Anasayfa/ Makale/ Sermaye Şirketleri ve Kooperatiflerin KVKK Kapsamındaki Temel Yükümlülükleri

Sermaye Şirketleri ve Kooperatiflerin KVKK Kapsamındaki Temel Yükümlülükleri

Sermaye şirketleri ve kooperatifler tüzel kişilikleri gereği veri sorumlusudur. Bu şirketlerin 6698 sayılı Kanun uyarınca aydınlatma, veri güvenliğini sağlama, VERBİS'e kayıt, envanter hazırlama ve kişisel verilerin hukuka uygun aktarımı gibi hukuki yükümlülüklerini tam ve eksiksiz olarak yerine getirmesi yasal bir zorunluluktur.
search
7 dk okuma Yayınlanma: Güncelleme:
KVKK CEZA HUKUKU AYDINLATMA YÜKÜMLÜLÜĞÜ HUKUKA AYKIRILIK AÇIK RIZA

Günümüz dijitalleşen ticari hayatında, sermaye şirketleri ve kooperatifler günlük faaliyetlerini yürütürken müşteri, çalışan, tedarikçi ve ortaklarına ait çok sayıda kişisel veriyi işlemektedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında, bu tüzel kişiler bizzat veri sorumlusu sıfatını taşımaktadır. Tüzel kişiliği haiz şirketlerin veri işleme amaç ve vasıtalarını belirleyerek veri kayıt sistemini yönetmesi, onları doğrudan hukuki sürecin ana muhatabı haline getirir. İlgili mevzuat uyarınca, şirket organları veya yetkilendirilmiş çalışanlar değil, doğrudan şirket tüzel kişiliğinin kendisi yasal yükümlülük altındadır. Bu kapsamda, kişisel verilerin hukuka uygun şekilde işlenmesi ve muhafaza edilmesi sadece yasal bir zorunluluk değil, aynı zamanda kurumsal itibarın ve paydaş güveninin tesis edilmesi açısından kritik bir güvencedir. Anonim şirketlerde yönetim kurulu, limited şirketlerde ise müdürler tarafından sevk ve idare edilmesi gereken bu uyum süreci, şirketin idari, teknik ve yasal yükümlülüklerini bir bütün olarak, sürekli ve denetlenebilir bir sistemle yerine getirmesini gerektirir.

Sicil, Envanter ve Aydınlatma

Sermaye şirketleri ve kooperatiflerin en önemli yasal görevlerinden biri Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt ve bildirim yükümlülüğüdür. Mevzuat, istisnai durumlar (örneğin yıllık çalışan sayısı ile mali bilançosu Kurul tarafından belirlenen sınırların altında kalan ve ana faaliyeti özel nitelikli veri işlemek olmayan şirketler) dışında kalan tüm veri sorumlularının veri işlemeye başlamadan önce sicile kaydolmasını kesin bir dille şart koşar. Bu kayıt süreci, mutlaka şirketin iç işleyişine uygun olarak hazırlanmış detaylı bir kişisel veri işleme envanterine dayandırılmalıdır. Envanter belgesi; şirketin tüm departmanlarında işlenen verilerin amaçlarını, hukuki sebeplerini, azami saklama sürelerini, alıcı gruplarını ve alınan güvenlik önlemlerini gösteren temel bir kılavuzdur. Şirket yönetim organı tarafından sicile beyan edilen bilgilerin her zaman doğru, güncel ve hukuka tam uyumlu tutulması zorunlu olup, süreçlerde meydana gelen herhangi bir değişiklik yedi gün içerisinde sisteme yansıtılmalıdır.

Veri sorumlusu sıfatına haiz şirketlerin bir diğer kritik görevi ise hukukun temel taşlarından olan aydınlatma yükümlülüğünün yerine getirilmesidir. Kişisel verilerin elde edilmesi aşamasında ilgili kişilere; veri sorumlusunun kimliği, verilerin hangi yasal amaçlarla işleneceği, kimlere aktarılabileceği, toplama yöntemi ve veri sahibinin sahip olduğu yasal haklar hiçbir şüpheye yer bırakmayacak şekilde bildirilmelidir. Şirketler aydınlatma metinlerini kurgularken kesinlikle genel veya muğlak ifadelerden kaçınmalı, herkesin rahatlıkla anlayabileceği açık, sade ve şeffaf bir dil benimsemelidir. Yasal uygulamalarda sıklıkla karşılaşılan bir ihlal riski olarak, veri işlemenin açık rızaya bağlandığı durumlarda aydınlatma yapılması ile açık rızanın alınması işlemleri kesinlikle birbirinden bağımsız mekanizmalarla yürütülmelidir. Aynı sözleşme veya tek bir dijital onay kutucuğu üzerinden hem aydınlatma yükümlülüğünün tamamlanması hem de rıza alınması güncel denetimlerde doğrudan hukuka aykırılık kabul edilmektedir.

İlgili Kişi Başvurularının Yönetimi

Sermaye şirketleri ve kooperatifler, kişisel verilerini kendi sistemleri içerisinde işledikleri gerçek kişilerin kanuni haklarını özgürce kullanabilmeleri adına etkin, erişilebilir ve güvenilir bir başvuru mekanizması inşa etmekle görevlidir. Kanun uyarınca veri sahipleri, kendilerine ait bilgilerin güncel durumunu öğrenmek, hatalı veya eksik kayıtların düzeltilmesini ya da silinmesini talep etmek maksadıyla veri sorumlusuna başvurma hakkına sahiptir. Şirketler, kendilerine yöneltilen bu haklı talepleri niteliğine uygun şekilde değerlendirerek en kısa sürede ve her halükarda en geç otuz gün içinde kural olarak ücretsiz şekilde sonuçlandırmak zorundadır. Şirket yönetimleri, iletilen başvuruyu kabul ederek gereğini derhal yerine getirmeli ya da olumsuz değerlendirme durumunda ret gerekçesini somut ve hukuki bir dille başvuru sahibine bildirmelidir. Bu yasal sorumluluğun ciddiye alınmaması veya taleplerin dürüstlük kuralına uygun şekilde yanıtlanmaması, şirketlerin aleyhine şikayet konusu yapılabilecek ciddi bir ihlal olarak değerlendirilir.

Veri Güvenliği, Saklama ve Aktarım Kuralları

Hukuki düzenlemeler çerçevesinde tüzel kişilerin eksiksiz uygulaması gereken bir diğer hassas nokta veri güvenliğini sağlama yükümlülüğüdür. Şirketler, dijital ve fiziksel ortamlardaki kişisel verilerin hukuka aykırı yollarla işlenmesini ve yetkisiz kişilerin bu verilere erişimini engellemek için kurumsal kapasitelerine uygun güvenlik düzeyini temin etmekle mükelleftir. Bu yasal sorumluluğun yerine getirilmesi için alınması gereken bazı temel tedbirler şunlardır:

  • İdari Tedbirler: Şirket içi erişim ve detaylı yetki matrislerinin oluşturulması, kişisel veri saklama politikalarının yazılı hale getirilmesi ve personelin veri güvenliği risklerine karşı periyodik olarak eğitilmesi.
  • Teknik Tedbirler: Bilişim ağlarının düzenli sızma testleriyle (penetrasyon) denetlenmesi, özellikle özel nitelikli veriler için gelişmiş kriptografik şifreleme yöntemlerinin kullanılması ve bulut altyapılarının güvenlik taramalarından geçirilmesi.

Tüm bu tedbirlere rağmen şirket kayıtlarındaki verilerin kanuni olmayan yollarla ele geçirilmesi halinde veri sorumlusu, bu ihlali en geç 72 saat içerisinde Kişisel Verileri Koruma Kuruluna ve kısa sürede ilgili kişilere resmen bildirmek zorundadır. Ayrıca, işlenme amacı hukuken sona eren verilerin kişisel veri saklama ve imha politikası doğrultusunda periyodik olarak silinmesi, yok edilmesi veya anonimleştirilmesi yasal olarak mecburidir.

Ticari faaliyetlerin ayrılmaz bir parçası olan kişisel verilerin aktarılması işlemleri de, veri koruma hukukunun çizdiği katı yasal sınırlara mutlak surette tabidir. Mevzuatın temel kuralı gereğince kişisel veriler, veri sahibinin özgür iradesiyle verdiği açık rızası olmaksızın yurt içine veya yurt dışı konumlu üçüncü kişilere aktarılamaz. Ancak kanun metninde sınırlı sayıda sayılan istisnai hukuka uygunluk sebepleri (bir sözleşmenin ifası veya yasal bir zorunluluğun yerine getirilmesi gibi) mevcut ise rıza şartı aranmadan aktarım yapılabilmesi mümkündür. Özellikle uygulamada şirketler topluluğu bünyesindeki farklı tüzel kişilikler arasında gerçekleştirilen ortak veri paylaşımları da hukuken bağımsız tüzel kişilikler olmaları sebebiyle üçüncü kişiye aktarım sayılmaktadır. Bunun yanı sıra, modern iş dünyasında vazgeçilmez hale gelen ve veri merkezleri yurt dışında konumlanan bulut bilişim platformları veya global e-posta hizmetlerinin tercih edilmesi doğrudan kişisel verilerin yurt dışına aktarılması hukuki statüsündedir.

Şirket kurdum, KVKK için illa bir yerlere kayıt olmam şart mı? expand_more
Sermaye şirketleri ve kooperatifler, KVKK kapsamında bizzat veri sorumlusu sıfatı taşıdıklarından dolayı yasal yükümlülükleri bulunmaktadır. Kanun gereğince, çalışan sayısı ve mali bilanço gibi Kurul tarafından belirlenen istisnai durumlar dışında kalan tüm şirketlerin veri işlemeye başlamadan önce Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt olması kesin bir şarttır. Bu kayıt işlemini gerçekleştirirken şirketinizin iç işleyişine uygun ve detaylı bir kişisel veri işleme envanteri hazırlamanız yasal bir zorunluluktur. Şirket yönetim organı tarafından sicile beyan edilen tüm bilgilerin doğru, güncel ve hukuka uyumlu tutulması, meydana gelen değişikliklerin ise yedi gün içinde sisteme bildirilmesi gerekmektedir.
Müşteriden tek tıkla hem aydınlatma hem de açık rıza onayı alabilir miyim? expand_more
Hayır, kişisel verilerin korunması mevzuatına göre bu iki işlem kesinlikle birbirinden bağımsız mekanizmalarla yürütülmelidir. Müşterilerinizi veri işleme amaçları, kimlere aktarılacağı ve hakları konusunda açık ve şeffaf bir dille aydınlatmak en temel hukuki görevinizdir. Aydınlatma metninin sunulması ile veri işleme faaliyetine yönelik açık rızanın alınması aynı sözleşme veya tek bir dijital onay kutucuğu üzerinden yapılamaz. Aksi takdirde, güncel denetimlerde bu durum doğrudan hukuka aykırılık olarak kabul edilmektedir ve şirketiniz idari yaptırımlarla karşılaşabilir.
Müşterimiz verilerimi silin diye dilekçe verdi, ne kadar sürem var? expand_more
Kanun uyarınca şirketler, verilerini işledikleri kişilerin bu tür haklı taleplerini özgürce iletebileceği etkin bir başvuru mekanizması kurmakla görevlidir. Müşterinizden gelen veri silme, düzeltme veya güncel durumu öğrenme taleplerini en kısa sürede ve her halükarda en geç otuz gün içinde sonuçlandırmak zorundasınız. Kural olarak bu işlemi ilgili kişiden hiçbir ücret talep etmeksizin yerine getirmeniz gerekmektedir. Eğer talebi hukuki sebeplerle reddedecekseniz, bu ret gerekçesini mutlaka somut ve yasal bir dille başvuru sahibine bildirmelisiniz, aksi halde aleyhinize şikayet konusu olabilecek ciddi bir ihlal riski doğacaktır.
Kendi holdingimizdeki şirketler arasında veri paylaşmak yasak mı? expand_more
Hukuki düzenlemelere göre şirketler topluluğu bünyesindeki farklı tüzel kişilikler arasında gerçekleştirilen veri paylaşımları da "üçüncü kişiye aktarım" sayılmaktadır. Çünkü grup şirketleriniz birbirleriyle organizasyonel olarak bağlantılı olsalar bile hukuken tamamen bağımsız tüzel kişiliklerdir. Bu nedenle, söz konusu veri aktarımı işlemleri veri koruma hukukunun çizdiği katı yasal sınırlara mutlak surette tabidir. İlgili kişinin özgür iradesiyle verdiği açık rızası bulunmaksızın veya kanunda belirtilen sözleşmenin ifası gibi istisnai hukuka uygunluk sebepleri oluşmaksızın bu tür bir veri paylaşımı hukuka aykırı kabul edilir.
Şirket verilerini yabancı bulut sistemlerinde tutmak KVKK'ya aykırı mı? expand_more
Günümüzde veri merkezleri yurt dışında konumlanan bulut bilişim platformları veya global e-posta hizmetlerinin şirketlerce tercih edilmesi, doğrudan kişisel verilerin yurt dışına aktarılması statüsündedir. Mevzuatın temel kuralı gereğince, ilgili kişinin açık rızası alınmadan veya kanundaki özel istisnalara dayanılmadan verilerin yurt dışı konumlu üçüncü kişilere aktarılması mümkün değildir. Bu tür platformları kullanırken yurt dışına aktarım şartlarının tam olarak sağlandığından emin olmanız yasal bir gerekliliktir. Ayrıca, hukuki güvenliği sağlamak adına bulut altyapılarının düzenli güvenlik taramalarından geçirilmesi ve verilerin yetkisiz erişime karşı korunması şirketinizin asli yükümlülüklerindendir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir