Barış Mükyen | Kvkk Kapsamında Veri Koruma
Blog,  Hukuki Makaleler,  Sermaye Piyasaları Hukuku

KVKK Kapsamında Veri Sorumlusu Şirketlerin Yerine Getirmesi Gereken Yükümlülükler Nelerdir?

13 Ocak 2022

Günümüzde pek çok gerçek kişi, tüzel kişi veya kamu kurum ve kuruluşları, faaliyetleri kapsamında ya da daha iyi hizmet sunma amacıyla pek çok kişisel veriyi ilgililerinden toplamakta ve veri sistemlerine kaydederek saklamaktadır. “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanan kişisel veriler, özellikle şirketlerin doğru ve başarılı bir çalışma politikası yürütmesi açısından önem taşıyan bir unsur haline gelmiştir.

Bu kapsamda Türkiye’de yapılan ilk özel düzenleme 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) olmuştur. Kanun uyarınca sistemlere işlenecek kişisel verilerin işlenme amacını ve işlenme yöntemini belirleyen, verilerin kaydedildiği sistemin yönetiminden sorumlu gerçek veya tüzel kişiler veri sorumlusu olarak adlandırılmaktadır. Bu kapsamda tıpkı gerçek kişiler gibi tüzel kişiler de mevzuat çerçevesinde hukuki yönden sorumlu tutulacaklardır.

KVKK kapsamında şirket tüzel kişiliklerinin kendisi de veri sorumlusu olarak kabul edilmektedir. Şirketler bakımından çalışanlar, iş ortakları ya da danışmanlar veya müşteriler kişisel verileri koruma yükümlülüğü kapsamında olan gruplardır. Bu çerçevede şirketler de veri sorumlusu olarak faaliyette bulunuyorlarsa KVKK’na uyum sağlamak ve kanundan doğan yükümlülükleri yerine getirmek zorundadırlar. Aksi halde idari para cezası ve hapis cezaları ile karşı karşıya kalabilirler. Peki söz konusu bu yükümlülükler kapsamında şirketler tarafından neler yapılmalıdır?

  1. Aydınlatma yükümlülüğü yerine getirilmelidir.

Gerçek ve tüzel kişi veri sorumlularının, verileri işlemeden önce yerine getirmesi gereken en önemli yükümlülüklerinden biri aydınlatma yükümlülüğüdür. Bu kapsamda kişisel verisi işlenecek gerçek kişi, veri sorumlusunun kendisinin ve varsa temsilcisinin kimliği, gerçek kişinin verilerinin hangi amaçla işleneceği, verilerinin kimlere hangi amaçla aktarılacağı ve verilerinin toplanma yöntemi ile toplamanın hukuki gerekçesi konularında bilgilendirilmek zorundadır. Buna ek olarak verisi işlenecek kişi kanunda sayılan hakları konusunda da aydınlatılmalıdır. 

Aydınlatma yükümlülüğü kişisel verisi işlenen gerçek kişinin talebine bağlı değildir.Talep etse de etmese de kişisel verisi işlenecek gerçek kişinin açık rıza vermesiyle veya diğer kişisel veri işleme şartlarının bulunması durumunda, veri sorumlusu gerçek ya da tüzel kişi bu yükümlülüğü yerine getirmek zorundadır. KVKK uyarınca aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 13.394 Türk lirasından 267.886 Türk lirasına kadar idari para cezası uygulanacaktır.

  1. Veri güvenliğine ilişkin yükümlülükler ve tedbirler yerine getirilmelidir.

KVKK uyarınca veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önleme, kişisel verilere hukuka aykırı olarak erişilmesini önleme ve kişisel verilerin muhafazasını sağlama ile yükümlüdür. Veri sorumlusu söz konusu bu yükümlülükleri karşılamak amacıyla teknik ve idari tedbirleri yerine getirmek zorundadır. Kişisel veriler veri sorumlusu için başka bir gerçek veya tüzel kişi tarafından işleniyorsa, bu tedbirlerin alınması konusunda veri sorumlusu ve verileri işleyenler birlikte sorumlu olacaktır. 

Bu kapsamda veri sorumlusunun kanun hükümlerine uygunluk amacıyla denetim yükümlülüğü de bulunmaktadır. Veri sorumlusu denetimi kendi yapabileceği gibi üçüncü kişilere de yaptırabilir. Veri sorumlusu veya veri işleyenler işledikleri bu kişisel verileri görevlerinden ayrılsalar dahi kanun hükümlerine aykırı olacak şekilde diğer kişilere açıklayamazlar. İşlenen bu kişisel veriler kanuna aykırı olarak başkası tarafından ele geçirilirse, veri sorumlusu bunu en hızlı şekilde kişisel verisi işlenen kişiye ve Kişisel Verileri Koruma Kuruluna bildirmelidir. KVKK uyarınca veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 40.182 Türk lirasından 2.678.865 Türk lirasına kadar idari para cezası uygulanacaktır.

Veri sorumlusunun alması gereken idari tedbirler nelerdir?

Şirketler idari tedbir kapsamında öncelikle kişisel veri işleme envanteri hazırlamalı, kurumsal politika ve prosedürler ile mevcut risk ve tehditleri belirlemelidir. Veri güvenliği açısından şirket çalışanları eğitilmeli ve farkındalık çalışmaları yapılmalıdır. Kurum içi periyodik veya rastgele denetimler gerçekleştirilmelidir. İş sözleşmeleri ve disiplin yönetmeliklerine kanuna uygun hükümler ilave edilmelidir. Veri sorumlusu tarafından saklanan kişisel veriler mümkün olduğunca azaltılmalı, mevzuatta öngörülen ya da işlendikleri amaç için gerekli olan süre kadar saklanmalıdır. Veri sorumluları ile veri işleyenler de müştereken sorumlu olduğundan, veri işleyenler de en az veri sorumluları kadar güvenlik seviyesini sağlamalıdır.

