GİRİŞ
Anayasa’nın “Özel Hayatın Gizliliği ve Korunması” başlıklı 20. maddesi ile temel hak ve hürriyet olarak koruma altına alınan kişisel verilerin korunması hakkına dair usul ve esaslar, temel olarak Kişisel Verilerin Korunması Kanunu (“KVKK”) ve bu kanuna dayalı çıkarılan yönetmeliklerle ele alınmıştır.
Söz konusu yasal düzenlemeler kapsamında, kişisel verileri işleyen veri sorumlularının uyması gereken yükümlülükler belirlenmiş ve bu yükümlülüklerin ihlali halinde bazı yaptırımlar öngörülmüştür. Kişisel verilerin korunması hukuku oldukça dinamik bir alan olup gelinen süreçte Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından KVKK ve ikincil mevzuatının uygulanmasına dair çeşitli rehberler yayınlanmakta, ayrıca Kurul’a yapılan şikayetler sonucunda verilen kararlar da kamunun bilgisine sunulmaktadır.
İlgili yasal mevzuat ve Kurul rehberleri/kararları doğrultusunda, veri sorumlusu şirketlerin KVKK mevzuatına uyum sürecinde yerine getirmesi gereken temel yükümlülükler aşağıda adım adım ele alınacaktır.
- Kişisel Veri İşleme Envanterinin Oluşturulması
Şirketin ilgili departmanları tarafından kişisel veri işleme süreçleri, işleme amaçları, kişisel verilerin saklandığı ortamlar, saklama süreleri, verilerin aktarıldığı alıcı grupları ve kişisel verileri işlenen ilgili kişi grupları gibi bilgileri içeren bir envanter doldurulmalıdır.
Bu envanterde yer alan işleme faaliyetleri ve amaçlarının hukuka uygunluğu, hukuk danışmanları tarafından analiz edilmeli, veri işlemenin hukuki sebepleri envantere eklenmelidir. Hukuk danışmanları tarafından envanterde yapılan inceleme sonucunda hukuka aykırı bir veri işleme faaliyeti tespit edilirse, veri sorumlusu şirket uyarılmalıdır. Şirkete yapılacak yönlendirmeler ile sağlıklı ve güncel bir envanter altyapısı tesis edilmelidir.
2. VERBİS’e kayıt yükümlülüğünün yerine getirilmesi
Kural olarak, kişisel veri işleyen veri sorumlularının veri işleme faaliyetinden önce Veri Sorumluları Sicil Bilgi Sistemi’ne (“VERBİS”) kayıt olması gerekmektedir. Kişisel Verileri Koruma Kurulu kararları ile VERBİS’e kayıt yükümlülüğüne birtakım istisnalar getirilmiştir.
Bu kapsamda, veri sorumlusu şirketin öncelikle söz konusu istisnalardan yararlanıp yararlanmadığı değerlendirilmelidir. Şayet veri sorumlusu şirket için herhangi bir muafiyet söz konusu değilse, kişisel veri işleme envanterinde yer alan bilgilere dayanarak VERBİS’e kayıt süreci gerçekleştirilmelidir.
3. Aydınlatma ve açık rıza metinlerinin oluşturulması
Veri sorumlusu şirketin kişisel verisini işlediği kişilere; örneğin çalışan, çalışan adayı, müşteri vb., yönelik aydınlatma ve gerektiğinde açık rıza alınması yükümlülüğünü yerine getirmesi için ilgili dokümanlar hazırlanmalıdır. Aydınlatma yükümlülüğünün yerine getirildiğini ispat yükü veri sorumlusunun üzerinde olduğundan bu metinler, ispata elverişli şekilde ilgili kişilere sunulmalıdır.
4. Kurumsal politika ve prosedürlerin oluşturulması
VERBİS’e kayıt yükümlülüğü bulunan veri sorumlularının Kişisel Verileri Saklama ve İmha Politikası hazırlama zorunluluğu bulunmaktadır. Ayrıca veri sorumluları tarafından;
⦁ Kişisel verilerin işlenmesi ve korunması politikası,
⦁ Özel nitelikli kişisel verilerin işlenmesi ve korunması politikası
⦁ Veri İhlal Bildirim ve Yönetim Prosedürü,
⦁ Kişisel Verilerin Erişim, Bilgi Güvenliği ve Kullanım Politikası
hazırlanması ve şirketin yetkili kurulu tarafından onaylanması tavsiye edilmektedir.
5. Veri aktarım ve veri işleme sözleşmelerinin akdedilmesi
Veri sorumlusu şirketlerin işledikleri kişisel verileri aktardıkları şirket dışı 3. kişilerle (tedarikçiler, distribütörler, iş ortakları, danışmanlar vb.) kişisel verilerin aktarımı ve korunmasına dair bir protokol akdedilmesi gerekmektedir.
Bazen veri sorumlusu şirket, kendisi adına veri işlemek üzere dışardan bir veri işleme hizmeti alıyor olabilir. Bu durumda veri işleyen 3. kişilerle (örneğin bulut hizmet sağlayıcıları, mali müşavir vb.) kişisel veri işleme sözleşmesi imzalanması ve tarafların sorumluluk alanlarının belirlenmesi önem arz etmektedir.
6. Yurt dışı veri aktarımına dair yükümlülüklerin yerine getirilmesi
Veri sorumlusu şirketin yurt dışına kişisel veri aktarımı yapması halinde uyması gereken yükümlülükler, KVKK’nın 9. maddesinde kaleme alınmıştır. Bu kapsamda, yurt dışına aktarım yapan veri sorumlusunun aktarım faaliyeti hukuk danışmanları tarafından değerlendirilmeli ve aktarımın hukuki sebebine dayalı olarak gereken yükümlülükler (örneğin standart sözleşme, bağlayıcı şirket kuralları, taahhütname imzalanması veya şartları mevcutsa açık rıza metninin oluşturulması) yerine getirilmelidir.
7. İdari ve teknik tedbirlerin alınması
KVKK m. 12 uyarınca veri sorumlusu;
a. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c. Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Kurul tarafından tavsiye niteliğinde birçok idari ve teknik tedbir listesi yayınlanmış olup veri sorumluları bu listede yer alan tedbirleri idari ve operasyonel anlamda sağlamalıdır. Zira Kurul’a yapılan veri ihlali şikayetlerinde Kurul tarafından veri sorumlularının gerekli idari ve teknik tedbirleri alıp almadığı denetlenmekte ve bu yükümlülüklerin yerine getirildiğinin ispatlanması beklenmektedir.
Kurul tarafından yayınlanan idari ve teknik tedbirlerden bazıları aşağıdaki gibidir:
- Çalışanlarla gizlilik taahhütnamesi akdedilmesi ve kişisel verileri ihlal halinde uygulanacak disiplin düzenlemelerinin oluşturulması,
- Çalışanlara kişisel verilerin korunması mevzuatı hakkında periyodik olarak (yılda en az bir) eğitim verilmesi,
- Ağ ve uygulama güvenliklerinin sağlanması,
- Kişisel verilere erişim sağlayacak çalışanlar arasında bir erişim matrisi oluşturulması,
- Kurum içi periyodik ve/veya rastgele denetimler yapılması,
- Kişisel verilerin yer aldığı fizik ve elektronik ortamların (şifreleme/kilit vb.) korunması.
İDARİ PARA CEZALARI
KVKK’nın 18. maddesinde KVKK ile öngörülen yükümlülüklere aykırı davranan veri sorumluları için idari para cezası yaptırımı öngörülmüştür. Bu cezalar her yıl yeniden değerleme oranlarına göre artırılmakta olup cezaların tutarı 2025 yılı için aşağıdaki şekildedir:
| İHLAL | ÜST SINIR | ALT SINIR |
| Aydınlatma yükümlülüğünü yerine getirmeme |
68.083 TL | 1.362.021 TL |
| Veri güvenliğine ilişkin yükümlülükleri yerine getirmeme |
204.285 TL |
13.620.402 TL |
| Kurul tarafından verilen kararları yerine getirmeme |
340.476 TL |
13.620.402 TL |
| Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket etme |
272.380 TL |
13.620.402 TL |
| Yurt dışı veri aktarımında akdedilecek standart sözleşmenin Kişisel Verileri Koruma Kurulu’na bildirilmemesi | 71.965 TL |
1.439.300 TL |
Yukarıda yer verilen açıklamalarımız, hukuki görüş ve tavsiye niteliğinde olmayıp, konuya ilişkin genel bilgiler içermektedir. Konuyla ilgili daha detaylı bilgi almak ve veri işleme faaliyetleriniz özelinde danışmanlık talepleriniz için iletişim adreslerimizden bizlere ulaşabilirsiniz.