Anasayfa/ Makale/ Şirketlerin KVKK ve GDPR Kapsamında Hukuki...

Makale

Kişisel verilerin ekonomik bir değere dönüşmesiyle şirketler, KVKK ve GDPR kapsamında veri sorumlusu veya veri işleyen sıfatıyla sıkı hukuki yükümlülüklere tabi tutulmuştur. Bu makale, şirketlerin aydınlatma, VERBİS kayıt, veri koruma etki değerlendirmesi ve ihlal bildirim süreçleri gibi temel hukuki sorumluluklarını detaylıca incelemektedir.

Şirketlerin KVKK ve GDPR Kapsamında Hukuki Yükümlülükleri

GDPR (GENEL VERİ KORUMA TÜZÜĞÜ) AYDINLATMA YÜKÜMLÜLÜĞÜ AÇIK RIZA KVKK

Dijitalleşen iş dünyasında kişisel verilerin yepyeni bir sermaye niteliği kazanması, şirketlerin hukuki statüsünü ve sorumluluklarını köklü bir biçimde değiştirmiştir. Modern ticaret hayatında şirketler, kâr amacı güden organizasyonlar olarak faaliyetlerini sürdürürken muazzam bir veri işleme kapasitesine ulaşmışlardır. Gerek Kişisel Verilerin Korunması Kanunu gerekse Avrupa Genel Veri Koruma Tüzüğü sistematiği, veri trafiğinin başat aktörleri konumundaki bu tüzel kişileri veri sorumlusu veya veri işleyen sıfatıyla merkeze almaktadır. Bir şirketin, hukuka uygun, adil ve şeffaf bir veri yönetişim çerçevesi kurabilmesi için elde ettiği verilerin koruma mevzuatı kapsamına girip girmediğini doğru tespit etmesi hayati önem taşır. Bu bağlamda, modern veri koruma kültürü, şirketleri yalnızca kural ihlallerinden kaçınmaya değil, aynı zamanda önleyici hukuk mantığı çerçevesinde proaktif idari, teknik ve hukuki tedbirler almaya zorlamaktadır. Özellikle rekabet ve ticaret sınırlarının şeffaflaşması, çok uluslu veri akışlarını yapısal veri koruma modeline entegre etmeyi hukuki bir zorunluluk haline getirmiştir.

Şirketlerin Veri Sorumlusu ve Veri İşleyen Sıfatıyla Sınırları

Hukuki uyuşmazlıkların çözümünde şirketlerin sorumluluk sınırları, veri işleme amaç ve vasıtalarını belirleme kudretine göre tayin edilmektedir. Şirket, kişisel verilerin neden ve nasıl işleneceğine ilişkin karar verme yetkisine sahipse veri sorumlusu sıfatını kazanır. Buna karşılık, yalnızca veri sorumlusunun verdiği yetkiye ve talimatlara dayanarak onun adına işlem yapan şirketler veri işleyen konumundadır. Bu ayrım hukuki açıdan son derece kritiktir; zira veri işleyen bir şirket, yetki sınırlarını aşıp bizzat amaç ve araç belirlemeye başlarsa hukuken veri sorumlusu olarak değerlendirilir ve buna göre yaptırıma tabi tutulur. Aynı zamanda, birden fazla şirketin işleme amaç ve yöntemlerini birlikte belirlediği hallerde, taraflar mevzuat karşısında ortak veri sorumlusu olarak müteselsil sorumluluk altına girmektedir. Grup şirketleri uygulamasında ise salt aynı veri tabanının kullanılması şirketleri otomatik olarak ortak veri sorumlusu yapmaz; her bir şirketin veriler üzerindeki bağımsız karar alma yetkisi kendi tüzel kişiliği nezdinde ayrı bir sorumluluk doğurur.

Aydınlatma Yükümlülüğü ve Açık Rızanın Temini

Kişisel veri işleme faaliyetlerinde temel hukuka uygunluk sebebi olan açık rıza, bireyin kendi verisinin geleceğini tayin etme hakkının en önemli uzantısıdır. Şirketlerin, rızanın hukuken geçerli olabilmesi için ilgili kişiyi aydınlatma yükümlülüğü çerçevesinde; veri sorumlusunun kimliği, işleme amacı, aktarım yapılacak alıcılar ve ilgili kişinin hakları konusunda net, şeffaf ve anlaşılır bir dille bilgilendirmesi emredici bir kuraldır. Şirketlerin dijital mecralarda önceden işaretlenmiş kutucuklar vasıtasıyla rıza almaya çalışması hukuka aykırı kabul edilmekte, bunun yerine ilgili kişinin aktif ve olumlu bir irade beyanını yansıtan tercihli onay yöntemi zorunlu kılınmaktadır. Ayrıca, hizmetin veya malın alımının salt rıza verilmesi şartına bağlanması, irade serbestisini ortadan kaldıracağından elde edilen rızayı sakatlar. Şirketlerin aydınlatma metni ile açık rıza işlemlerini kesinlikle birbirinden ayrı tutmaları ve her bir hukuka uygunluk nedenini sözleşme gereklilikleri ekseninde özenle tasnif etmeleri şarttır.

Veri Koruma Etki Değerlendirmesi ve Şeffaflık İlkesi

Avrupa mevzuatının getirdiği ve şirketler açısından hayati öneme sahip olan risk ve hesap verebilirlik denkleminin temelini veri koruma etki değerlendirmesi oluşturmaktadır. Bu prosedür, işleme faaliyetlerinin gerçek kişilerin hak ve özgürlükleri bakımından doğurabileceği yüksek riskleri henüz tasarım aşamasındayken, diğer bir ifadeyle başlangıçtan ve tasarımdan itibaren veri koruması prensibiyle bertaraf etmeyi amaçlar. Şirketler, profilleme, otomatik karar alma mekanizmaları veya özel nitelikli verilerin geniş çapta işlenmesi gibi faaliyetlerde bulunmadan önce, olası riskleri analiz etmek ve bu risklere karşı alacakları idari ve teknik tedbirleri belgelendirmek zorundadır. Bu durum aynı zamanda şirketlerin veri güvenliğini bir yasal külfetten ziyade, kurumsal bir hesap verebilirlik mekanizması olarak inşa etmesini gerektirir. Anılan değerlendirme süreci, yalnızca mevzuata uyum sağlamakla kalmaz, aynı zamanda şirketlerin aldıkları güvenlik önlemlerini hukuki denetim süreçlerinde objektif bir ispat aracı olarak mahkemelere sunabilmelerine olanak tanır.

Veri Sorumluları Siciline Kayıt ve İhlal Bildirim Süreçleri

Şirketlerin kamu otoritelerine ve veri sahiplerine karşı şeffaflığını sağlayan temel denetim mekanizmalarından biri veri sorumluları sicil bilgi sistemine kayıt yükümlülüğüdür. Şirketler, veri işlemeye başlamadan önce sicile kaydolmak ve kişisel veri işleme envanteri dâhilindeki bilgileri kamuya açıklamak zorundadır. Öte yandan, siber saldırı veya teknik arıza sonucu yaşanabilecek güvenlik zafiyetlerinde şirketlerin veri ihlali bildirimi yükümlülüğü doğar. İhlalin gerçek kişiler üzerinde risk yaratması halinde mevzuat kapsamında gecikmeksizin denetim makamına bildirim yapılmalıdır. Şirketlerin ihlal sonrası atması gereken adımlar şunlardır:

  • İhlalin boyutlarının ve potansiyel risklerin ivedilikle objektif bir risk değerlendirmesine tabi tutulması.
  • Riskin azaltılması ve ihlalin durdurulması için gerekli teknik ve idari güvenlik tedbirlerinin devreye sokulması.
  • Yetkili makamlara ve riskin yüksek olduğu durumlarda mağduriyetin önlenmesi adına veri sahiplerine yasal bildirimlerin yapılması.

Yurt Dışına Veri Aktarımı ve Şirket İçi Hukuki Tedbirler

Modern iş süreçlerinde e-ticaret, bulut sunucu kullanımı ve uluslararası yazışmalar, kişisel verilerin sınır ötesi transferini rutin bir işlem haline getirmiştir. Ancak yasal düzenlemeler, veri sahibinin sahip olduğu hukuki korumanın, verinin aktarıldığı ülkede de zayıflatılmadan sürdürülmesini emreder. Bu nedenle şirketler, yurt dışına kişisel veri aktarımı yaparken; ilgili ülkenin yeterlilik kararına sahip olup olmadığını denetlemeli, yeterlilik yoksa standart sözleşme hükümleri veya bağlayıcı şirket kuralları gibi ek idari ve hukuki güvenceleri tesis etmelidir. Veriyi yurt dışına transfer eden şirket, alıcının veri koruma kurallarını ihlal etmeyeceğini taahhüt altına almalı ve hesap verebilirlik ilkesi doğrultusunda bu durumu ispatlamalıdır. Sonuç olarak, bir şirketin yasal yaptırımlardan ve ciddi tazminat risklerinden korunabilmesi için, veri koruma görevlisi atanması başta olmak üzere, dinamik bir veri koruma konseptini şirket içi süreçlerine eksiksiz bir biçimde entegre etmesi yasal bir gerekliliktir.

5 dk okuma Yayınlanma: Güncelleme: