Anasayfa/ Makale/ Şirketlerin KVKK ve GDPR Kapsamında Hukuki Yükümlülükleri

Şirketlerin KVKK ve GDPR Kapsamında Hukuki Yükümlülükleri

Kişisel verilerin ekonomik bir değere dönüşmesiyle şirketler, KVKK ve GDPR kapsamında veri sorumlusu veya veri işleyen sıfatıyla sıkı hukuki yükümlülüklere tabi tutulmuştur. Bu makale, şirketlerin aydınlatma, VERBİS kayıt, veri koruma etki değerlendirmesi ve ihlal bildirim süreçleri gibi temel hukuki sorumluluklarını detaylıca incelemektedir.
search
7 dk okuma Yayınlanma: Güncelleme:
AYDINLATMA YÜKÜMLÜLÜĞÜ KVKK GDPR (GENEL VERİ KORUMA TÜZÜĞÜ) AÇIK RIZA

Dijitalleşen iş dünyasında kişisel verilerin yepyeni bir sermaye niteliği kazanması, şirketlerin hukuki statüsünü ve sorumluluklarını köklü bir biçimde değiştirmiştir. Modern ticaret hayatında şirketler, kâr amacı güden organizasyonlar olarak faaliyetlerini sürdürürken muazzam bir veri işleme kapasitesine ulaşmışlardır. Gerek Kişisel Verilerin Korunması Kanunu gerekse Avrupa Genel Veri Koruma Tüzüğü sistematiği, veri trafiğinin başat aktörleri konumundaki bu tüzel kişileri veri sorumlusu veya veri işleyen sıfatıyla merkeze almaktadır. Bir şirketin, hukuka uygun, adil ve şeffaf bir veri yönetişim çerçevesi kurabilmesi için elde ettiği verilerin koruma mevzuatı kapsamına girip girmediğini doğru tespit etmesi hayati önem taşır. Bu bağlamda, modern veri koruma kültürü, şirketleri yalnızca kural ihlallerinden kaçınmaya değil, aynı zamanda önleyici hukuk mantığı çerçevesinde proaktif idari, teknik ve hukuki tedbirler almaya zorlamaktadır. Özellikle rekabet ve ticaret sınırlarının şeffaflaşması, çok uluslu veri akışlarını yapısal veri koruma modeline entegre etmeyi hukuki bir zorunluluk haline getirmiştir.

Şirketlerin Veri Sorumlusu ve Veri İşleyen Sıfatıyla Sınırları

Hukuki uyuşmazlıkların çözümünde şirketlerin sorumluluk sınırları, veri işleme amaç ve vasıtalarını belirleme kudretine göre tayin edilmektedir. Şirket, kişisel verilerin neden ve nasıl işleneceğine ilişkin karar verme yetkisine sahipse veri sorumlusu sıfatını kazanır. Buna karşılık, yalnızca veri sorumlusunun verdiği yetkiye ve talimatlara dayanarak onun adına işlem yapan şirketler veri işleyen konumundadır. Bu ayrım hukuki açıdan son derece kritiktir; zira veri işleyen bir şirket, yetki sınırlarını aşıp bizzat amaç ve araç belirlemeye başlarsa hukuken veri sorumlusu olarak değerlendirilir ve buna göre yaptırıma tabi tutulur. Aynı zamanda, birden fazla şirketin işleme amaç ve yöntemlerini birlikte belirlediği hallerde, taraflar mevzuat karşısında ortak veri sorumlusu olarak müteselsil sorumluluk altına girmektedir. Grup şirketleri uygulamasında ise salt aynı veri tabanının kullanılması şirketleri otomatik olarak ortak veri sorumlusu yapmaz; her bir şirketin veriler üzerindeki bağımsız karar alma yetkisi kendi tüzel kişiliği nezdinde ayrı bir sorumluluk doğurur.

Aydınlatma Yükümlülüğü ve Açık Rızanın Temini

Kişisel veri işleme faaliyetlerinde temel hukuka uygunluk sebebi olan açık rıza, bireyin kendi verisinin geleceğini tayin etme hakkının en önemli uzantısıdır. Şirketlerin, rızanın hukuken geçerli olabilmesi için ilgili kişiyi aydınlatma yükümlülüğü çerçevesinde; veri sorumlusunun kimliği, işleme amacı, aktarım yapılacak alıcılar ve ilgili kişinin hakları konusunda net, şeffaf ve anlaşılır bir dille bilgilendirmesi emredici bir kuraldır. Şirketlerin dijital mecralarda önceden işaretlenmiş kutucuklar vasıtasıyla rıza almaya çalışması hukuka aykırı kabul edilmekte, bunun yerine ilgili kişinin aktif ve olumlu bir irade beyanını yansıtan tercihli onay yöntemi zorunlu kılınmaktadır. Ayrıca, hizmetin veya malın alımının salt rıza verilmesi şartına bağlanması, irade serbestisini ortadan kaldıracağından elde edilen rızayı sakatlar. Şirketlerin aydınlatma metni ile açık rıza işlemlerini kesinlikle birbirinden ayrı tutmaları ve her bir hukuka uygunluk nedenini sözleşme gereklilikleri ekseninde özenle tasnif etmeleri şarttır.

Veri Koruma Etki Değerlendirmesi ve Şeffaflık İlkesi

Avrupa mevzuatının getirdiği ve şirketler açısından hayati öneme sahip olan risk ve hesap verebilirlik denkleminin temelini veri koruma etki değerlendirmesi oluşturmaktadır. Bu prosedür, işleme faaliyetlerinin gerçek kişilerin hak ve özgürlükleri bakımından doğurabileceği yüksek riskleri henüz tasarım aşamasındayken, diğer bir ifadeyle başlangıçtan ve tasarımdan itibaren veri koruması prensibiyle bertaraf etmeyi amaçlar. Şirketler, profilleme, otomatik karar alma mekanizmaları veya özel nitelikli verilerin geniş çapta işlenmesi gibi faaliyetlerde bulunmadan önce, olası riskleri analiz etmek ve bu risklere karşı alacakları idari ve teknik tedbirleri belgelendirmek zorundadır. Bu durum aynı zamanda şirketlerin veri güvenliğini bir yasal külfetten ziyade, kurumsal bir hesap verebilirlik mekanizması olarak inşa etmesini gerektirir. Anılan değerlendirme süreci, yalnızca mevzuata uyum sağlamakla kalmaz, aynı zamanda şirketlerin aldıkları güvenlik önlemlerini hukuki denetim süreçlerinde objektif bir ispat aracı olarak mahkemelere sunabilmelerine olanak tanır.

Veri Sorumluları Siciline Kayıt ve İhlal Bildirim Süreçleri

Şirketlerin kamu otoritelerine ve veri sahiplerine karşı şeffaflığını sağlayan temel denetim mekanizmalarından biri veri sorumluları sicil bilgi sistemine kayıt yükümlülüğüdür. Şirketler, veri işlemeye başlamadan önce sicile kaydolmak ve kişisel veri işleme envanteri dâhilindeki bilgileri kamuya açıklamak zorundadır. Öte yandan, siber saldırı veya teknik arıza sonucu yaşanabilecek güvenlik zafiyetlerinde şirketlerin veri ihlali bildirimi yükümlülüğü doğar. İhlalin gerçek kişiler üzerinde risk yaratması halinde mevzuat kapsamında gecikmeksizin denetim makamına bildirim yapılmalıdır. Şirketlerin ihlal sonrası atması gereken adımlar şunlardır:

  • İhlalin boyutlarının ve potansiyel risklerin ivedilikle objektif bir risk değerlendirmesine tabi tutulması.
  • Riskin azaltılması ve ihlalin durdurulması için gerekli teknik ve idari güvenlik tedbirlerinin devreye sokulması.
  • Yetkili makamlara ve riskin yüksek olduğu durumlarda mağduriyetin önlenmesi adına veri sahiplerine yasal bildirimlerin yapılması.

Yurt Dışına Veri Aktarımı ve Şirket İçi Hukuki Tedbirler

Modern iş süreçlerinde e-ticaret, bulut sunucu kullanımı ve uluslararası yazışmalar, kişisel verilerin sınır ötesi transferini rutin bir işlem haline getirmiştir. Ancak yasal düzenlemeler, veri sahibinin sahip olduğu hukuki korumanın, verinin aktarıldığı ülkede de zayıflatılmadan sürdürülmesini emreder. Bu nedenle şirketler, yurt dışına kişisel veri aktarımı yaparken; ilgili ülkenin yeterlilik kararına sahip olup olmadığını denetlemeli, yeterlilik yoksa standart sözleşme hükümleri veya bağlayıcı şirket kuralları gibi ek idari ve hukuki güvenceleri tesis etmelidir. Veriyi yurt dışına transfer eden şirket, alıcının veri koruma kurallarını ihlal etmeyeceğini taahhüt altına almalı ve hesap verebilirlik ilkesi doğrultusunda bu durumu ispatlamalıdır. Sonuç olarak, bir şirketin yasal yaptırımlardan ve ciddi tazminat risklerinden korunabilmesi için, veri koruma görevlisi atanması başta olmak üzere, dinamik bir veri koruma konseptini şirket içi süreçlerine eksiksiz bir biçimde entegre etmesi yasal bir gerekliliktir.

Üye olurken sözleşmeyi onaylamazsam hizmet vermiyorlar, buna hakları var mı? expand_more
Kişisel verilerin işlenmesi sürecinde bir mal veya hizmetin sunulmasının, sadece sizin rıza vermeniz şartına bağlanması hukuken geçerli bir uygulama değildir. Bu durum, irade serbestinizi ortadan kaldırdığı için alınan rızayı yasal olarak geçersiz kılıp sakatlar. Şirketlerin aydınlatma yükümlülüğü metni ile açık rıza işlemlerini birbirinden tamamen ayrı tutması ve sizi tercih yapmaya zorlamaması kanuni bir mecburiyettir. Ayrıca, dijital mecralarda onay kutucuklarının önceden işaretlenmiş olarak önünüze getirilmesi de hukuka aykırı kabul edilmekte olup, rızanın ancak sizin aktif tercihinizle verilmesi şarttır.
Müşterisi olduğum site siber saldırıya uğradı, verilerim çalındı. Ne yapmalılar? expand_more
Şirketlerin sistemlerinde bir siber saldırı veya teknik arıza nedeniyle güvenlik zafiyeti yaşandığında, yasal olarak veri ihlali bildirimi yapma yükümlülükleri derhal doğar. İhlalin gerçek kişiler üzerinde risk yaratması ihtimalinde, şirketin gecikmeksizin durumu yetkili denetim makamına bildirmesi yasal bir zorunluluktur. Ayrıca, riskin boyutlarının objektif bir şekilde değerlendirilip, zararın azaltılması ve ihlalin durdurulması için gerekli teknik ve idari güvenlik önlemlerinin hemen devreye sokulması şarttır. Sizin mağduriyetinizin önlenmesi adına, riskin yüksek olduğu tespit edilen durumlarda şirket, veri sahibi olarak doğrudan size de yasal bildirim yapmak zorundadır.
Verilerimizi yurtdışındaki bulut sistemlerinde saklıyorlar, bu yasalara uygun mu? expand_more
E-ticaret, bulut sunucu kullanımı ve uluslararası yazışmalar gibi sebeplerle sınır ötesi kişisel veri transferi yapılması şirketler için günümüzde rutin bir işlemdir. Ancak yasal mevzuat, verileriniz yurtdışına aktarılırken hukuki korumanızın kesinlikle zayıflatılmadan aynen sürdürülmesini emretmektedir. Bu kapsamda şirketin, verilerinizin aktarıldığı ilgili ülkenin veri koruma açısından yeterlilik kararına sahip olup olmadığını mutlaka denetlemesi gerekir. Eğer söz konusu ülkenin böyle bir yeterlilik kararı yoksa, şirketin standart sözleşme hükümleri veya bağlayıcı şirket kuralları gibi ekstra hukuki güvenceleri sağlaması ve bunu ispatlaması zorunludur.
Holdingin bir şirketine verdiğim bilgileri diğer şirketleri de kullanabilir mi? expand_more
Grup şirketleri veya holding yapılanmalarında sadece aynı veri tabanının kullanılıyor olması, bu şirketleri doğrudan ortak veri sorumlusu haline getirmez. Her bir şirketin verileriniz üzerindeki bağımsız karar alma yetkisi, kendi tüzel kişiliği kapsamında ayrı bir sorumluluk doğurmaktadır. Veri paylaşımı yapılabilmesi için ilgili tüzel kişilerin mevzuata uygun bir veri yönetişim çerçevesi kurması ve ancak işleme amaçlarını birlikte belirledikleri takdirde ortak veri sorumlusu olarak müteselsil sorumluluk altına girmesi gerekir. Aksi takdirde, aydınlatma yükümlülüğü yerine getirilmeden ve hukuki bir sınır gözetilmeden bir şirketin elindeki veriyi keyfi olarak diğer şirketlere kullandırması hukuka aykırıdır.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir