Veri Sorumlusunun Yükümlülükleri Nelerdir?

Veri Sorumlusunun Yükümlülükleri Nelerdir?

Bir işletme olarak kişisel veri işlemeye başladığınız an, örneğin bir müşterinizden basit bir e-posta adresi aldığınızda, otomatik olarak “veri sorumlusu” unvanını kazanırsınız. Bu rol, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca, elinizdeki verilerin hukuka uygun işlenmesinden ve güvenliğinin sağlanmasından doğrudan sorumlu olduğunuz anlamına gelir. Kısacası, veri sorumlusunun yükümlülükleri yasal bir formaliteden çok daha fazlasıdır; müşteri güvenini ve şirket itibarını ayakta tutan temel görevlerdir.

Veri sorumlusu kimdir ve temel sorumlulukları nelerdir?

“Veri sorumlusu” kavramı, ilk bakışta kulağa sadece büyük teknoloji şirketlerini veya bankaları ilgilendiren teknik bir terim gibi gelebilir. Ancak işin aslı öyle değil. Kişisel verilerin hangi amaçla ve nasıl işleneceğine karar veren her gerçek veya tüzel kişi, bu tanımın tam içine girer.

Şöyle düşünelim: Bir e-ticaret siteniz var ve müşterinizin adını, adresini ve telefon numarasını siparişi teslim etmek için alıyorsunuz. İşte bu noktada, bu verileri hangi amaçla (sipariş teslimi) ve hangi yöntemlerle (web sitenizdeki form aracılığıyla) toplayacağınıza siz karar verdiğiniz için bir veri sorumlusu olursunuz. Aynı mantıkla, bir spor salonu üye kayıtlarını tutarken ya da bir klinik hasta bilgilerini yönetirken de bu sorumluluğu üstlenmiş olur.

KVKK’ya göre kişisel veri, “kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgi” demektir. Bu tanım, bir kişinin cep telefonu numarasını kapsarken, bir şirketin santral numarasını kapsamaz. Bu ince ayrım, sorumluluklarınızın nerede başlayıp nerede bittiğini anlamanız için hayati önem taşır.

Bu rolü üstlenmek, beraberinde bir dizi temel yükümlülüğü de getirir. Bu yükümlülükleri, şirketinizin veri işleme faaliyetlerini yasal bir zemine oturtan ve sizi olası ihlallerden koruyan bir yol haritası olarak görebilirsiniz.

Temel görevler ve sorumluluklar

Veri sorumlusu olmanın getirdiği görevler, veriyi sadece toplamakla bitmiyor. Aslında bu, verinin tüm yaşam döngüsünü yönetmeyi kapsayan bir süreç. İşletmenizin büyüklüğü ne olursa olsun, aşağıdaki temel sorumlulukları eksiksiz yerine getirmelisiniz.

• Aydınlatma Yükümlülüğü: Verisini topladığınız kişilere (yani ilgili kişilere), bu verileri kim olduğunuzu, ne amaçla ve hangi yasal gerekçeyle işlediğinizi, kimlere aktarabileceğinizi açık ve anlaşılır bir dille anlatmalısınız. Genellikle web sitelerindeki gizlilik politikaları veya üyelik formlarındaki aydınlatma metinleri bu işi görür.
• Veri Güvenliğini Sağlama: Topladığınız kişisel verileri yetkisiz erişimlere, sızıntılara veya kazara kaybolmaya karşı korumak için gerekli teknik ve idari tedbirleri almanız şart. Bu, güçlü şifreler kullanmaktan tutun da çalışanlarınızı bu konuda eğitmeye kadar uzanan geniş bir sorumluluk alanı demektir.
• Hukuka Uygun İşleme: Kişisel verileri sadece belirli, açık ve meşru amaçlar için işleyebilirsiniz. Yaptığınız her veri işleme faaliyeti, kanunda sayılan hukuki dayanaklardan birine (örneğin bir sözleşmenin kurulması, yasal bir zorunluluk veya kişinin açık rızası) dayanmalıdır.
• İlgili Kişi Haklarına Saygı: Veri sahiplerinin, verilerinin silinmesini isteme, düzeltilmesini talep etme veya işlenmesine itiraz etme gibi hakları bulunur. Size ulaşan bu tür taleplere yasal süreler içinde (genellikle 30 gün) yanıt vermek zorundasınız.

Bu yükümlülükler, şirketinizin yalnızca yasalara uymasını sağlamakla kalmaz, aynı zamanda finansal yönetim gibi diğer kritik iş süreçlerinde de daha disiplinli olmanıza yardımcı olur. Örneğin, şirketinizin mali sağlığını yönetirken doğru adımları atmak için hazırladığımız https://workon.com.tr/blog/yillik-gelir-vergisi-rehberi/ içeriğimize göz atarak finansal yükümlülüklerinizi de planlayabilirsiniz. Bu bütüncül bakış açısı, işinizin her alanında riskleri en aza indirmenizi sağlar.

KVKK kapsamındaki temel yükümlülüklerinizi daha net görebilmeniz için aşağıdaki özet tabloyu hazırladık. Bu tablo, en kritik görevlerinizi ve ilgili kanun maddelerini bir arada sunarak size pratik bir rehber olmayı amaçlıyor.

Veri Sorumlusunun Ana Yükümlülükleri Özet Tablosu

Bu tablo, veri sorumlusu olarak atmanız gereken adımların bir özeti niteliğindedir. Her bir yükümlülüğün kendi içinde detayları olduğunu ve işletmenizin özel durumuna göre ek adımlar gerekebileceğini unutmamak önemlidir. KVKK uyum süreci, tek seferlik bir görev değil, sürekli dikkat ve özen gerektiren bir sorumluluktur.

Aydınlatma yükümlülüğü ve geçerli rıza alma

Veri sorumlusunun belki de en temel görevlerinden biri olan aydınlatma, çoğu zaman bir formalite gibi görülüp geçiştirilir. Halbuki bu, aslında müşteriyle aranızdaki güveni inşa etmenin ilk ve en kritik adımıdır. Aydınlatma, kullanıcının önüne upuzun, kimsenin okumadığı yasal bir metin yığmaktan çok daha öte bir anlam taşır. Bu bir nevi şeffaflık sanatıdır; “Evet, verilerini alıyorum ama işte tam olarak bu yüzden alıyorum ve bu şekilde kullanacağım” demenin en dürüst yoludur.

Bu yükümlülüğün asıl amacı, kontrolü yeniden veri sahibinin, yani müşterinizin eline vermektir. Bir e-ticaret sitesinin ödeme sayfasında ya da bir mobil uygulamanın kayıt formunda karşısına çıkan o metin, kullanıcıya verilerinin geleceği hakkında net bir yol haritası sunmalıdır. Bu sadece yasal bir zorunluluk değil, aynı zamanda markanızın ne kadar güvenilir olduğunu gösteren samimi bir iletişimdir.

Türkiye’deki veri sorumluları için bu görev, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile net bir şekilde tanımlanmıştır. Kanuna göre, kişisel verileri toplarken ilgili kişilere; veri sorumlusunun kim olduğunu, verileri neden işlediğini, kimlere aktarabileceğini, veriyi nasıl ve hangi hukuki sebeple topladığını açık ve anlaşılır bir dille anlatmak zorundasınız. Kurumların KVKK kapsamındaki genel sorumlulukları hakkında daha fazla bilgi edinerek bu konudaki bilginizi pekiştirebilirsiniz.

Aydınlatma metninde bulunması gerekenler

İyi hazırlanmış bir aydınlatma metni, kullanıcının aklında tek bir soru işareti bile bırakmamalıdır. Neyse ki KVKK’nın 10. maddesi bu konuda bize net bir çerçeve çiziyor. Hazırlayacağınız metinlerin şu temel bilgileri içermesi şart:

• Veri Sorumlusunun Kimliği: Şirketinizin resmi unvanı, adresi, telefonu gibi temel kimlik bilgileriniz net bir şekilde yazmalı.
• İşleme Amacı: Bu verileri neden istiyorsunuz? “Siparişinizi adresinize teslim etmek için,” “size özel kampanyalardan haberdar etmek için” gibi somut ve anlaşılır amaçlar belirtmelisiniz.
• Aktarım Bilgileri: Verileri üçüncü bir tarafa, örneğin kargo şirketine veya ödeme altyapısı sunan bir kuruma aktarıyor musunuz? Öyleyse bu tarafların kim olduğunu ve verileri neden onlarla paylaştığınızı açıkça ifade etmelisiniz.
• Toplama Yöntemi ve Hukuki Sebebi: Veriyi nereden ve nasıl topladığınızı (örneğin web sitesindeki bir formla, mobil uygulama aracılığıyla vb.) ve bunu hangi yasal dayanağa (bir sözleşmenin yerine getirilmesi, kanuni zorunluluk, açık rıza vb.) göre yaptığınızı belirtmelisiniz.
• İlgili Kişinin Hakları: Veri sahibinin KVKK’nın 11. maddesinde sıralanan haklarını (verilerinin silinmesini isteme, düzeltilmesini talep etme gibi) ona hatırlatmalısınız.

Açık rıza ne zaman ve nasıl alınmalı?

Aydınlatma yükümlülüğü her durumda bir zorunlulukken, açık rıza her veri işleme faaliyeti için gerekli değildir. Açık rızayı, kanundaki diğer işleme şartları (mesela bir sözleşmenin kurulması veya yasal bir yükümlülük gibi) ortada yokken kullanacağınız bir “joker kart” gibi düşünebilirsiniz.

Örneğin, bir müşterinizin siparişini kargolamak için adresini aldığınızda onun açık rızasına ihtiyacınız olmaz. Çünkü bu durum, yasanın “bir sözleşmenin ifası” olarak tanımladığı kapsama girer. Fakat aynı müşteriye, yaptığı alışverişle hiç ilgisi olmayan pazarlama e-postaları göndermek istediğinizde, işte o zaman devreye açık rıza girer ve bunu ayrıca istemeniz gerekir.

Geçersiz Rıza Tuzağı: “Bu kutucuğu işaretleyerek tüm pazarlama iletişimlerini kabul etmiş olursunuz” gibi ifadelerin yer aldığı, önceden işaretlenmiş kutucuklar kullanmak, KVKK açısından geçerli bir rıza alma yöntemi değildir. Rıza, kişinin tamamen özgür iradesiyle, bilinçli ve aktif bir eylemle (örneğin boş bir kutucuğu bizzat kendisinin işaretlemesiyle) verilmelidir. Bu tür oldubittiler, ciddi yasal yaptırımlarla karşılaşmanıza neden olabilir.

Geçerli bir açık rıza altyapısı şu temel özelliklere sahip olmalıdır:

• Belirli Bir Konuya İlişkin Olma: “Her şeye izin veriyorum” gibi genel ifadelerle alınan rızalar geçersizdir. Rızanın hangi amaç için istendiği net olmalıdır (örneğin, “e-posta ile kampanya bildirimleri için”, “SMS ile bilgilendirme için” gibi ayrı ayrı).
• Bilgilendirmeye Dayanma: Kişi, neye rıza verdiğini tam olarak anlamalı. Bu yüzden rıza mekanizması, aydınlatma metniyle doğrudan bağlantılı olmalı ve kişiyi o metne yönlendirmelidir.
• Özgür İradeyle Açıklanma: Kullanıcıya rıza vermeyi reddetme seçeneği sunulmalı ve bu tercih, (hizmetin doğası gereği zorunlu bir durum yoksa) alacağı hizmeti engellememelidir.

Kısacası aydınlatma ve rıza alma süreçleri, veri sorumlusunun yükümlülükleri arasında en çok dikkat edilmesi gereken, en hassas konulardır. Bu iki mekanizmayı doğru bir şekilde hayata geçirmek, sizi sadece olası yasal cezalardan korumakla kalmaz, aynı zamanda müşteri sadakati ve marka itibarınız için de sağlam bir temel oluşturur.

Veri güvenliği için uygulanması gereken teknik ve idari tedbirler

Veri sorumlusunun yükümlülükleri arasında belki de en dinamik ve sürekli dikkat gerektiren konu, veri güvenliğidir. Bu meseleyi sadece IT departmanının ilgilendiği teknik bir iş olarak görmek, yapılabilecek en büyük hatalardan biri. Aslında veri güvenliği, tüm şirketinizin itibarını ve müşterilerinizin size duyduğu güveni koruyan çok katmanlı bir zırhtır. Bu zırh hem dışarıdan sızmaya çalışan siber saldırılara hem de içeriden kaynaklanabilecek basit bir insan hatasına karşı sizi korumalı.

Peki bu korumayı nasıl sağlayacağız? Cevap, KVKK’nın da altını kalın bir çizgiyle çizdiği gibi, teknik ve idari tedbirleri bir bütün olarak ele almaktan geçiyor. Bu iki tedbir türünü, sağlam bir kalenin savunma sistemleri gibi düşünebilirsiniz. Teknik tedbirler kalenin yüksek duvarları, çelik kapıları ve karmaşık kilitleriyse; idari tedbirler de o kaledeki nöbetçilerin eğitimi, devriye planları ve kimin nereye girebileceğini belirleyen kurallardır. Biri olmadan diğeri tek başına kaleyi koruyamaz.

KVKK, veri sorumlularının “uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak” zorunda olduğunu söylüyor. Bu ifade, veri güvenliğinin tek bir sihirli formülle değil, şirketinizin risklerine özel, sürekli güncellenen bir önlemler bütünüyle sağlanabileceğini net bir şekilde ortaya koyuyor.

Şimdi bu iki hayati savunma hattını, her işletmenin kendi bünyesinde uygulayabileceği somut ve pratik adımlara dökelim.

Teknik tedbirler: Siber saldırıların kalkanı

Teknik tedbirler, işin donanım ve yazılım kısmıdır; yani veri güvenliğinin temelini oluşturur. Bu önlemlerin amacı, teknolojik araçlar kullanarak kişisel verilere yetkisiz erişimi, verilerin bozulmasını veya yok edilmesini engellemektir. Bu alanda atılabilecek en temel ve etkili adımlar şunlar:

• Yetki Matrisi ve Kontrolü: “Herkes her dosyayı açabilsin” mantığı, veri güvenliğindeki en tehlikeli yaklaşımdır. Bir satış uzmanının muhasebe kayıtlarına ya da bir stajyerin tüm müşteri veritabanına erişmesine gerçekten gerek var mı? Bir yetki matrisi oluşturarak her çalışanın yalnızca kendi işi için mutlaka gerekli olan verilere erişmesini sağlarsınız. “Bilmesi gereken” prensibi olarak bilinen bu yöntem, olası bir iç sızıntının yaratacağı hasarı en başından sınırlar.
• Şifreleme (Kriptografi): Şifreleme, verilerinizi ele geçirilse bile okunamaz hale getiren matematiksel bir kalkandır. Özellikle dizüstü bilgisayarlar, harici diskler ve sunucular gibi fiziksel cihazlarda tutulan verilerin şifrelenmesi, bu cihazların çalınması ya da kaybolması durumunda bile veri mahremiyetini korur.
• Ağ Güvenliği: Sağlam bir güvenlik duvarı (firewall) ve güncel antivirüs yazılımları, dışarıdan gelebilecek siber saldırılara ve zararlı yazılımlara karşı ilk savunma hattınızdır. Bu sistemlerin lisanslı ve sürekli güncel olduğundan emin olmak, yeni çıkan tehditlere karşı sizi her zaman hazır tutar.
• Sızma (Penetrasyon) Testleri: Sistemlerinizin gerçekten ne kadar güvenli olduğunu anlamanın en etkili yolu, onu bir saldırgan gibi test etmektir. Belirli aralıklarla profesyonel ekiplere yaptıracağınız sızma testleri, güvenlik zafiyetlerinizi kötü niyetli kişiler fark etmeden önce tespit edip kapatmanıza olanak tanır.

Bu teknik önlemler, dijital kalenizin duvarlarını örer. Ancak bu duvarların arkasında kimin nasıl davranacağını belirleyen kurallar olmadan, güvenlik tam anlamıyla sağlanmış sayılmaz. İşte burada idari tedbirler devreye giriyor.

İdari tedbirler: İnsan faktörünü yönetme sanatı

İdari tedbirler teknolojiyle değil, doğrudan insanla ve iş süreçleriyle ilgilidir. Unutmayın, en gelişmiş güvenlik sistemleri bile bilinçsiz bir çalışanın oltalama (phishing) e-postasındaki yanlış bir linke tıklamasıyla devre dışı kalabilir. İdari tedbirler, tam da bu “insan faktörü” riskini en aza indirmeyi amaçlar.

Çalışanlara Yönelik Adımlar

• KVKK Eğitimleri: İşe yeni başlayan her çalışana ve mevcut ekibe düzenli aralıklarla KVKK ve veri güvenliği farkındalık eğitimleri vermek bir seçenek değil, bir zorunluluktur. Bu eğitimler, çalışanların kişisel verinin ne olduğunu, neden bu kadar önemli olduğunu ve kendi görevlerindeki sorumluluklarını içselleştirmelerini sağlar.
• Gizlilik Taahhütnameleri: İş sözleşmelerine ek olarak, çalışanlardan görevleri gereği eriştikleri verileri koruyacaklarına ve şirket dışına sızdırmayacaklarına dair gizlilik taahhütnameleri imzalatmak, hem yasal bir güvence oluşturur hem de konunun ciddiyetini en başından vurgular.
• Disiplin Yönetmelikleri: Veri güvenliği ihlali durumunda ne gibi yaptırımların uygulanacağını net bir şekilde belirten disiplin yönetmelikleri hazırlamak, caydırıcı bir etki yaratır ve kuralların sadece kağıt üzerinde kalmasını engeller.

Aşağıdaki tablo, teknik ve idari tedbirlerin odak noktalarını ve somut örneklerini daha net anlamanıza yardımcı olacaktır.

Bu iki kanadı uyum içinde ve bir bütün olarak uygulamak, veri sorumlusunun yükümlülükleri kapsamında kurabileceğiniz en sağlam güvenlik yapısını oluşturur. Unutmayın, bu bir defalık bir proje değil, sürekli yaşayan, gelişen ve dikkat gerektiren bir süreçtir.

VERBİS kaydı ve veri envanteri hazırlama kılavuzu

Veri Sorumluları Sicil Bilgi Sistemi, yani kısa adıyla VERBİS kaydı ve buna bağlı olarak bir veri işleme envanteri (VİE) hazırlamak, çoğu zaman veri sorumlusunun yükümlülükleri arasında en göz korkutan adımlardan biri olarak görülür. Ama bu sürece, sıkıcı bir bürokrasi yığını gibi bakmak yerine, şirketinizin tüm veri damarlarını gösteren bir röntgen filmi gibi yaklaşın. Bu, aslında elinizdeki veriyi anlamak ve doğru yönetmek için müthiş bir şeffaflık aracıdır.

Bu adımlar, lafta kalan veri güvenliği söylemlerini ve hukuksal uyum kültürünüzü somut bir zemine oturtur. Süreci doğru yönettiğinizde, sadece olası idari para cezalarından paçayı kurtarmakla kalmaz, aynı zamanda iş süreçlerinizi çok daha verimli ve şeffaf bir hale getirirsiniz.

Kimler VERBİS kaydı yapmak zorunda?

KVKK, VERBİS kaydı için oldukça net sınırlar çizmiş durumda. Yani her işletme bu yükümlülük altına girmiyor. Kişisel Verileri Koruma Kurulu’nun belirlediği eşiklere göre, aşağıdaki iki şarttan en az birini karşılayan veri sorumlularının VERBİS’e kaydolması bir zorunluluk.

• Yıllık çalışan sayısı 50’den fazla olanlar.
• Yıllık mali bilanço toplamı 100 milyon TL’den fazla olanlar (Unutmayın, bu tutar belirli aralıklarla güncelleniyor).

Eğer bu iki şarttan hiçbirini karşılamıyorsanız, genel kural olarak VERBİS’e kayıt olma zorunluluğunuz yok demektir. Fakat bu durum, KVKK kapsamındaki diğer yükümlülüklerinizin ortadan kalktığı anlamına kesinlikle gelmez.

Önemli İstisna: Eğer ana faaliyet konunuz doğrudan özel nitelikli kişisel veri (örneğin sağlık verisi, biyometrik veri vb.) işlemekse, yukarıdaki çalışan sayısı veya mali bilanço şartlarına hiç bakılmaksızın VERBİS’e kaydolmak zorundasınız. Mesela, küçük bir tıp merkezi veya bir genetik test laboratuvarı, bu istisnanın en net örnekleridir.

Adım adım veri işleme envanteri hazırlama

Veri işleme envanteri (VİE), VERBİS kaydının adeta bel kemiğidir ve tüm KVKK uyum sürecinizin bir nevi özetidir. Bu envanter, şirketinizdeki “Hangi veriyi, kimden, neden alıyoruz, nerede tutuyoruz, ne kadar saklıyoruz ve en önemlisi nasıl koruyoruz?” gibi kritik soruların hepsine tek bir yerde cevap veren detaylı bir tablodur.

Envanteri bir binanın projesi gibi düşünebilirsiniz. Projesi olmadan sağlam bir bina inşa edilemeyeceği gibi, detaylı bir envanter olmadan da sağlam bir KVKK uyum yapısı kurmanız pek mümkün değil. İşte size pratik bir envanter oluşturmak için izleyebileceğiniz adımlar:

1. Departmanları Belirleyin: İlk iş, insan kaynakları, pazarlama, satış, muhasebe gibi veriyle haşır neşir olan tüm departmanlarınızı listelemek.
2. Veri Kategorilerini Tanımlayın: Her departmanın hangi tür verileri işlediğini netleştirin. Örneğin, İK için “kimlik bilgileri, iletişim bilgileri, özlük dosyası”; pazarlama için ise “iletişim bilgileri, müşteri işlem detayları” gibi.
3. İşleme Amaçlarını Yazın: Bu verileri tam olarak neden işlediğinizi açıkça ifade edin. “İş sözleşmesinin kurulması için”, “pazarlama faaliyetlerini yürütmek amacıyla” gibi net gerekçeler sunun.
4. Hukuki Sebebi Belirleyin: Her bir işleme faaliyetinizin yasal dayanağını belirtin. Bu, kanunda açıkça öngörülmesi, bir sözleşmenin ifası veya veri sorumlusunun meşru menfaati gibi bir sebep olabilir.
5. Saklama Süresini Tanımlayın: Verileri ne kadar süreyle saklayacağınızı netleştirin (örneğin, “iş ilişkisi devam ettiği sürece + yasal zorunluluk olan 10 yıl”).
6. Alıcı Gruplarını Listeleyin: Bu verileri kimlerle paylaştığınızı yazın (örneğin, “yetkili kamu kurumları”, “anlaşmalı tedarikçiler”).
7. Alınan Tedbirleri Belirtin: Son olarak, bu verileri korumak için aldığınız teknik ve idari tedbirleri ekleyin (örneğin, “şifreleme yöntemleri”, “erişim yetki kontrolü”).

Bu süreç, sadece şirketinizin veri haritasını çıkarmakla kalmaz, aynı zamanda hangi tür işletme yapısının size daha uygun olduğu konusunda da önemli ipuçları verebilir. Mesela, envanteri hazırlarken fark ettiğiniz operasyonel karmaşıklık, sizi farklı şirket türlerinin avantajlarını değerlendirmeye yönlendirebilir. Tam bu noktada, şahıs şirketi mi yoksa limited şirket mi kurmanın sizin için daha mantıklı olduğunu inceleyen rehberimiz yolunuza ışık tutabilir.

Bu yükümlülüklerin doğru bir şekilde uygulanması, sadece sizin şirketiniz için değil, ülkenin genel veri güvenliği ekosistemi için de büyük önem taşıyor. Türkiye’de hayata geçirilen bu kontroller sayesinde, 2023 yılı SGK verilerine göre kamu kurumları başta olmak üzere veri işleyen kuruluşlarda veri güvenliği riskleri önemli ölçüde engellenmiş ve veri sızıntılarında yaklaşık %15 oranında bir azalma sağlanmıştır. Kamu ve özel sektörün bu sorumlulukları eksiksiz yerine getirmesinin kişisel verilerin korunmasındaki önemini gösteren bu sonuçlar hakkında akademik araştırmalardan daha fazla bilgi alabilirsiniz.

Kişisel verilerin yurt dışına aktarılması

Globalleşen dünyada verilerin ülke sınırlarını aşması artık işin doğası gereği. Farkında olmasak da yurt dışı merkezli bir e-posta pazarlama servisi, bir CRM yazılımı ya da bulut depolama hizmeti kullandığımız anda aslında kişisel verileri yurt dışına aktarmış oluyoruz. İşte bu durum, veri sorumlusunun yükümlülükleri arasına bir de uluslararası uyum konusunu ekliyor.

Bu veri transferlerini yasal bir zeminde yönetmek, ilk bakışta karmaşık görünebilir. Ancak doğru adımlarla bu süreci kolayca yönetebilirsiniz. KVKK, bu konuda iki temel yol sunuyor: ya verisi işlenen kişinin açık rızasını alacaksınız ya da verinin gönderileceği ülkede yeterli korumanın sağlandığından emin olacaksınız. Bu iki şart, uluslararası veri akışının bel kemiğini oluşturur.

Yeterli koruma ve alternatif mekanizmalar

Peki, “yeterli koruma” ne demek? En basit haliyle, veriyi göndereceğiniz ülkenin veri koruma kanunlarının Türkiye’deki KVKK standartlarıyla aynı seviyede veya daha iyi olması anlamına geliyor. Kişisel Verileri Koruma Kurulu (Kurul), bu standartları karşılayan ülkeleri bir liste halinde yayımlıyor. Eğer veriyi bu listedeki bir ülkeye gönderiyorsanız, işiniz oldukça kolay.

Fakat bu listenin henüz çok kapsamlı olmaması, şirketleri farklı çözümler aramaya itiyor. İşte bu noktada en sık başvurulan yöntemlerden biri “taahhütname” oluyor.

Taahhütname, en temelde, veriyi gönderen Türkiye’deki şirket ile veriyi alan yurt dışındaki şirketin, aktarılan verileri KVKK standartlarına uygun şekilde koruyacaklarına dair Kurul’a yazılı bir güvence vermesidir. İki taraf arasında imzalanan bu belge, Kurul tarafından onaylandığında bağlayıcı bir sözleşme haline gelir.

Bu süreç, şirketinizin yurt dışı operasyonlarını yasal bir çerçeveye oturtmanın en güvenilir yollarından biridir. Yurt dışı işbirlikleri ve veri akışları, özellikle yeni bir şirket kurma aşamasındaki girişimciler için hayati önem taşır. Bu uluslararası süreçleri planlarken, yerel gereklilikleri de gözden kaçırmamak gerekir. Bu başlangıç aşamasında, şirket kuruluşu için gereken belgeler hakkındaki rehberimiz size yol gösterebilir.

2024 yönetmeliği ile gelen yenilikler

Neyse ki veri aktarım süreçleri, son dönemdeki mevzuat güncellemeleriyle daha yönetilebilir bir hale geldi. Özellikle 10 Temmuz 2024‘te yayımlanan “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik” ile veri sorumlusunun yükümlülükleri bu alanda çok daha net bir çerçeveye kavuştu.

Bu yönetmelik, taahhütname gibi mevcut mekanizmalara ek olarak “bağlayıcı şirket kuralları” ve “standart sözleşme” gibi yeni ve daha esnek yöntemler getirerek süreci bir hayli kolaylaştırdı. Bu güncellemeler sayesinde veri sorumluları, farklı iş senaryolarına uygun, daha çeşitli uyum seçeneklerine sahip oldu.

Bu düzenlemelerin ne kadar kritik olduğunu anlamak için rakamlara bakmak yeterli. 2024 yılında Kişisel Verileri Koruma Kurumu (KVKK) tarafından bildirilen veriler, ihbar, şikayet ve başvuru sayılarında bir önceki yıla göre %20’lik bir artış olduğunu ortaya koyuyor. Bu durum, hem veri sahiplerinin hakları konusunda bilinçlendiğini hem de denetimlerin sıkılaştığını net bir şekilde gösteriyor.

Veri ihlali bildirimi ve ilgili kişi taleplerini yönetme

En sağlam güvenlik kalkanları bile bazen bir darbe alabilir. Asıl önemli olan, böyle bir kriz anında panik yapmak yerine, önceden hazırlanmış bir acil durum planıyla hareket edebilmektir. Veri sorumlusunun yükümlülükleri sadece ihlalleri önlemekle sınırlı değil; bir ihlal olduğunda doğru adımları bilmeyi ve süreci profesyonelce yönetmeyi de kapsar. Bu, hem yasal itibarınızı hem de müşteri güvenini korumak adına kritik bir sorumluluktur.

Bir veri ihlali yaşandığını öğrendiğiniz anda, zaman sizin aleyhinize işlemeye başlar. Kanun, bu durumu tespit ettiğiniz andan itibaren en geç 72 saat içinde Kişisel Verileri Koruma Kurulu’na (Kurul) bildirmenizi şart koşuyor. Bu bildirim, kuru kuruya “saldırıya uğradık” demekten çok daha fazlasını içermeli. İhlalin ne zaman olduğu, nasıl fark edildiği, hangi tür verilerin etkilendiği ve olası sonuçları gibi detaylı bilgileri sunmanız gerekir.

Veri ihlali bildirim süreci

Kriz anında soğukkanlılıkla atılan doğru adımlar, hasarı en aza indirmenin anahtarıdır. Bu süreç, sadece Kurul’a yapılacak bildirimle bitmiyor. Eş zamanlı olarak, ihlalden etkilenen kişileri de doğru ve şeffaf bir şekilde bilgilendirmeniz büyük önem taşıyor.

• İç Değerlendirme: Vakit kaybetmeden ihlalin kaynağını ve kapsamını belirleyin. Güvenlik açığını kapatmak için teknik ekibinizi hemen devreye sokun.
• Kurul’a Bildirim: O kritik 72 saatlik süreyi kaçırmadan, Kurul’un istediği formatta resmi bildiriminizi yapın. Unutmayın, gecikme ek idari cezalara yol açabilir.
• İlgili Kişileri Bilgilendirme: Eğer ihlal, insanların hak ve özgürlükleri için yüksek bir risk taşıyorsa (mesela finansal bilgiler veya şifrelerin sızması gibi), bu kişileri de makul olan en kısa sürede doğrudan bilgilendirmelisiniz. Bu sayede onlara şifrelerini değiştirme veya hesaplarını kontrol etme gibi önleyici adımlar atma fırsatı vermiş olursunuz.

İlgili kişi taleplerini yanıtlama

Veri sorumluluğunuzun bir diğer önemli ayağı da veri sahiplerinden gelen talepleri yönetmektir. Bir müşteriniz size ulaşıp “Bana ait tüm verileri silin” ya da “Hakkımda hangi bilgileri sakladığınızı öğrenmek istiyorum” dediğinde, bu talebi yasal süreler içinde yanıtlamak zorundasınız. Kanun, bu tür başvuruları ücretsiz olarak sonuçlandırmanız için size en fazla 30 günlük bir süre tanır.

Aşağıdaki akış şeması, bir talep geldiğinde sürecin nasıl işlemesi gerektiğini adım adım gösteriyor ve işinizi kolaylaştırıyor.

Gördüğünüz gibi, süreç aslında basit adımlardan oluşuyor. Ancak her adımda dikkatli olmak, yasal sürelere sadık kalmak ve şeffaf bir iletişim kurmak hayati önem taşıyor.

Tabii ki her talebi kabul etmek zorunda değilsiniz. Örneğin, bir veriyi saklamak için yasal bir zorunluluğunuz varsa (fatura bilgileri gibi mali kayıtlar) veya talebin orantısız olduğunu düşünüyorsanız, gerekçenizi net bir şekilde belirterek talebi reddedebilirsiniz. Ancak bu ret kararının da sağlam bir hukuki dayanağı olmalı.

Unutmayın, ilgili kişi taleplerine zamanında ve doğru yanıt vermek yalnızca bir yasal zorunluluk değildir. Bu, aynı zamanda müşteri memnuniyetini ve markanıza duyulan güveni pekiştirmek için bir fırsattır. Şeffaf ve sorumlu bir yaklaşım, olası bir anlaşmazlığı sadık bir müşteri ilişkisine kolayca dönüştürebilir.

Aklınıza takılabilecek diğer sorular

Veri sorumlusunun yükümlülükleri denince akla gelen, en sık karşılaştığımız soruları ve bunlara verdiğimiz pratik cevapları sizin için bir araya getirdik. Bu bölüm, şimdiye kadar anlattıklarımızı pekiştirerek, aklınızdaki son soru işaretlerini de gidermeyi hedefliyor.

