info@gunaydinhukuk.org
Babacan Port Royal Rezidans B Blok Daire:26 Küçükçekmece / İstanbul

Takip Edin:
 
E-TAHSİLAT

Bilişim HukukuUyum HukukuKişisel Verilerin Korunması Kanunu (KVKK) Temel Yükümlülükleri Nelerdir?

Kapsamlı KVKK Rehberi: Veri Sorumluları İçin 8 Temel Yükümlülük ve Pratik Uyum Adımları

Dijital çağda veri, ekonominin yeni petrolü olarak kabul edilmektedir. Ancak bu değerli varlık, aynı zamanda büyük bir sorumluluğu da beraberinde getirir. 2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Türkiye’de kişisel verilerin işlenmesine ilişkin kuralları belirleyen temel yasal çerçevedir. Avrupa Birliği’nin GDPR (Genel Veri Koruma Tüzüğü) ile büyük ölçüde paralel olan KVKK, kişisel verileri işleyen tüm gerçek ve tüzel kişilere (“veri sorumluları”) bir dizi önemli yükümlülük getirmektedir. Bu yükümlülüklere uyulmaması, Kişisel Verileri Koruma Kurumu (Kurul) tarafından uygulanan ve milyonlarca lirayı bulabilen idari para cezalarına ve hatta bazı durumlarda Türk Ceza Kanunu kapsamında hapis cezalarına yol açabilmektedir. Bu yazıda, bir veri sorumlusunun bilmesi gereken temel KVKK yükümlülüklerini ve bu yükümlülüklere uyum sağlamak için atılması gereken pratik adımları detaylı bir şekilde inceleyeceğiz.

Temel Kavramlar:

  • Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (Ad, soyad, T.C. kimlik no, e-posta, telefon, IP adresi, fotoğraf, özgeçmiş bilgileri vb.).
  • Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi (yani, şirketiniz).
  • Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi (örneğin, maaş bordrolama hizmeti aldığınız muhasebe firması).
  • İlgili Kişi: Kişisel verisi işlenen gerçek kişi (çalışan, müşteri, web sitesi ziyaretçisi vb.).

Veri Sorumlularının 8 Temel Yükümlülüğü:

  1. Hukuka ve Dürüstlük Kuralına Uygun İşleme (KVKK m. 4): Bu, tüm veri işleme faaliyetlerinin temelini oluşturan genel ilkedir. Veriler, belirli, açık ve meşru amaçlar için işlenmeli, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalı, doğru ve güncel tutulmalı ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.

  2. Aydınlatma Yükümlülüğü (KVKK m. 10): Bu, en sık ihlal edilen yükümlülüklerden biridir. Veri sorumlusu, kişisel verileri elde ettiği sırada, ilgili kişiyi şu konularda bilgilendirmek zorundadır:

    • Veri sorumlusunun kimliği.
    • Kişisel verilerin hangi amaçla işleneceği.
    • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği.
    • Kişisel veri toplamanın yöntemi ve hukuki sebebi.
    • İlgili kişinin KVKK madde 11’de sayılan hakları (veriye erişme, düzeltme, silme vb.). Aydınlatma, açık, anlaşılır ve kolayca erişilebilir bir şekilde yapılmalıdır (örneğin, web sitesindeki gizlilik politikası, iş başvuru formundaki aydınlatma metni).

  3. Açık Rıza Alma Yükümlülüğü (KVKK m. 5, 6): Kişisel verilerin işlenmesi için temel kural, ilgili kişinin “açık rızası”nın alınmasıdır. Açık rıza, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan” rıza olarak tanımlanır. Ancak, KVKK madde 5/2’de sayılan şu durumlarda açık rıza aranmaz:

    • Kanunlarda açıkça öngörülmesi.
    • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan kişinin hayatı veya beden bütünlüğünün korunması için zorunlu olması.
    • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması.
    • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
    • İlgili kişinin kendisi tarafından alenileştirilmiş olması.
    • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
    • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

  4. Özel Nitelikli Kişisel Verilerin İşlenmesinde Daha Sıkı Kurallar: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi, kılık ve kıyafeti, dernek/vakıf/sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri “özel nitelikli kişisel veri”dir. Bu verilerin işlenmesi, kural olarak ilgili kişinin açık rızasına tabidir. Sağlık ve cinsel hayata ilişkin veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik gibi amaçlarla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurumlar tarafından rıza aranmaksızın işlenebilir.

  5. Veri Güvenliğini Sağlama Yükümlülüğü (KVKK m. 12): Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü idari ve teknik tedbiri almak zorundadır.

    • Teknik Tedbirler: Yetki matrisi, erişim logları, sızma testleri, şifreleme, ağ güvenliği, yedekleme.
    • İdari Tedbirler: Veri işleme envanteri hazırlama, kurum içi politikalar oluşturma (veri saklama ve imha politikası vb.), gizlilik taahhütnameleri imzalama, çalışanlara yönelik eğitimler, veri işleyenlerle yapılan sözleşmelere KVKK hükümleri ekleme.

  6. Veri Sorumluları Siciline (VERBİS) Kayıt Yükümlülüğü (KVKK m. 16): Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 100 milyon TL’den çok olan veri sorumluları ile yurt dışında yerleşik veri sorumluları, veri işlemeye başlamadan önce VERBİS’e kaydolmak zorundadır. Bu sicile, hangi kategorideki verileri, hangi amaçlarla ve ne kadar süreyle işledikleri gibi bilgiler beyan edilir.

  7. Yurt Dışına Veri Aktarımında Kurallara Uyma (KVKK m. 9): Kişisel verilerin yurt dışına aktarılması, kural olarak ilgili kişinin açık rızasına tabidir. Rıza olmaksızın aktarım için, aktarım yapılacak ülkede yeterli korumanın bulunması (Kurul tarafından ilan edilen güvenli ülkeler listesi) veya yeterli koruma bulunmuyorsa, Türkiye’deki ve yurt dışındaki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması gerekir.

  8. İlgili Kişilerin Başvurularını Yanıtlama Yükümlülüğü (KVKK m. 13): İlgili kişiler, veri sorumlusuna başvurarak kendi verileriyle ilgili taleplerde bulunabilirler. Veri sorumlusu, bu başvuruları en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmak zorundadır.

KVKK’ya uyum, tek seferlik bir proje değil, sürekli dikkat ve özen gerektiren dinamik bir süreçtir. Şirketlerin, veri işleme faaliyetlerini yasal zemine oturtmak, potansiyel idari para cezalarından kaçınmak ve en önemlisi, müşterilerinin ve çalışanlarının güvenini kazanmak için yukarıda belirtilen yükümlülükleri titizlikle yerine getirmesi gerekmektedir. Bu süreçte, bir veri işleme envanteri hazırlayarak işe başlamak, mevcut durumun fotoğrafını çekmek ve eksiklikleri gidermek için bir yol haritası oluşturmak en doğru yaklaşımdır. KVKK uyum sürecinin karmaşıklığı göz önüne alındığında, bu alanda uzman bir hukukçudan veya danışmandan destek almak, riskleri minimize etmek için şiddetle tavsiye edilir.

Önceki
Rüşvet ve Yolsuzlukla Mücadele: Şirketler Hangi Adımları Atmalı?
Sonraki
E-Ticaret Hukuku: Mesafeli Satış Sözleşmeleri ve Tüketici Hakları
https://gunaydinhukuk.org/wp-content/uploads/2022/05/ghb-1.png
Babacan Port Royal Rezidans Kartaltepe Mah. 1. Malazgirt Cad. No:6/2 B Blok Daire:26 Küçükçekmece / İstanbul
0212 951 05 15
info@gunaydinhukuk.org

Takip Edin:

SAYFALAR

FAYDALI LINKLER

YASAL UYARI

Bu web sitesinde yer alan içerikler Avukat & Müvekkil ilişkisi oluşturmaya yönelik değildir ve bir davet veya reklam olarak dikkate alınmamalıdır. Web sitesinde bulunan tüm içeriklerin telif hakkı Av. Cemal Vehbi GÜNAYDIN’a aittir. Web sitesindeki içeriklerin izinsiz bir şekilde kopyalanarak veya kısaltılarak başka web sitelerinde yayınlanmasının tespiti halinde hukuki ve cezai işlem uygulanacaktır.

© 2025 Günaydın Hukuk Bürosu – Tüm Hakları Saklıdır.