ŞİRKETLERİN KVKK KAPSAMINDAKİ SORUMLULUKLARI
07 Kas 2025
ŞİRKETLERİN KVKK KAPSAMINDAKİ SORUMLULUKLARI
ŞİRKETLERİN KVKK KAPSAMINDAKİ SORUMLULUKLARI
GİRİŞ
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), kişisel verilerin işlenmesinde bireylerin temel hak ve özgürlüklerini korumayı ve veri sorumlularının yükümlülüklerini belirlemeyi amaçlamaktadır. Şirketler, faaliyetleri kapsamında iş ilişkileri, müşteri hizmetleri, pazarlama, insan kaynakları gibi birçok alanda kişisel veri işlemekte olup, KVKK hükümleri çerçevesinde bu verilerin korunması konusunda önemli sorumluluklara sahiptir.
1. VERİ SORUMLUSU KAVRAMI VE ŞİRKETLERİN KONUMU
KVKK madde 3’e göre veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişidir. Şirketler, çalışanlarının, müşterilerinin, tedarikçilerinin ve iş ortaklarının verilerini topladığı için genellikle “veri sorumlusu” sıfatına sahiptir.
Veri sorumlusu, veri işleme süreçlerini yönetmek, güvenliği sağlamak ve mevzuata uygunluğu temin etmekle yükümlüdür. Bu nedenle her şirketin kendi bünyesinde bir veri sorumlusu temsilcisi belirlemesi, veri işleme faaliyetlerini kayıt altına alması ve hukuki denetim mekanizmalarını oluşturması gerekir.
2. ŞİRKETLERİN KVKK KAPSAMINDAKİ TEMEL YÜKÜMLÜLÜKLERİ
A. Aydınlatma Yükümlülüğü
KVKK madde 10 uyarınca veri sorumluları, kişisel veri toplama sırasında ilgili kişilere şu bilgileri açıkça bildirmek zorundadır:
- Veri sorumlusunun kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- İşlenen verilerin kimlere ve hangi amaçla aktarılabileceği,
- Veri toplama yöntemi ve hukuki sebebi,
- Veri sahibinin hakları (KVKK madde 11).
B. Açık Rıza Alma Yükümlülüğü
Kişisel veriler, ancak ilgili kişinin açık rızasıyla işlenebilir. Açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan onaydır. Şirketlerin, açık rızayı yazılı veya elektronik ortamda, açık ve anlaşılır biçimde alması gerekir.
C. Veri Güvenliğini Sağlama Yükümlülüğü
KVKK madde 12 gereği veri sorumluları, kişisel verilerin hukuka aykırı erişimini önlemek, muhafazasını sağlamak ve gerekli teknik/idari tedbirleri almakla yükümlüdür.
Bunlara örnek olarak:
- Erişim yetkilendirmesi,
- Şifreleme sistemleri,
- Çalışanlara veri koruma eğitimi verilmesi,
- Güvenli veri saklama politikaları oluşturulması sayılabilir.
D. VERBİS’e Kayıt Yükümlülüğü
KVKK madde 16 uyarınca belirli nitelikteki veri sorumlularının, Kişisel Verileri Koruma Kurumu tarafından oluşturulan Veri Sorumluları Siciline (VERBİS) kayıt olmaları zorunludur.
Kayıt esnasında veri işleme amaçları, veri kategorileri, aktarım grupları ve güvenlik önlemleri bildirilir.
E. Kişisel Veri Saklama ve İmha Politikası Oluşturma
Şirketler, işledikleri verilerin saklama sürelerini belirlemeli ve süresi dolan verileri “Kişisel Veri Saklama ve İmha Politikası” çerçevesinde imha etmelidir. Bu politika; silme, yok etme ve anonim hale getirme süreçlerini içermelidir.
F. İhlal Bildirimi Yükümlülüğü
Kişisel verilerin hukuka aykırı olarak elde edilmesi durumunda veri sorumlusu, bu durumu en kısa sürede Kişisel Verileri Koruma Kurulu’na ve ilgili kişilere bildirmelidir. Bu bildirim, genellikle 72 saat içinde yapılmalıdır.
3. ŞİRKETLERİN UYUM SÜRECİNDE YAPMASI GEREKENLER
- Veri envanteri çıkarılmalı,
- İşleme faaliyetleri analiz edilmeli,
- Açık rıza metinleri güncellenmeli,
- Aydınlatma metinleri hazırlanmalı,
- VERBİS kaydı tamamlanmalı,
- Çalışanlara eğitim verilmeli,
- Sürekli denetim ve raporlama mekanizmaları kurulmalıdır.
4. VERİ İHLALİ VE CEZAİ SONUÇLAR
KVKK madde 18’e göre yükümlülüklerini yerine getirmeyen şirketler hakkında idari para cezaları uygulanabilir. Bu cezalar;