açıklık ve sadeliği içermesi gerekmektedir. Bu noktada; hangi verilerin, hangi amaçla, hangi alıcılar tarafından, hangi yolla işleneceğine dair detaylı bir veri kategorizasyonunun düzenlenmesi önemlidir zira işlenecek veriler ve işlenme amacı arasındaki bağlantıyı açıkça belirtmeksizin, genel bir bilgilendirme yapılması aydınlatma yükümlülüğünün özüne aykırıdır. Ayrıca işlenme amacının sonradan değişmesi halinde, veri sahibine değişikliğe ilişkin bilgilendirmenin yapılması gerekecektir. Eğer ki veri sahibi, bilgilendirme sonunda verilerinin işlenmesini kabul etmediğini herhangi bir yolla beyan ederse; verilerinin işlenmemesi sebebiyle veri sorumlusunun dahil olduğu hizmetten yararlanamayacağını da kabul etmiş olacaktır. Ad-soyad vb. kişisel veriler olmaksızın internet sitesine üye olunamayacağı ve dolayısıyla üyelikle birlikte, internet sitesinde sağlanan akademik arşivden yararlanmanın mümkün olamayacağı hususu bu duruma bir örnek teşkil edebilir.