Veri sorumlusunun alması gereken teknik tedbirler nelerdir?

Teknik tedbirler kapsamında veri sorumlusu şirketler tarafından öncelikle siber güvenlik sağlanmalıdır ve veri sorumluları tarafından kişisel veri güvenliğinin takibi yapılmalıdır. Yalnızca kişisel verilerin değil, kişisel veri içeren ortamların da güvenliği sağlanmalıdır. Eğer kişisel veriler bulutta depolanıyorsa, yine bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemleri de yeterli ve uygun olmalıdır. Veri sorumlusu yeni sistemlerin tedariki, geliştirilmesi veya var olan sistemin iyileştirilmesi için gerekli ihtiyaçları saptarken güvenlik ihtiyaçlarını da dikkate almalıdır. Zarar görme, çalınma, kaybolma riskine karşın yedeklenen kişisel verilerin fiziksel güvenliği de sağlanmalıdır.

  1. Veri Sorumluları Siciline kayıt olunmalıdır.

KVKK’da yer alan düzenlemeye göre veri sorumluları, veri işlemeye başlamadan önce Veri Sorumluları Siciline kayıt olmak zorundadır. KVKK uyarınca veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 53.577 Türk lirasından 2.678.865 Türk lirasına kadar idari para cezası uygulanacaktır.

  1. İlgili kişiler tarafından yapılan başvurular en geç otuz gün içinde cevaplanmalıdır.

Kişisel verisi işlenen gerçek kişiler, yazılı olarak veya Kişisel Verileri Koruma Kurulu tarafından belirlenen diğer yöntemlere uygun olarak veri sorumlularından kanunun uygulanması amacıyla talepte bulunabilirler. Veri sorumluları iletilen bu talepleri en geç otuz gün içinde ücretsiz olarak sonuçlandırmak zorundadır. İşlemin gerçekleşmesi için ayrıca bir ücret gereken hallerde, Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifedeki ücretler başvuru sahibi ilgili gerçek kişiden talep edilebilir.

  1. Kişisel Verileri Koruma Kurulunun kararları yerine getirilmelidir.

Kişisel Verileri Koruma Kurulu şikâyet üzerine veya görev alanına giren konularda resen bir ihlal durumu saptarsa, ihlalin veri sorumlusu tarafından ortadan kaldırılmasına karar verir ve bu kararı tebliğ eder. Veri sorumlusu da bu kararı tebliğ tarihinden itibaren en geç 30 gün içinde yerine getirmelidir. Aksi halde Kurul tarafından verilen kararları yerine getirmeyenler hakkında 66.971 Türk lirasından 2.678.865 Türk lirasına kadar idari para cezası uygulanacaktır.

Şirketler Aykırılık Halinde Hangi Yaptırımlarla Karşılaşabilir?

Söz konusu yükümlülüklere uyulmaması halinde verilecek idari para cezalarının yanında Türk Ceza Kanunu’nda yer alan suçlar kapsamında hapis cezaları da öngörülmüştür. Türk Ceza Kanunu kapsamında kişisel verileri hukuka aykırı olarak kaydeden kimseler hakkında bir yıldan üç yıla kadar, kişisel verileri hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişiler hakkında iki yıldan dört yıla kadar, kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlar hakkında görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilecektir. Buna ek olarak teknik ve hukuki tedbirlerin alınmaması, aydınlatma yükümlülüğünün yerine getirilmemesi, KVK Kurulunun kararlarının uygulanmaması bakımından ya da veri siciline kayıt olunmaması noktasında ciddi maddi külfetler doğurabileceğini görebiliyoruz. Veri sorumlusu kapsamında değerlendirilebilecek kuruluşlar bu noktada mutlaka bir hukukçu desteğini almalıdırlar. Sürekli olarak gelişen, değişen ve güncelliği esas olan Kişisel Verilerin Korunması Kanunu özellikle günümüzde dijital ortamlarda faaliyet gösteren özel ve tüzel kişilikler için ciddi önem arz etmektedir. E-Ticaret kuruluşları, bankacılık faaliyetleri,devlet hizmetleri, özel kuruluşların hizmetleri, para ve ödeme kuruluşları, hizmet kuruluşları ve daha onlarca kişi, sektör ya da organizasyon için bu kapsamdaki hukuki altyapıları oluşturmak kaçınılmazdır. Söz konusu kanun kapsamında bir mağduriyet veya yaptırımla karşılaşmamak adına  mutlaka ilgili hukuki alt yapılar kurulmalı, güncellikler korunmalı ve gelen dönüşler ile alakalı hukuki süreçler doğru işletilmelidir. Yeni gelişmeler ışığında daha kapsayıcı düzenlemeler beklediğimiz ilgili kanunun kapsayıcılığı arttıkça, özel ve tüzel kişilerce uyum gösterme zorunluluğunun da yaygınlaşacağına inanıyoruz.

Barış Mükyen

Bunları da beğenebilirsiniz

Tasarruf Finansmanı - Barış Mükyen
Tasarruf Finansmanı Firmaları İle Sözleşme İmzalarken Dikkat Edilmesi Gereken Hususlar Nelerdir?
21 Ocak 2022
Kat Karşılığı İnşaat Sözleşmesi Kurulurken Yapılan 20 Hata | Barış Mükyen
Kat Karşılığı İnşaat Sözleşmesi Kurulurken Yapılan 20 Hata
13 Ekim 2022
Kripto Para Hukuku Nedir? | Barış Mükyen
Kripto Para Hukuku Nedir?
24 Eylül 2021