Anasayfa/ Makale/ Kişisel Veri Hukukunda Temel Kavramlar ve Veri Sorumlusu Yükümlülükleri

Kişisel Veri Hukukunda Temel Kavramlar ve Veri Sorumlusu Yükümlülükleri

Bu makale, kişisel veri koruma hukukunun temelini oluşturan veri, kişisel veri, veri sorumlusu ve veri işleyen kavramlarını hukuki bir perspektifle analiz etmektedir. Aynı zamanda, veri sorumlularının aydınlatma, veri güvenliği sağlama, ihlal bildirimi ve VERBİS'e kayıt gibi yasal yükümlülükleri uygulama bağlamında detaylıca incelenmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
KVKK AYDINLATMA YÜKÜMLÜLÜĞÜ

Kişisel verilerin korunması hukuku, teknolojinin eş görülmemiş gelişimi ile birlikte bireylerin mahremiyetini güvence altına almayı amaçlayan ve kendine özgü dinamikleri olan modern bir hukuk dalıdır. Gelişen dijitalleşme ve yeni iş modelleri, kişisel verilerin işlenme hacmini devasa boyutlara ulaştırırken, bu veriler üzerinde hakimiyet kuran hukuk süjelerinin sorumluluklarını da yeniden şekillendirmiştir. Bir hukuk uygulayıcısı perspektifiyle yaklaşıldığında, mevzuata uyumun ve hukuki risk yönetiminin ilk adımı, kanunun ihdas ettiği temel kavramların doğru ve eksiksiz bir şekilde anlaşılmasıdır. Zira veri sorumlusu ve veri işleyen gibi aktörlerin sınırlarının net bir şekilde çizilememesi, hukuki, idari ve cezai yaptırımların doğmasına yol açabilir. Bu makalede, kişisel veri koruma hukukunun temel yapıtaşları olan kavramlar ele alınacak ve iş süreçlerinin merkezinde yer alan veri sorumlusunun yasal yükümlülükleri detaylı bir hukuki analize tabi tutulacaktır.

Kişisel Veri Koruma Hukukunda Temel Kavramlar

Hukuk pratiğimizde en sık karşılaştığımız terminolojik hatalardan biri "veri" ve "bilgi" kavramlarının birbirinin yerine kullanılmasıdır. Esasen veri, bilgisayarlar tarafından işlenebilen sayısal birimleri ifade ederken; bilgi, verinin işlenerek anlamlı bir biçime sokulmuş halini temsil eder. Mevzuatımızın temel odak noktası olan kişisel veri ise, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Gelişen teknolojiyle birlikte yalnızca ad, soyad veya kimlik numarası değil; bir pilotun radyasyon maruziyet oranı, IP adresi veya akıllı cihazların MAC adresleri gibi dolaylı tanımlayıcılar da kişisel veri statüsünde kabul edilmektedir. Zira bir veriden hareketle gerçek bir kişiye ulaşma ihtimali bulunuyorsa, bu veri seti doğrudan kanunun koruma şemsiyesi altına girmektedir.

Veri Sorumlusu ve Veri İşleyen Statüleri

Kanun kapsamında kişisel verilerin işleme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından sorumlu olan gerçek veya tüzel kişilere veri sorumlusu denilmektedir. Hukuki statünün tespitinde mülkiyet değil, veri üzerindeki denetim ve karar verme yetkisi esas alınır. Şirketler, dernekler, kamu kurumları veya avukat, noter gibi meslek mensupları kendi faaliyetleri kapsamında veri sorumlusu sayılırlar. Buna karşın, veri sorumlusunun talimatları doğrultusunda ve onun verdiği yetkiye dayanarak kişisel verileri işleyen taraf ise veri işleyen statüsündedir. Taraflar arasındaki hukuki ilişkinin salt bir veri işleme sözleşmesi ile belirlenmesi yeterli olmayıp, fiili veri yaşam döngüsündeki inisiyatif ve kontrol mekanizmalarının gerçek hayattaki karşılığı hukuki statüleri tayin eder. Eğer birden fazla veri sorumlusu, amaç ve yöntemleri birlikte belirliyorsa müşterek veri sorumlusu statüsü gündeme gelmektedir.

Veri Sorumlusunun Temel Hukuki Yükümlülükleri

Kanun koyucu, bireylerin kişisel verileri üzerindeki temel haklarını koruyabilmek amacıyla, gücü elinde bulunduran veri sorumlularına geniş kapsamlı ve sürekli birtakım yükümlülükler atfetmiştir. Bu yükümlülüklerin yerine getirilmemesi yalnızca idari para cezalarına değil, aynı zamanda ciddi itibar kayıplarına ve tazminat sorumluluklarına neden olabilmektedir. Uygulamada veri sorumlularının en temel görevi aydınlatma yükümlülüğüdür. Veri sorumlusu, hangi işleme şartına dayanırsa dayansın, veri sahiplerine karşı şeffaflık ilkesi gereği mutlak bir bilgilendirme yapmak zorundadır. Bu aydınlatma; verilerin hangi amaçla işlendiğini, hukuki sebeplerini, aktarım yapılan tarafları ve ilgili kişinin haklarını, hukuki ve teknik karmaşadan uzak, açık ve anlaşılır bir dille barındırmalıdır. Ayrıca, mevzuatta öngörülen başvuru yolları kapsamında, ilgili kişilere haklarını kullandırma olanağı tanınması ve başvuruların otuz gün içinde sonuçlandırılması hukuki bir zorunluluktur.

Veri Güvenliği ve İdari-Teknik Tedbirler

Veri sorumlusunun en kritik yükümlülüklerinden bir diğeri, kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmektir. Bu güvenlik düzeyi, sadece ilk aşamada değil, verinin tüm yaşam döngüsü boyunca sağlanmalıdır. Söz konusu yükümlülük kapsamında veri sorumlusunun alması gereken başlıca teknik ve idari tedbirler şunlardır:

  • Çalışanlara yönelik farkındalık ve güvenlik eğitimlerinin düzenli olarak verilmesi.
  • Ağ güvenliği için güçlü parola politikaları, erişim matrisleri ve veri kaybı önleme yazılımlarının entegrasyonu.
  • Sistem zafiyetlerini tespit etmek adına düzenli sızma ve penetrasyon testlerinin yaptırılması.
  • Fiziksel kayıt ortamlarına yönelik erişim kontrollerinin yetkilendirme mekanizmalarıyla desteklenmesi. Bu tedbirlerin süreklilik arz eden bir şekilde denetlenmesi ve gelişen teknolojiye uyumlu olarak güncellenmesi, olası hukuki ihtilaflarda veri sorumlusunun sorumluluktan kurtulabilmesi açısından hayati öneme sahiptir.

Sicil Kaydı, Envanter ve İhlal Bildirimi

Uygulamada hesap verebilirlik ilkesinin en net yansıması Veri Sorumluları Siciline kayıt yükümlülüğü ile kişisel veri işleme envanterinin hazırlanmasıdır. Veri sorumluları, faaliyete başlamadan önce kişisel veri işleme envanterini eksiksiz olarak hazırlamak ve bu harita ışığında sicil sistemine beyanda bulunmak mecburiyetindedir. Envanter, şirketin tüm veri mimarisinin ve idari süreçlerinin hukuki röntgenini çeken temel bir dokümandır. Öte yandan, alınan tüm tedbirlere rağmen verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi durumunda veri ihlal bildirimi yükümlülüğü doğar. Veri sorumlusu, bu hukuka aykırı vakıayı derhal yetkili kurula ve ilgili kişilere bildirmekle mükelleftir. İhlalin etkilerini hafifletmeye yönelik gecikmeksizin atılacak adımlar, ileride doğabilecek idari ve hukuki yaptırımların asgari düzeye indirilmesinde doğrudan etkilidir.

Sadece ismim ve TC numaram mı kişisel veridir, IP adresim de bu kapsama girer mi? expand_more
Mevzuatımızda kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak kabul edilmektedir. Bu bağlamda yalnızca ad, soyad veya kimlik numarası gibi doğrudan belirleyici bilgiler değil; dolaylı olarak sizinle eşleştirilebilen diğer veriler de korunmaktadır. Örneğin, bilgisayarınızın IP adresi veya akıllı cihazlarınızın MAC adresleri gibi teknik detaylar, gerçek bir kişiye ulaşma ihtimali barındırdığı sürece kişisel veri statüsünde değerlendirilir. Dolayısıyla, arkanızda bıraktığınız bu tür dijital izleriniz de kanunun sağladığı koruma şemsiyesi altındadır.
Müşterilerin bilgilerini topluyoruz, kanun karşısında asıl hukuki sorumlu kim oluyor? expand_more
Kanun kapsamında, kişisel verilerin hangi amaçla ve hangi vasıtalarla işleneceğini belirleyen gerçek veya tüzel kişiler "veri sorumlusu" statüsündedir. Hukuki sorumluluğun tespitinde verinin kimin mülkiyetinde olduğu değil, o veri üzerindeki denetim ve karar verme yetkisi dikkate alınmaktadır. Şirketiniz kendi ticari faaliyetleri çerçevesinde bu verilerin yönetimini ve karar mekanizmasını elinde bulundurduğu için veri sorumlusu olarak kabul edilir. Şirketinizin verdiği yetki ve talimatlar doğrultusunda bu verileri işleyen başka bir taraf varsa bu kişiler yalnızca "veri işleyen" olarak nitelendirilir, ancak hukuki yükümlülükler veri sorumlusuna aittir.
Bilgilerimi toplayan kurumlar bunu ne için kullandığını bana açıklamak zorunda mı? expand_more
Evet, verilerinizi işleyen kurumların size karşı şeffaflık ilkesi gereğince mutlak bir aydınlatma yükümlülüğü bulunmaktadır. Veri sorumlusu olan kurumlar, bu verileri hangi amaçla topladıklarını, hukuki sebeplerini, kimlere aktarabileceklerini ve haklarınızı hukuki karmaşadan uzak, açık bir dille bildirmek zorundadır. Bu yükümlülük, verinin hangi işleme şartına dayanarak toplandığına bakılmaksızın yerine getirilmelidir. Ayrıca, kişisel verilerinizle ilgili yapacağınız başvuruları da kabul edip haklarınızı kullandırmaları ve taleplerinizi otuz gün içerisinde sonuçlandırmaları yasal bir mecburiyettir.
Bilgilerimi verdiğim şirket hacklenirse durumu bana bildirmek zorunda mı? expand_more
Bir kurumun aldığı tüm teknik ve idari tedbirlere rağmen verilerinizin kanuni olmayan yollarla başkalarının eline geçmesi hukuken bir "veri ihlali" olarak tanımlanır. Veri sorumlusu olan kurum, böyle bir hukuka aykırı erişim gerçekleştiğinde durumu derhal Kişisel Verileri Koruma Kuruluna ve verisi çalınan siz ilgili kişilere bildirmekle yasal olarak mükelleftir. Bu ihlalin etkilerini hafifletmeye yönelik adımların gecikmeksizin atılması, ihlalin olası olumsuz sonuçlarını asgariye indirmek için kritik bir öneme sahiptir. Veri güvenliğini sağlama ve bildirim borcunun ihlali halinde ise şirketin idari para cezalarıyla ve ciddi tazminat sorumluluklarıyla karşılaşması muhtemeldir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir