Bilişim ve Teknoloji HukukuŞirketler Hukuku

KVKK Kapsamında Şirketlerin Yükümlülükleri Şirketler Hukuku

KVKK (Kişisel Verilerin Korunması Kanunu) Kapsamında Şirketlerin Yükümlülükleri

6698 sayılı Kişisel Verilerin Korunması Kanunu‘nun yapmış olduğu tanım uyarınca “veri sorumlusu”; “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmıştır. Dolayısıyla kişisel verileri işleyen her kişide olduğu gibi, her kurum, şirket veya dernek de veri sorumlusu adını almakta ve eşit yükümlülüklere sahip olmaktadır.

Veri sorumlusunun başlangıç ve temel yükümlülüklerinden biri de veri sorumlusu kayıt bilgi sistemine (VERBİS) kayıt olmaktır. Kanunun 16 ncı maddesine göre, kişisel verileri işleyen tüzel kişilerin de kişisel veri işlemeye başlamadan önce Sicile kaydolmaları gerekmektedir. www.kvkk.gov.tr adresinde yer alan VERBİS butonunun sağladığı ara yüzden şirketin temel bilgileri girilerek veri sorumlusu, irtibat kişisi ve güvenlik parolaları belirlenir.

Şirketlerin Sorumluluk Kapsamı ve Yapması Gerekenler:

Şirketlerin 6698 Sayılı Kanun Kapsamında Veri Sorumlusu sıfatıyla yapması gereken temel görevler ve veri sahiplerine karşı temel ve ayrıntılı yükümlülükleri mevcuttur. Bunları sınıflandıracak olur isek;

  • Aydınlatma Yükümlülüğü:

Veri sorumlusunun, kişisel verilerini paylaşmasını istediği kişiyi bu verilerin hangi amaçla işleneceği, kimlere hangi amaçla aktarabileceği gibi konularda hukuki dayanakları ile bilgilendirme yükümlülüğü bulunur.

  • Veri Güvenliğine İlişkin Yükümlülükler:

Kişisel Verileri Koruma Kurumu tarafından da yayımlanan ve veri sorumlusu tarafından yapılması gerekenler olarak rutin kabul edilen kurumsal tedbirler aşağıdaki gibidir:

    • Kişisel Veri İşleme Envanteri Oluşturma ve İşlemesini Sağlama
    • Kurumsal Politikaları Oluşturma (Veriyi Saklama, Veriye Erişim, Veriyi Kullanma, Veriyi İmha, Bilgi Güvenliği)
    • Veri Yedekleme Senaryoları Oluşturma ve Aşamaların Temel Kurallara Uygunluğunu Denetleme
    • Veri Gizliliği Taahhütnamelerinin Hazırlanması ve Tarafların İmzasına Sunulması
    • Kurum İçi Periyodik ve Spontane Veri Denetimlerinin Gerçekleştirilmesi ve Raporlanması
    • Veri Risk Analizlerinin Yapılması ve Sorumluluk Kapsamlarının Netleştirilmesi
    • İş Sözleşmelerinin Kişisel Veri İşleme ve Güvenliğini Dahil Eder Şekilde Revize Edilmesi
    • Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Yasal Bildirimleri oluşturma ve Takibini Yapma
  • Kişisel Verileri Koruma Kurulu Kararlarının Yerine Getirilmesi Yükümlülüğü:

Veri sorumlusu, kurula gelen bir şikâyet olması ve devamında kurulun bir ihlali tespit etmesi halinde konuyla ilgili hukuka aykırılıkların giderilmesi ile sorumludur.

  • Siber Güvenliğin Sağlanması ve Bilgi Teknolojilerinin Geliştirilmesi:

Kişisel verilerin korunması için veri sorumlularının internet üzerinden gelebilecek veri saldırılarına karşı güvenlik duvarı ve ağ geçiti oluşturması gerekir.

Gerçek ve Tüzel Kişileri Bağlar Yükümlülükler Bağlamında Türkiye’nin Güncel Yasal Konumu

6698 sayılı Kanun, 1995 tarihli 95/46 sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi baz alınarak hazırlanmıştır. Bununla birlikte 6698 Sayılı Kanundan 2 yıl sonra yürürlüğe giren Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR), Avrupa ülkeleri arasında bu alandaki çok başlılığı ve uygulama farklılığını gidermeyi amaçlamış, bireylere üst düzey bir koruma getirmiştir. KVKK-GDPR uyumu da bu nedenle Türkiye için sıradaki en önemli adım olmalıdır.

