📌 1. Veri Sorumlusu Kimdir?
📌 Veri sorumlusu, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında, kişisel verileri işleme amaçlarını ve yöntemlerini belirleyen gerçek veya tüzel kişidir.
✔ Kişisel verilerin işlenmesi, saklanması ve korunmasından sorumludur.
✔ İlgili kişilerin haklarını korumakla yükümlüdür.
✔ KVKK ve ilgili yönetmeliklere uyum sağlamak zorundadır.
🚨 Örnek: Bir e-ticaret sitesi, müşterilerinin ad-soyad, adres ve ödeme bilgilerini işlediği için veri sorumlusu olarak kabul edilir.
📌 2. Veri Sorumlularının Temel Yükümlülükleri
📌 KVKK kapsamında veri sorumluları aşağıdaki yükümlülükleri yerine getirmek zorundadır:
2.1. Aydınlatma Yükümlülüğü
✔ Veri sorumlusu, veri sahiplerini verilerinin nasıl işlendiği konusunda bilgilendirmek zorundadır.
✔ Aydınlatma, açık, anlaşılır ve kolay erişilebilir olmalıdır.
✔ Aşağıdaki bilgiler verilmelidir:
- Veri sorumlusunun kimliği
- Kişisel verilerin hangi amaçla işleneceği
- İşlenen verilerin kimlerle paylaşılabileceği
- Veri sahibinin hakları
🚨 Örnek: Bir bankanın, müşterilerine kişisel verilerinin nasıl işlendiğini açıklayan bir “Aydınlatma Metni” sunması zorunludur.
2.2. Açık Rıza Alma Yükümlülüğü
✔ Veri sorumluları, kişisel verileri işlerken açık rıza almak zorundadır.
✔ Açık rıza, belirli, açık ve bilgilendirilmiş olmalıdır.
✔ Açık rıza olmadan veri işlemek, ancak KVKK’nın 5. ve 6. maddelerinde belirtilen hukuki sebeplerden biri varsa mümkündür.
🚨 Örnek: Bir e-ticaret platformu, kullanıcılarının e-posta adreslerini pazarlama amacıyla kullanmak istiyorsa, önceden açık rıza almalıdır.
2.3. Veri Güvenliğini Sağlama Yükümlülüğü
✔ Kişisel verilerin yetkisiz erişime, kaybolmaya veya kötüye kullanılmaya karşı korunması gereklidir.
✔ Veri güvenliği sağlamak için teknik ve idari tedbirler alınmalıdır.
🚨 Örnek: Bir sağlık kuruluşu, hasta verilerini şifreleyerek ve erişim kısıtlamaları koyarak koruma altına almak zorundadır.
2.4. VERBİS’e Kayıt Zorunluluğu
✔ Veri sorumluları, Kişisel Verileri Koruma Kurumu’nun (KVKK) Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) kayıt yükümlülüğüne tabidir.
✔ VERBİS kaydı yapmayan şirketler idari para cezasına çarptırılabilir.
🚨 Örnek: 50’den fazla çalışanı olan ve yıllık mali bilançosu 25 milyon TL’nin üzerinde olan tüm şirketler VERBİS’e kayıt olmak zorundadır.
2.5. İlgili Kişinin Haklarını Yerine Getirme Yükümlülüğü
✔ İlgili kişiler, veri sorumlusuna başvurarak kendileriyle ilgili kişisel verilerin silinmesini, düzeltilmesini veya erişimini talep edebilir.
✔ Veri sorumlusu, bu başvuruları en geç 30 gün içinde yanıtlamak zorundadır.
🚨 Örnek: Bir banka müşterisi, sistemde bulunan telefon numarasının değiştirilmesini talep ederse, banka bu talebi değerlendirmelidir.
2.6. Kişisel Verileri Üçüncü Kişilerle Paylaşma Kuralları
✔ Kişisel veriler, üçüncü kişilerle paylaşılırken ilgili kişiden açık rıza alınmalıdır.
✔ Ancak bazı hallerde (hukuki yükümlülük, kamu sağlığının korunması gibi) açık rıza aranmadan veri paylaşımı yapılabilir.
🚨 Örnek: Bir hastane, hasta bilgilerini sigorta şirketleriyle paylaşmak için hastanın açık rızasını almak zorundadır.
📌 3. Veri Sorumlularına Uygulanan Cezai Yaptırımlar
📌 KVKK, yükümlülüklerini yerine getirmeyen veri sorumlularına çeşitli idari para cezaları ve cezai yaptırımlar öngörmektedir.
| İhlal Türü | İdari Para Cezası (2024) |
|---|---|
| Aydınlatma yükümlülüğüne aykırılık | 100.000 – 2.000.000 TL |
| VERBİS kaydı yaptırmama | 300.000 – 5.000.000 TL |
| Kişisel verileri hukuka aykırı işleme | 500.000 – 10.000.000 TL |
| Veri güvenliğini sağlamama | 500.000 – 10.000.000 TL |
| Kişisel verileri üçüncü kişilerle hukuka aykırı paylaşma | 1.000.000 – 15.000.000 TL |
🚨 Örnek: Bir sigorta şirketi, müşteri bilgilerini açık rıza almadan bir başka firmayla paylaşırsa, 1.000.000 TL’ye kadar ceza alabilir.
📌 4. Kişisel Verilerin Hukuka Aykırı İşlenmesine Karşı Yaptırımlar
📌 KVKK, veri ihlallerine karşı idari para cezalarının yanı sıra, ceza hukuku kapsamında da yaptırımlar öngörmektedir.
✔ TCK Madde 135 – Kişisel verileri hukuka aykırı olarak kaydetme → 1 yıldan 3 yıla kadar hapis cezası
✔ TCK Madde 136 – Kişisel verileri hukuka aykırı olarak başkasına verme → 2 yıldan 4 yıla kadar hapis cezası
✔ TCK Madde 138 – Kanuni süresi dolmasına rağmen kişisel verileri silmeme → 1 yıldan 2 yıla kadar hapis cezası
🚨 Örnek: Bir banka, eski müşterisinin kredi geçmişi bilgilerini kanuna aykırı olarak saklamaya devam ederse, 1 ila 2 yıl arasında hapis cezası ile karşılaşabilir.
📌 5. Veri İhlali Durumunda Ne Yapılmalı?
📌 Veri sorumluları, kişisel veri ihlali yaşandığında şu adımları izlemelidir:
✔ Kişisel Verileri Koruma Kurumu’na (KVKK) en geç 72 saat içinde bildirim yapılmalıdır.
✔ İlgili kişiler ihlal hakkında bilgilendirilmelidir.
✔ Veri güvenliğinin sağlanması için acil tedbirler alınmalıdır.
🚨 Örnek: Bir e-ticaret sitesinde veri ihlali yaşandığında, şirket bunu 72 saat içinde KVKK’ya bildirmezse, ayrıca idari ceza alabilir.
📌 6. Sıkça Sorulan Sorular
🔹 VERBİS kaydı yaptırmamanın cezası nedir?
📌 300.000 TL ile 5.000.000 TL arasında değişen idari para cezası uygulanır.
🔹 Veri güvenliğini sağlamayan şirketler ne tür cezalar alır?
📌 500.000 TL ile 10.000.000 TL arasında idari para cezası ve hapis cezası verilebilir.
🔹 Kişisel verileri hukuka aykırı işleyenler hangi cezalarla karşılaşır?
📌 1 ila 4 yıl arasında değişen hapis cezaları uygulanabilir.
0 yorum