Küçücük bir dükkanım var, bütün bu kurallara uymak zorunda mıyım?

Evet, KVKK söz konusu olduğunda işletmenin büyüklüğü değil, kişisel veri işleyip işlemediği önemlidir. Tek bir müşterinizin bile telefon numarasını bir yere not alıyorsanız, artık bir veri sorumlususunuz demektir ve Kanun’un temel ilkelerine uymanız gerekir.

Ancak bazı yükümlülüklerde küçük işletmelere yönelik istisnalar var. Örneğin, VERBİS‘e (Veri Sorumluları Sicil Bilgi Sistemi) kayıt zorunluluğu bunlardan biri. Yıllık çalışan sayınız 50’den azsa ve yıllık mali bilanço toplamınız 100 milyon TL’yi geçmiyorsa (ve ana işiniz özel nitelikli veri işlemek değilse) VERBİS’e kaydolmaktan muafsınız.

Fakat unutmayın; aydınlatma metni hazırlamak, verilerin güvenliğini sağlamak ve kişilerden gelen talepleri yanıtlamak gibi temel görevler, istisnasız her işletme için geçerliliğini koruyor.

Veri işleme envanteri (VİE) için hazır bir şablon var mı?

Kişisel Verileri Koruma Kurumu’nun (KVKK) dayattığı, “sadece bunu kullanacaksınız” dediği resmi bir şablon yok. Ancak Kurum’un yayınladığı rehberler ve kararlar, iyi bir envanterde hangi bilgilerin mutlaka bulunması gerektiğini bize net bir şekilde gösteriyor.

Kullanışlı bir envanterde en azından şu başlıklar olmalı:

• Veri Kategorisi: Ne tür veri işliyorsunuz? (Örn: Kimlik, iletişim, finansal veri)
• İşleme Amacı: Bu veriyi neden topluyorsunuz? (Örn: Siparişi adrese teslim etmek)
• Hukuki Sebep: Hangi yasal dayanağa göre işliyorsunuz? (Örn: Sözleşmenin kurulması veya ifası)
• Alıcı Grupları: Veriyi kimlerle paylaşıyorsunuz? (Örn: Kargo firması, muhasebeci)
• Saklama Süresi: Veriyi en fazla ne kadar süre tutacaksınız?
• Güvenlik Tedbirleri: Veriyi korumak için ne gibi önlemler aldınız?

İnternette veya hukuk bürolarının kaynaklarında bu başlıkları içeren, yol gösterici nitelikte pek çok örnek şablon bulabilirsiniz.

Çalışanlarımın verilerini işlerken de onları bilgilendirmem gerekiyor mu?

Kesinlikle evet. Çalışanlarınız da KVKK nezdinde birer “ilgili kişi”dir ve tüm hakları kanun koruması altındadır. Bu yüzden işe giriş sürecinde, personel sözleşmesine ek olarak ya da ayrı bir metinle onları mutlaka aydınlatmanız gerekir.

Bu aydınlatma metninde, özlük dosyasındaki bilgilerden maaş verilerine, performans değerlendirmelerinden parmak izi gibi biyometrik verilere kadar hangi bilgilerinin ne amaçla toplandığını, kimlerle paylaşılabileceğini ve haklarının neler olduğunu açık ve anlaşılır bir dille anlatmalısınız.

Bir veri ihlali yaşarsam ilk ne yapmalıyım?

Veri ihlali durumunda panik yapmak yerine soğukkanlı ve planlı hareket etmek, zararı en aza indirmenin ilk kuralıdır. Atmanız gereken ilk adım, ihlalin nereden kaynaklandığını, kimlerin etkilendiğini ve ne kadar veri sızdığını anlamak için hemen bir iç değerlendirme başlatmaktır.

Eş zamanlı olarak, sızıntıyı durdurmak ve daha fazla veri kaybını önlemek için ne gerekiyorsa yapmalısınız. Tüm bu süreci yönetirken, durumu fark ettiğiniz andan itibaren en geç 72 saat içinde durumu Kişisel Verileri Koruma Kurulu’na bildirmeniz gerektiğini aklınızdan çıkarmayın. Eğer ihlal, insanların hak ve özgürlükleri açısından yüksek bir risk taşıyorsa, etkilenen kişileri de makul olan en kısa sürede doğrudan bilgilendirmeniz yasal bir zorunluluktur.

İşletmenizi büyütürken ofis maliyetleri, kira ve faturalar gibi dertlerle uğraşmadan, prestijli bir yasal adrese sahip olmak ister misiniz? Workon, sanal ofis, hazır ofis ve toplantı odası gibi esnek çözümlerle size tam da bu noktada destek olur. Siz işinize odaklanırken ofis yönetimi gibi operasyonel yüklerden kurtulmak için hemen https://www.workon.com.tr adresini ziyaret edin ve modern çalışma hayatının getirdiği avantajlarla tanışın.