Anasayfa/ Makale/ KVKK Kapsamında Veri Sorumlusunun Yükümlülükleri

KVKK Kapsamında Veri Sorumlusunun Yükümlülükleri

Kişisel Verilerin Korunması Kanunu uyarınca veri sorumluları, kişisel verilerin işlenme amaçlarını ve yöntemlerini belirleyen gerçek veya tüzel kişilerdir. Bu makalede, veri sorumlularının aydınlatma, veri güvenliğini sağlama, VERBİS'e kayıt olma ve Kurul kararlarını yerine getirme gibi temel hukuki yükümlülükleri incelenmektedir.
search
5 dk okuma Yayınlanma: Güncelleme:
VERİ İHLALİ KVKK AYDINLATMA YÜKÜMLÜLÜĞÜ

Kişisel verilerin işlenmesi süreçlerinde en kritik aktörlerden biri şüphesiz veri sorumlusu sıfatını haiz gerçek veya tüzel kişilerdir. 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan kişi olarak tanımlanmıştır. Tüzel kişilerin bizzat kendileri veri sorumlusu olup, bu yetki ve sorumluluk şirket içindeki bir çalışana devredilerek tüzel kişiliğin hukuki sorumluluktan kurtulması mümkün değildir. Veri sorumluları, kişisel verilerin hukuka uygun şekilde işlenmesi ve muhafaza edilmesi süreçlerinde çok ciddi yasal yükümlülükler altına girmektedir. Bu yükümlülüklerin ihlali, telafisi güç zararlara yol açabileceği gibi yaptırımlara da sebebiyet verebilmektedir. Uygulamada KVKK uyum süreçlerinin sağlıklı bir şekilde yürütülebilmesi için veri sorumlularının kanundan doğan tüm yükümlülüklerini tam ve eksiksiz olarak idrak etmesi gerekmektedir.

Veri Sorumlusunun Aydınlatma Yükümlülüğü

KVKK'nın 10. maddesi uyarınca veri sorumlularının en temel görevlerinden biri aydınlatma yükümlülüğünün yerine getirilmesidir. Bu yükümlülük, veri işleme faaliyetlerine başlanmadan önce ilgili kişilerin şeffaf bir biçimde bilgilendirilmesini emreder. Veri sorumlusu veya yetkilendirdiği kişi; kendi kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen verilerin kimlere ve hangi amaçlarla aktarılabileceği, verilerin toplanma yöntemi ve hukuki sebepleri ile ilgili kişinin hakları konusunda aydınlatma yapmalıdır. Kurul kararları ve ilgili tebliğler gereğince, aydınlatma işlemi belirli bir şekil şartına tabi olmamakla birlikte, bu konudaki ispat külfeti daima veri sorumlusu üzerindedir. Ayrıca, bilgilendirmenin açık, sade, anlaşılır ve tereddüde mahal vermeyecek nitelikte olması şarttır; muğlak ifadeler barındıran aydınlatma metinleri doğrudan hukuka aykırı kabul edilmektedir.

Veri Güvenliğine İlişkin Hukuki Yükümlülükler

KVKK'nın 12. maddesi, kişisel verilerin korunması bağlamında veri güvenliğinin sağlanmasını zorunlu kılmaktadır. Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı olarak erişilmesini önlemek, ayrıca verilerin güvenli bir şekilde muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbirleri almak zorundadır. Bu tedbirlerin yetersizliği veya yetkisiz erişimlerin engellenememesi durumunda ağır idari yaptırımlar uygulanır. Veri sorumlusunun alması gereken temel idari ve teknik tedbirler şunlardır:

  • Mevcut risk ve tehditlerin belirlenmesi ile çalışanlara yönelik düzenli farkındalık eğitimlerinin verilmesi.
  • Siber güvenliğin sağlanması ve kişisel veri güvenliği politikalarının oluşturularak uygulanması.
  • Gereğinden fazla veri işlenmesini önlemek adına veri minimizasyonu ilkelerinin aktif şekilde işletilmesi.

Veri İhlali Bildirimi ve Sicile Kayıt Yükümlülüğü

Alınan tüm idari ve teknik tedbirlere rağmen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi durumunda, veri sorumlusunun ivedilikle veri ihlali bildirim yükümlülüğü doğmaktadır. Kurulun ilgili kararları uyarınca, veri sorumlusu ihlali öğrendiği andan itibaren en geç 72 saat içerisinde durumu Kurula bildirmeli ve etkilenen ilgili kişilere de en kısa sürede gerekli bildirimleri yapmalıdır. Bunun yanı sıra, şeffaflık ve hesap verebilirlik ilkelerinin bir gereği olarak, veri işlemeye başlamadan önce Veri Sorumluları Siciline (VERBİS) kayıt yaptırma zorunluluğu bulunmaktadır. İstisna kapsamında olmayan veri sorumluları, işledikleri verilerin kategorilerini ve amaçlarını bu sicile kaydetmek zorundadır. Son olarak, ilgili kişilerin başvurularına yasal süre içinde yanıt vermek ve Kurul kararlarını en geç otuz gün içinde yerine getirmek de veri sorumlularının kanuni yükümlülükleri arasında yer almaktadır.

Müşteriden bilgi alırken aydınlatma yapmasam veya kısa geçsem olmaz mı? expand_more
Kişisel Verilerin Korunması Kanunu uyarınca, veri işleme faaliyetlerine başlamadan önce ilgili kişileri şeffaf bir biçimde bilgilendirmek zorundasınız. Bu aydınlatma metninde kimliğiniz, verilerin hangi amaçla ve hukuki sebeple işleneceği, kimlere aktarılabileceği ve kişinin hakları açıkça yer almalıdır. Ayrıca bilgilendirmenin sade, anlaşılır ve tereddüde yer bırakmayacak şekilde olması şarttır; muğlak ifadeler içeren metinler doğrudan hukuka aykırı kabul edilmektedir. Bu konudaki ispat yükünün de daima veri sorumlusu olarak sizin üzerinizde olduğunu unutmamalısınız.
Şirketin sistemi hacklendi, müşteri verileri çalındı. Ne yapmam lazım? expand_more
Alınan tüm idari ve teknik tedbirlere rağmen kişisel verilerin kanuni olmayan yollarla başkalarının eline geçmesi durumunda derhal veri ihlali bildirim yükümlülüğünüz doğmaktadır. Kişisel Verileri Koruma Kurulu kararları gereğince, bu ihlali öğrendiğiniz andan itibaren en geç 72 saat içerisinde durumu Kurul'a bildirmeniz gerekmektedir. Ayrıca, kişisel verileri ihlalden etkilenen ilgili kişilere de durumu en kısa sürede bildirmekle yükümlüsünüz. Aksi takdirde, veri güvenliğini sağlama yükümlülüğüne aykırılıktan dolayı çok ağır idari yaptırımlarla karşı karşıya kalabilirsiniz.
Şirketteki KVKK sorumluluğunu bir çalışana devretsem ben kurtulur muyum? expand_more
Hayır, tüzel kişiliğin bizzat kendisi veri sorumlusu statüsünü haizdir ve bu hukuki statüden kaçınmak mümkün değildir. Veri kayıt sisteminin kurulmasından ve yönetilmesinden doğan bu yetki ve yükümlülük, şirket içindeki bir çalışana devredilerek şirket sorumluluktan kurtarılamaz. Şirketiniz, kişisel verilerin hukuka uygun işlenmesi ve muhafaza edilmesi süreçlerinde bizzat ciddi yasal yükümlülükler altındadır. Bu yükümlülüklerin ihlali durumunda ortaya çıkabilecek idari yaptırımlar ve telafisi güç zararlar yine tüzel kişiliğe, yani doğrudan şirketinize ait olacaktır.
Bilgisayarlara şifre koysam KVKK için yeterli güvenlik sağlamış olur muyum? expand_more
Sadece bilgisayarlara şifre koymanız veri güvenliğini sağlamak açısından yasal olarak kesinlikle yeterli bir önlem değildir. Kanun, kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek için uygun güvenlik düzeyini temin edecek her türlü teknik ve idari tedbiri almanızı emreder. Bu kapsamda mevcut risklerin belirlenmesi, çalışanlara farkındalık eğitimleri verilmesi, siber güvenliğin sağlanması ve veri güvenliği politikalarının oluşturulması gibi çok yönlü adımlar atmanız gerekmektedir. Ayrıca, veri güvenliğinin bir parçası olarak, gereğinden fazla veri işlememek adına veri minimizasyonu ilkelerini de aktif olarak uygulamanız zorunludur.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir