Anasayfa/ Makale/ Kişisel Verilerin Aktarımı ve Veri Sorumlusu Yükümlülükleri

Kişisel Verilerin Aktarımı ve Veri Sorumlusu Yükümlülükleri

Kişisel Verilerin Korunması Kanunu kapsamında, veri sorumlularının aydınlatma, veri güvenliğini sağlama, sicile kayıt ve ihlal bildirimi gibi temel hukuki yükümlülükleri bulunmaktadır. Bu makalede, söz konusu yükümlülükler ile kişisel verilerin yurt içi ve yurt dışına aktarılma şartları hukuki bir perspektifle detaylıca incelenmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
KVKK AÇIK RIZA AYDINLATMA YÜKÜMLÜLÜĞÜ

6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiler veri sorumlusu olarak nitelendirilmektedir. Hukukumuzda veri sorumlusu statüsü, şirketlerin tüzel kişiliği üzerinde doğmakta olup, kamu hukuku ve özel hukuk tüzel kişileri arasında bu açıdan bir farklılık gözetilmemektedir. Veri sorumlusunun temel rolü, veri işleme faaliyetinin neden ve nasıl yapıldığına karar vermek ve süreci kanuna uygun şekilde yönetmektir. Bu bağlamda, veri sorumlularının mevzuattan doğan aydınlatma yükümlülüğü, veri güvenliğini sağlama yükümlülüğü, Veri Sorumluları Siciline kayıt yükümlülüğü ve ilgili kişilerin başvurularını cevaplama gibi son derece kritik hukuki sorumlulukları bulunmaktadır. Aynı zamanda, işletmelerin ticari faaliyetlerinin kaçınılmaz bir parçası olan kişisel verilerin aktarılması süreçleri de kanunda sıkı şekil şartlarına ve kurallara bağlanmıştır.

Veri Sorumlusunun Temel Yükümlülükleri

Veri sorumlusunun kanundan doğan temel yükümlülükleri şunlardır:

  • Aydınlatma yükümlülüğünün yerine getirilmesi
  • Veri güvenliğine yönelik tedbirlerin alınması
  • VERBİS sistemine kayıt yapılması
  • İlgili kişilerin başvurularının cevaplanması

Özellikle ilgili mevzuat uyarınca, veri sorumlusu veya yetkilendirdiği kişi, verilerin elde edilmesi sırasında ilgili kişilere süreç hakkında detaylı bilgi vermek zorundadır. Aydınlatma yükümlülüğü, açık rızadan bağımsız olarak yerine getirilmesi gereken asli bir yükümlülüktür ve ilgili kişinin talebine bağlanamaz. Veri sorumlusu, bu yükümlülüğü açık, sade ve anlaşılır bir dille, veri işleme aşamasından önce yerine getirmelidir. İlgili kişiye verilecek bilgilerin, veri sorumlusunun Veri Sorumluları Siciline kayıt yükümlülüğü varsa oradaki kayıtlı bilgilerle uyumlu olması şarttır. Bu yükümlülüğün ihlali, şirketler için idari yaptırımlarla karşılaşılmasına neden olabilecektir.

Bir diğer kritik husus, veri güvenliğine ilişkin yükümlülüklerdir. Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı şekilde erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbirleri almak zorundadır. Veri sorumlusu, bu işlemleri bir veri işleyen vasıtasıyla gerçekleştiriyorsa, sistemin güvenliği hususunda veri işleyen ile müştereken sorumlu tutulur. Ayrıca, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından ele geçirilmesi, yani bir veri ihlali yaşanması halinde, veri sorumlusu bu durumu en kısa sürede, uygulamadaki kararlar ışığında yetmiş iki saat içinde, yetkili kurula ve ilgili kişiye bildirmekle yükümlüdür. Veri sorumlularının ve ilgili çalışanların, görevden ayrılsalar dahi söz konusu verileri başkalarına açıklayamayacakları katı bir sır saklama yükümlülüğü de bulunmaktadır.

Veri sorumlularının kanundan doğan bir diğer yapısal yükümlülüğü, veri işlemeye başlamadan önce kamuya açık bir şekilde tutulan Veri Sorumluları Siciline kayıt yaptırmaktır. Bu sisteme kayıt yükümlülüğü bulunan veri sorumluları, iş süreçlerine bağlı olarak yürüttükleri faaliyetleri detaylandırdıkları kurumsal bir kişisel veri işleme envanteri hazırlamakla mükelleftir. Kurul tarafından belirlenen istisnalar dışında kalan tüm gerçek ve tüzel kişi veri sorumluları bu mekanizmaya dâhil olmalıdır. Öte yandan, veri sorumluları ilgili kişilerin mevzuatın uygulanmasına yönelik başvurularını cevaplandırmak zorundadır. İlgili kişinin yazılı veya belirlenen güvenli elektronik yöntemlerle yaptığı talepler, niteliğine göre en kısa sürede ve en geç otuz gün içinde veri sorumlusunca sonuçlandırılmalıdır. Veri sorumlusu, incelediği talepleri gerekçeli olarak kabul veya reddetmeli ve oluşan sonucu mutlaka ilgili kişiye bildirmelidir.

Kişisel Verilerin Yurt İçi ve Yurt Dışına Aktarımı

Kişisel verilerin üçüncü kişilere aktarılması süreçleri, ticari yaşamda ve hizmet alımlarında sıklıkla karşılaşılan ancak hukuki sınırları son derece hassas olan işlemlerdir. Kural olarak, kişisel verilerin aktarılması işlemi için veri sahibinin yani ilgili kişinin açık rızası gerekmektedir. Ancak, mevzuatta belirtilen hukuka uygunluk şartlarının varlığı halinde, kişinin açık rızası olmaksızın da yurt içinde veri aktarımı yapılabilmesi yasal olarak mümkündür. Aktarıma konu olan verilerin özel nitelikli veri olması halinde ise ayrıca yetkili makamlarca belirlenen yeterli güvenlik önlemlerinin alınması zorunludur. Hukuki açıdan aktarım kavramı, verilerin birbiriyle ilişkili grup şirketleri arasında paylaşılmasını da kapsar; zira her bir şirketin ayrı tüzel kişiliği bulunduğundan bu iç paylaşımlar da kanunun katı veri aktarımı kurallarına bütünüyle tabidir.

İşletmelerin küreselleşmesinin bir sonucu olan kişisel verilerin yurt dışına aktarılması ise hukukumuzda çok daha sıkı şekil şartlarına bağlanmıştır. Mevzuat uyarınca, ilgili kişinin açık rızası bulunmaksızın veriler kural olarak sınır ötesine aktarılamaz. İstisnai durumlarda veri aktarımı yapılabilmesi için; kanundaki işleme şartlarından birinin varlığı ile birlikte aktarım yapılacak ülkede yeterli korumanın bulunması şartı bir arada aranır. İlgili yabancı ülkede yeterli koruma güvencesi yoksa, Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve ardından özel iznin alınması gerekmektedir. Çok uluslu şirket toplulukları arasında gerçekleşecek yoğun veri aktarımlarında ise süreçleri standartlaştırmak adına uygulanan bağlayıcı şirket kuralları mekanizması büyük kolaylık sağlar. Sunucuları yurt dışında bulunan kurumsal e-posta hizmetlerinin kullanılması dahi hukuken yurt dışına aktarım teşkil ettiğinden bu hususlara riayet edilmesi elzemdir.

Şirkete verilerimle ilgili dilekçe verdim ama cevap yok, ne yapmalıyım? expand_more
Mevzuat uyarınca veri sorumlusu şirketler, kişisel verilerinize ilişkin yazılı veya güvenli elektronik yöntemlerle yaptığınız başvuruları en kısa sürede ve en geç otuz gün içinde sonuçlandırmak zorundadır. Talepleriniz şirket tarafından detaylıca incelenmeli, gerekçeli olarak kabul veya reddedilmeli ve oluşan nihai sonuç mutlaka tarafınıza bildirilmelidir. Kanuni süre içerisinde size yanıt verilmemesi halinde veri sorumlusunun hukuki yükümlülüklerini ihlal ettiği kabul edilir ve ilgili yasal yollara başvurma hakkınız doğar.
Şirket mailini sunucusu yurt dışında olan bir hizmetten alsam sorun çıkar mı? expand_more
İşletmelerin kullandığı kurumsal e-posta hizmetlerinin sunucuları yurt dışında bulunuyorsa, bu durum hukuken kişisel verilerin yurt dışına aktarılması teşkil etmektedir ve sıkı şekil şartlarına tabidir. Yurt dışına veri aktarımı kural olarak kişinin açık rızasına tabidir; ancak mevzuattaki özel işleme şartlarının varlığı ve aktarım yapılacak ülkede yeterli korumanın bulunması halinde istisnai olarak aktarım yapılabilir. Yeterli koruma güvencesi yoksa Türkiye'deki ve yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı taahhüt etmeleri ve özel izin almaları zorunludur. Bu şartlara riayet edilmemesi şirketiniz açısından ciddi yasal ihlaller doğuracaktır.
Kendi şirketler grubumuz içinde müşteri bilgilerini paslaşmamız yasak mı? expand_more
Hukuki açıdan birbiriyle ilişkili grup şirketlerinizin her birinin ayrı bir tüzel kişiliği bulunduğundan, aranızda gerçekleştireceğiniz müşteri bilgisi paylaşımları da kanunun katı veri aktarımı kurallarına bütünüyle tabidir. Kural olarak kişisel verilerin bu şekilde şirketler arasında aktarılması işlemi için ilgili müşterinin açık rızasının alınması gerekmektedir. Ancak mevzuatta belirtilen diğer hukuka uygunluk şartlarının varlığı tespit edilirse açık rıza aranmaksızın da aktarım yapılabilmesi yasal olarak mümkündür. Gerekli hukuki çerçeve sağlanmadan verilerin paslaşılması idari yaptırımlara sebebiyet verecektir.
Şirketimiz hacklendi ve müşteri verileri çalındı, acil ne yapmamız gerekiyor? expand_more
İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından ele geçirilmesi mevzuat kapsamında doğrudan bir veri ihlali olarak nitelendirilmektedir. Veri sorumlusu sıfatıyla bu ihlali en kısa sürede, ki güncel uygulamalar ışığında en geç yetmiş iki saat içerisinde, yetkili kurula ve verileri çalınan ilgili kişilere bildirmekle yükümlüsünüz. İhlal bildiriminin zamanında yapılmaması ve sürecin başından itibaren gerekli teknik ve idari güvenlik tedbirlerinin alınmamış olması durumlarında şirketinizin çok ciddi idari ve cezai yaptırımlarla karşılaşması muhtemeldir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir