Anasayfa & KVKK kapsamında veri sorumlusunun yükümlülükleri

KVKK kapsamında veri sorumlusunun yükümlülükleri

KVKK KAPSAMINDA VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ

Giriş

Kişisel Verilerin Korunması Kanunu’nun 3. maddesine göre, veri sorumlusu; kişisel verilerin işlenme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin oluşturulması ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Tüzel kişiler, kişisel verileri işleme süreçlerinde doğrudan veri sorumlusu konumunda olup, bu kapsamda doğan hukuki yükümlülükler tüzel kişiliğin kendisine aittir. Bu durum, kamu hukuku tüzel kişileri ile özel hukuk tüzel kişileri arasında herhangi bir farklılık göstermemektedir.

Veri Sorumlusunun Yükümlülükleri Nelerdir?

Aydınlatma Yükümlülüğü

Kişisel Verilerin Korunması Kanunu (‘‘KVKK’’ ve/veya ‘‘Kanun’’), bireylere kişisel verilerinin kim tarafından, hangi amaçlarla, hangi hukuki sebeplerle işlendiğini, kimlere ve hangi amaçlarla aktarılabileceğini öğrenme hakkı tanır. Bu hak, veri sorumlusunun aydınlatma yükümlülüğü çerçevesinde sağlanır. Aydınlatma yükümlülüğü, veri sorumlusunun veya yetkilendirdiği kişinin kişisel verilerin elde edilmesi aşamasında ilgili kişiye; (i) veri sorumlusunun kimliği, (ii) kişisel verilerin işlenme amacı, (iii) kimlere ve hangi amaçlarla aktarılacağı, (iv) kişisel verilerin nasıl toplandığı, (v) veri işleme faaliyetinin dayandığı hukuki sebeplerin neler olduğu ve (vi) bireylerin Kanun kapsamında sahip olduğu haklara ilişkin bilgilendirme yapılmasını zorunlu kılmaktadır.

Kanun’un 11. maddesi uyarınca bireyler, veri sorumlusuna başvurarak kişisel verilerinin işlenip işlenmediğini öğrenme, işlenmişse bu veriler hakkında bilgi talep etme, verilerin işlenme amacını sorgulama, verilerin kimlere aktarıldığını öğrenme, eksik veya hatalı işlenmiş verilerin düzeltilmesini isteme, verilerin silinmesini veya yok edilmesini talep etme, kişisel verilerinin aktarılmasına ilişkin yapılan işlemlerin bildirilmesini isteme, ve otomatik sistemlerle analiz edilen veriler sonucunda aleyhine bir durum oluşursa itiraz etme gibi haklara sahiptir. Ayrıca, ilgili kişinin Kanun’a aykırı işleme nedeniyle zarara uğraması durumunda, zararların giderilmesini talep etme hakkı da mevcuttur.

Veri sorumlusu, aydınlatma yükümlülüğünü yerine getirirken, tüm bilgilendirmeleri açık, anlaşılır ve sade bir dille yapmalıdır. Ayrıca, kişisel verilerin işlenme amacı değişirse, bu yeni amaç için yeniden bilgilendirme yapılmalıdır. Eğer veri sorumlusunun farklı birimleri verileri farklı amaçlarla işliyorsa, her bir birim için ayrı ayrı aydınlatma yapılması gerekir. Veri sorumlusu, aydınlatma yükümlülüğünü yerine getirdiğini ispatlamak zorundadır ve bu yükümlülük, ilgili kişinin talep etmesine gerek kalmadan yerine getirilmelidir.

Aydınlatma yükümlülüğünün yerine getirilmemesi, Kanun’a aykırı bir işlem olarak kabul edilir ve veri sorumlusuna 2025 yılı itibariyle 68.083,00 TL ile 1.362.021,00 TL arasında idari para cezası uygulanabilir.

Veri Sorumluları Siciline Kayıt Yükümlülüğü

Veri Sorumluları Sicili (VERBİS), veri sorumlularının kayıt altına alındığı ve veri işleme faaliyetlerini beyan ettikleri bir sistemdir. Kanun gereği, veri sorumlularının belirlenen tarihler doğrultusunda bu sicile kaydolması zorunludur. Başvurular; veri sorumlusunun kimlik bilgileri, veri işleme amaçları, işlenen veri kategorileri, alıcı grupları ve veri güvenliği tedbirlerini içeren bir bildirimle yapılır.

Belirli durumlarda VERBİS’e kayıt zorunluluğu bulunmamaktadır. Kişisel verilerin sadece kişisel veya aile içi amaçlarla işlenmesi, anonim hale getirilerek bilimsel araştırma ve istatistik amaçlı kullanılması, milli güvenlik, kamu düzeni ve yargı süreçleri gibi konular bu kapsamda değerlendirilir.

Kayıt yükümlülüğüne uymayan veri sorumlularına uygulanacak idari para cezaları 2025 yılı itibariyle 272.380,00 TL ile 13.620.402,00 TL arasında düzenlenmiştir. Sicile zamanında kaydolmamak, yanlış bilgi vermek veya değişiklikleri bildirmemek yaptırım sebebidir.

Veri Güvenliğine İlişkin Yükümlülükler

Veri sorumlusu, kişisel verilerin hukuka aykırı işlenmesini ve erişimini önlemek, verilerin güvenli şekilde muhafazasını sağlamakla yükümlüdür. Bu kapsamda, uygun güvenlik düzeyini sağlamak için gerekli teknik ve idari tedbirleri almalıdır. Kişisel veriler başka bir kişi veya kurum tarafından işleniyorsa, veri sorumlusu bu kişilerle birlikte müştereken sorumludur. Kanun, veri sorumlusuna denetim yükümlülüğü de getirmektedir. Bu denetimler kurum içinde yapılabileceği gibi, dışarıdan bir kişi veya kuruluş aracılığıyla da gerçekleştirilebilir. Ayrıca, kişisel veriler hukuka aykırı şekilde ele geçirildiğinde, durum en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurulu’na bildirilmelidir.

Veri güvenliği tedbirleri, veri sorumlusunun faaliyet alanı, iş büyüklüğü ve işlediği verinin niteliğine göre belirlenmelidir. Kanuna aykırı hareket edenler hakkında 204.285,00 TL ile 13.620.402,00 TL arasında idari para cezası uygulanabilir.

İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü

Veri sorumlusu, ilgili kişilerin taleplerini en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırmalıdır. Ancak, işlemin ek bir maliyet gerektirmesi durumunda, Kurul tarafından belirlenen tarifeye göre ücret talep edilebilir. Talep kabul edilir veya gerekçesi açıklanarak reddedilir ve sonuç, yazılı ya da elektronik ortamda ilgili kişiye bildirilir. Talep veri sorumlusunun hatasından kaynaklanıyorsa, alınan ücret iade edilir. Başvurunun reddedilmesi, eksik cevap verilmesi veya süresinde yanıtlanmaması hâlinde, ilgili kişi 30 gün içinde veri sorumlusunun cevabını öğrendiği tarihten itibaren ve her durumda 60 gün içinde Kurula şikâyette bulunabilir.

Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü

Kurul, şikâyet üzerine veya bir ihlal iddiasını öğrenmesi hâlinde inceleme yaparak hukuka aykırılık tespit ederse, veri sorumlusunun durumu düzeltmesine karar verir ve bunu ilgililere bildirir. Veri sorumlusu, en geç 30 gün içinde bu kararı yerine getirmek zorundadır. Kanun’a aykırı hareket edenler hakkında 340.476 TL ile 13.620.402 TL arasında idari para cezası uygulanabilir.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi

Veri sorumlusu, kişisel verilerin işlenme sebepleri ortadan kalktığında bu verileri silmek, yok etmek veya anonim hale getirmekle yükümlüdür. Burada farklı şekilde tanımlanan üç kavram mevcuttur. Kişisel verilerin silinmesi, ilgili kullanıcıların hiçbir şekilde erişemeyeceği ve tekrar kullanamayacağı hale getirilmesidir. Yok etme işlemi, verilerin tamamen geri getirilemez ve erişilemez hale getirilmesini ifade eder. Anonim hale getirme ise verilerin başka verilerle eşleştirilse dahi hiçbir şekilde gerçek bir kişiyle ilişkilendirilemeyecek hale getirilmesidir. Veri sorumlusu, tüm bu işlemler için gerekli teknik ve idari tedbirleri almak zorundadır. Veri sorumlusunun ilgili kişinin başvurusunu beklemeden her halükârda bu yükümlülüğü yerine getirme zorunluluğu mevcuttur. Ancak veri sorumlusu bu yükümlülüğünü yerine getirmezse ilgili kişi talepte bulunabilir.

Sonuç ve Değerlendirme

KVKK kapsamında veri sorumlusu, kişisel verilerin işlenmesine ilişkin tüm süreçlerin planlanması, yürütülmesi ve denetlenmesinden sorumludur. Bu nedenle veri sorumlularının, hukuki yükümlülükleri ve uygulanabilecek yaptırımların bilinciyle, mevzuata uygun veri işleme faaliyetleri yürütmesi ve etkin bir kişisel veri koruma uyum sistemi kurup sürdürmesi gerekmektedir.

Saygılarımızla,

Atabay Hukuk Bürosu

Son Yazı & Gelişmelerimiz

25 Ara. 2025

Arsa Payı Karşılığı İnşaat Sözleşmelerinde Nama İfaya İzin Davası

ARSA PAYI KARŞILIĞI İNŞAAT SÖZLEŞMELERİNDE NAMA İFAYA İZİN DAVASI Giriş Arsa payı karşılığı inşaat sözleşmelerinde arsa sahipleri, sahip oldukları arsa paylarının belirli bir kısmını yükleniciye...

25 Ara. 2025

Muris Muvazaası Nedeniyle Tapu İptal ve Tescil Davası

MURİS MUVAZAASI NEDENİYLE TAPU İPTAL VE TESCİL DAVASI Giriş Miras hukukunda sıkça karşılaşılan uyuşmazlıklardan biri, miras bırakanın vefatından sonra ortaya çıkan, halk arasında "mirastan mal...

25 Ara. 2025

Haksız Rekabet Halleri İle İşletmelerin Korunmasına Yönelik Haklar

HAKSIZ REKABET HALLERİ İLE İŞLETMELERİN KORUNMASINA YÖNELİK HAKLAR Giriş Modern ticari yapının sağlıklı biçimde işleyebilmesi serbest ve adil bir rekabet ortamının varlığına bağlıdır. Günümüz piyasa...

Kişisel Verilerin İşlenmesi Hakkında Aydınlatma Metni

6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca, işbu Aydınlatma Metni ilgili kişilerin Atabay Hukuk tarafından veri sorumlusu sıfatıyla işlenen kişisel verileri hakkında aydınlatılması amacıyla hazırlanmıştır. Atabay Hukuk kişisel verilerinize saygı duymaktadır ve kişisel verilerinizin güvenliğini sağlamak için mevcut mevzuat ve evrensel değerler çerçevesinde gereken tüm hassasiyeti azami ölçüde göstermektedir.

İşlenen Kişisel Verileriniz ve İşlenme Amaçları

Atabay Hukuk, kişisel verilerinizi, belirttiğiniz görüş ve talepler doğrultusunda sizinle iletişim kurulması, taleplerinizin yerine getirilmesi, sözleşme kurulması veya ifası, ispat yükümlülüğünün yerine getirilmesi veya hukuki yükümlülüklerin yerine getirilmesi amaçlarıyla güncel mevzuat çerçevesinde kanuni sınırlar ölçüsünde işlemektedir. Kişisel verileriniz anonimleştirilmek kaydı ile iç raporlama ve istatistik çalışmalar kapsamında işlenebilmektedir.

Kişisel Verilerinizin Toplanma Yöntemi ve İşlenmesinin Hukuki Sebebi

Kişisel Verilerinizin Aktarılması

Atabay Hukuk tarafından, ad soyadınız ve e-posta adresinizden oluşan kişisel veriniz ve bulunması halinde, “Konu” ve “Mesaj” kısımlarında belirttiğiniz diğer kişisel verileriniz, Kanun’un 8. maddesinde belirtilen kişisel veri işleme şartları kapsamında, işleme amaçlarının gerçekleştirilebilmesi için gerekli teknik hizmetlerin sağlanması amacıyla hizmet aldığımız üçüncü taraf şirkete aktarılabilecektir. Bunun yanında, kanunlar uyarınca bir kamu idaresinin, kişi, kurum ya da kuruluşun kişisel verilerinizi talep etmeye yetkili olması halinde kişisel verileriniz, kişisel verilerin korunması mevzuatına uygun olarak yetkili kişi, kurum veya kuruluşa aktarılabilecektir. Yargı mercilerinden gelen talepler de yine mevzuata uygun olarak karşılanacaktır.

Kişisel Verilerinizin Korunmasına İlişkin Haklarınız

İlgili kişi olarak Kanun’un 11. maddesi uyarınca aşağıdaki haklara sahip olduğunuzu bildiririz:

Kişisel verilerinizin işlenip işlenmediğini öğrenme,
Kişisel verileriniz işlenmişse, buna ilişkin bilgi talep etme,
Kişisel verilerinizin işlenme amacını ve kişisel verilerinizin işlenme amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini talep etme,
İlgili mevzuatta öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme,
İlgili mevzuat uyarınca yapılan düzeltme, silme ve yok edilme işlemlerinin, kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen kişisel verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle sizin aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde, zararın giderilmesini talep etme

Yukarıda sıralanan haklarınıza ilişkin taleplerinizi [email protected] veya [email protected] aracılığı ile iletebilirsiniz. Talebinizin niteliğine göre en kısa sürede ve en geç otuz gün içinde başvurularınız ücretsiz olarak sonuçlandırılacaktır; ancak işlemin ayrıca bir maliyet gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenecek tarifeye göre tarafınızdan ücret talep edilebilecektir.

İş Başvurusu

Kişisel Verilerin İşlenmesi Hakkında Aydınlatma Metni

İşlenen Kişisel Verileriniz ve İşlenme Amaçları

Atabay Hukuk, www.atabayhukuk.com.tr internet sitesinde yer alan iş başvuru formunu doldurmanız halinde, iş başvurunuz kapsamında, ad-soyadınız, e-posta adresiniz, telefon numaranız ve özgeçmişinizden oluşan kimlik, iletişim ve özlük kategorilerine ait kişisel verilerinizi işlemektedir. Tarafımıza ilettiğiniz özgeçmişinizde Kanun’un 6. maddesi uyarınca özel nitelikli kişisel veriler olarak adlandırılan, ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verilerinizin ve biyometrik ve genetik verilerinizin paylaşılmamasını rica ederiz. Özgeçmişinizde özel nitelikli kişisel verilerinize yer vermeniz halinde işbu verilerinizin işlenmesi için açık rıza gösterdiğiniz kabul edilecektir. Atabay Hukuk özgeçmişinizde yer alması halinde özel nitelikli kişisel verilerinizi işlemeyecektir ve bu verileri imha edecektir. Atabay Hukuk, belirtilen kişisel verilerinizi, iş başvurunuzun değerlendirilmesi ve işe alınacak çalışan adayının belirlenmesi amacıyla sınırlı olarak işlemektedir.

Kişisel Verilerinizin Toplanma Yöntemi ve İşlenmesinin Hukuki Sebebi

Yukarıda belirtilen kişisel verileriniz www.atabayhukuk.com.tr internet sitesi aracılığıyla tarafınızdan sağlanmaktadır. Atabay Hukuk, belirtilen kişisel verilerinizi, Kanun’un 5. maddesinde belirtilen kişisel veri işleme şartları kapsamında, iş sözleşmesinin kurulması, iş başvuru sürecinin yürütülmesi ve temel hak ve özgürlüklerinize zarar vermemek kaydıyla, Atabay Hukuk’un meşru menfaatleri için işlemenin zorunlu olması hukuki sebebine dayanılarak işlenmektedir.

Kişisel Verilerinizin Aktarılması

Atabay Hukuk tarafından, ad-soyadınız, e-posta adresiniz, telefon numaranız ve özgeçmişinizden oluşan kişisel veriniz, Kanun’un 8. maddesinde belirtilen kişisel veri işleme şartları kapsamında, işleme amaçlarının gerçekleştirilebilmesi için gerekli hizmetlerin sağlanması amacıyla hizmet aldığımız üçüncü taraf şirkete aktarılabilecektir.

Bunun yanında, kanunlar uyarınca bir kamu idaresinin, kişi, kurum ya da kuruluşun kişisel verilerinizi talep etmeye yetkili olması halinde kişisel verileriniz, kişisel verilerin korunması mevzuatına uygun olarak yetkili kişi, kurum veya kuruluşa aktarılabilecektir. Yargı mercilerinden gelen talepler de yine mevzuata uygun olarak karşılanacaktır. Türk hukuku kapsamındaki söz konusu yükümlülükler doğduğunda, bahse konu veri işleme faaliyetinin yasal dayanağı, hukuki yükümlülüğe uyum veya sair surette, herhangi bir hakkın tesisi, kullanılması veya korunmasıdır.

Kişisel Verilerinizin Korunmasına İlişkin Haklarınız

İlgili kişi olarak Kanun’un 11. maddesi uyarınca aşağıdaki haklara sahip olduğunuzu bildiririz:

Kişisel verilerinizin işlenip işlenmediğini öğrenme,
Kişisel verileriniz işlenmişse, buna ilişkin bilgi talep etme,
Kişisel verilerinizin işlenme amacını ve kişisel verilerinizin işlenme amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini talep etme,
İlgili mevzuatta öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme,
İlgili mevzuat uyarınca yapılan düzeltme, silme ve yok edilme işlemlerinin, kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen kişisel verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle sizin aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde, zararın giderilmesini talep etme