GDPR (General Data Protection Regulation), Avrupa Birliği’nde ikamet eden ve dolayısı ile Avrupa Birliği mevzuatına tabi kişilerin veri güvenliğini sağlamayı amaçlamaktadır. GDPR öncesi döneminde kişisel verilerin güvenliği konusunda, 1995 yılında ortaya çıkan 95/46/EC sayılı Direktif temel düzenleme olarak uygulanmaktaydı.

Nihai olarak; sözü edilen kanuni düzenlemeler ve sözleşmeler ile, kişisel verilerin herhangi bir denetime tutulmaksızın gelişigüzel toplanmasının, verilerin yetkisiz kişilerin erişimine açılmasının, rıza dışında yayılmasını (ifşasının) veya amaç dışı ya da kötüye kullanımı gibi haksız fiiller kişisel hakların ihlal edilmesinin önüne geçilmesi amaçlanmaktadır.

ÖRNEK KONU:  İnternet ve Sosyal Medya Platformlarından TikTok uygulaması nezdinde gerçekleşen veri ihlali tespitine ilişkin Kişisel Verileri Koruma Kurulu Kararı

Karar Özeti:

Veri sorumlusu olan sosyal medya platformu TikTok hakkında, açık rızanın Kanun kapsamında usulüne uygun alınmadığı, kişisel verilerin elde edilmesi ve saklanması hususunda hukuka aykırılıkların bulunduğu ve yazılıma ait birçok güvenlik açığı bulunduğuna dair yer alan muhtelif haberler ve şikayetler yayımlanması sonucunda Kurul, resen inceleme başlatmıştır.

Kurulun yapmış olduğu inceleme sonucunda; TikTok’un 2021 yılı Ocak ayında gizlilik politikasını güncellediği ve güncelleme neticesinde metinde 13 ve 15 yaş aralığındaki kullanıcı hesapları için varsayılan gizlilik ayarının “özel” olarak değiştirildiği ancak belirtilen güncelleme öncesinde varsayılan olarak profillerin herkese açık olarak görüntülenerek etkileşimde sınırlama bulunmamasının hassas yaş grubunda olan kullanıcıların verilerine erişilmesi kapsamında risk teşkil ettiği tespit edilmiştir.

Ayrıca veri sorumlusunun internet sitesinde yer alan Gizlilik Sözleşmesinde, Kanun’un 4’üncü maddesinde yer alan “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırı hareket edildiği, kullanıcının onayına sunulan Hizmet Koşulları metninin Türkçe tercümesi bulunmaması, Gizlilik Politikasının esasen bir aydınlatma metni olduğu ancak açık rıza metni olarak kullanıldığı, platformda hesap oluşturulurken ya da hesap oluşturulup aktif olarak kullanılırken açık rıza alınmasına ilişkin herhangi bir durum ile karşılaşılmadığı, veri sorumlusu tarafından, profilleme amacıyla çerezler kullanılarak gerçekleştirilen kişisel veri işleme faaliyetine ilişkin olarak ilgili kişilerden açık rıza alınmadığı tespit edilmiştir.

Sonuç;

Kurul yapmış olduğu bu incelemeler sonucunda veri sorumlusu TikTok hakkında 1.750.000 TL idari para cezası uygulanmasına, Hizmet Koşulları metninin bir ay içinde Türkçeye çevrilmesine, söz konusu Gizlilik Politikası metinlerinin üç ay içerisinde Kanuna uygun hale getirilmesine ve Kanun’un 10 uncu maddesi ve ilgili Tebliğ hükümlerine uygun bir aydınlatma yapılması hususunda talimatlandırılmasına karar verilmiştir.

AVUKAT DESTEĞİ

Randevu almak için çalışma saatleri içerisinde aşağıdaki telefon aracılığı ile ulaşabilir veya aşağıdaki adrese mail atabilirsiniz.

Hafta içi: 09:00 – 21:00
Cumartesi: 10:00 – 18:00

GİZLİLİK

Avukatlık mesleğinin en önemli etik ilkelerinden biri gizlilik olup, hukuk büromuz; 1136 sayılı Avukatlık Kanunu ile belirlenen gizlilik ve sır saklama ilkesini büyük bir özen ve hassasiyet göstererek uygulamaktadır. Bununla beraber ofisimiz, müvekkillere ait bilgi, belge ve verileri sır tutma yükümlülüğü ve veri sorumluluğu kapsamında gizli tutmakta, üçüncü kişilerle ve kurumlarla hiçbir durumda ve hiçbir şekilde paylaşmamaktadır. Bu bağlamda ofisimiz, dava dosyaları ile ilgili sır saklama yükümlülüğüne uyulacağını yazılı olarak da ilke edinmiştir.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu