Veri Sorumlusu Nedir?
Veri sorumlusu, kişisel verileri işleyen, saklayan ve koruma yükümlülüğüne sahip olan gerçek veya tüzel kişidir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında, veri sorumlularının uyması gereken kurallar ve yaptırımlara tabi yükümlülükleri belirlenmiştir.
Bu yazıda, veri sorumlularının yükümlülükleri, kişisel verileri nasıl koruması gerektiği ve KVKK ihlallerine uygulanacak cezalar detaylı olarak ele alınacaktır.
1. Veri Sorumlusunun Yükümlülükleri
📌 Veri sorumluları, KVKK’ya uygun olarak kişisel verileri işlerken aşağıdaki yükümlülüklere sahiptir:
✔ 1. Aydınlatma Yükümlülüğü (KVKK Madde 10)
- Kişisel verileri işlerken ilgili kişiyi bilgilendirmek zorundadır.
- Verinin hangi amaçla toplandığı, nasıl kullanılacağı ve hangi hukuki gerekçelerle işlendiği açıklanmalıdır.
✔ 2. Açık Rıza Alma Yükümlülüğü (KVKK Madde 5-6)
- Kişisel verilerin işlenmesi için açık rıza alınmalıdır.
- Açık rıza alınmadan veriler işlenemez (istisnalar hariç).
✔ 3. Kişisel Verileri Güvenli Şekilde Saklama Yükümlülüğü (KVKK Madde 12)
- Veri sorumlusu, veri güvenliği önlemlerini almak ve siber saldırılara karşı koruma sağlamak zorundadır.
- Yetkisiz erişimi önlemek için teknik ve idari tedbirler alınmalıdır.
✔ 4. Kişisel Verileri Üçüncü Kişilere Aktarma Kurallarına Uygunluk (KVKK Madde 8-9)
- Kişisel veriler, ilgili kişinin rızası olmadan yurt içinde veya yurt dışına aktarılamaz.
- Veri işleyen üçüncü taraflarla gizlilik sözleşmesi yapılmalıdır.
✔ 5. VERBİS Kaydı ve Sicile Kayıt Zorunluluğu (KVKK Madde 16)
- Veri sorumluları, Kişisel Verileri Koruma Kurumu’na (KVKK) kayıt olmalıdır.
- VERBİS’e kayıt yükümlülüğü bulunan şirketler kayıt yaptırmazsa idari para cezasına tabi olur.
✔ 6. İlgili Kişinin Haklarını Koruma Yükümlülüğü (KVKK Madde 11)
- İlgili kişi, verilerinin silinmesini, düzeltilmesini veya işlenmesine itiraz etme hakkına sahiptir.
- Veri sorumlusu, başvuruları 30 gün içinde yanıtlamak zorundadır.
🚨 Örnek: Bir e-ticaret firması, müşteri bilgilerini açık rıza almadan başka bir şirkete satarsa KVKK ihlali yapmış olur ve cezai yaptırıma tabi tutulabilir.
2. Veri Sorumlularının Alması Gereken Teknik ve İdari Tedbirler
📌 KVKK kapsamında veri sorumlularının alması gereken önlemler:
| Tedbir Türü | Açıklama |
|---|---|
| Yetki ve Erişim Kontrolü | Verilere yalnızca yetkili çalışanlar erişebilmelidir. |
| Siber Güvenlik Önlemleri | Verilerin çalınmasını önlemek için güvenlik duvarları ve şifreleme kullanılmalıdır. |
| Şifreleme ve Anonimleştirme | Kişisel veriler, yetkisiz erişimi önlemek için şifrelenmelidir. |
| Veri Saklama ve Silme Politikaları | Gereksiz veriler düzenli olarak silinmelidir. |
| Çalışan Farkındalık Eğitimi | Çalışanlar, veri koruma konusunda eğitilmelidir. |
🚨 Örnek: Bir hastane, hastaların sağlık bilgilerini korumak için şifreleme ve erişim kısıtlama yöntemleri kullanmalıdır.
3. Veri Sorumlularına Uygulanan Cezai Yaptırımlar
📌 KVKK ihlallerine karşı idari para cezaları ve hapis cezaları uygulanabilir.
✔ 1. VERBİS Kaydı Zorunluluğuna Uyulmaması
- 2024 yılı itibarıyla VERBİS kaydı yaptırmayan veri sorumlularına 119.428 TL – 5.971.989 TL arasında idari para cezası uygulanabilir.
✔ 2. Aydınlatma Yükümlülüğüne Uyulmaması (KVKK Madde 10)
- İlgili kişiye yeterli bilgilendirme yapmayan veri sorumlularına 59.714 TL – 1.196.000 TL arasında idari para cezası uygulanabilir.
✔ 3. Kişisel Verilerin Hukuka Aykırı Olarak İşlenmesi (KVKK Madde 12)
- Kişisel verileri hukuka aykırı işleyenlere 89.571 TL – 5.971.989 TL arasında idari para cezası verilir.
✔ 4. Veri Güvenliği Önlemlerine Uyulmaması
- Veri sızıntıları, ihlaller veya güvenlik açıkları bildirilmezse 59.714 TL – 5.971.989 TL arasında ceza kesilebilir.
✔ 5. Kişisel Verileri Silmeme veya Yok Etmeme
- Talep edilen kişisel verileri silmeyen veya yok etmeyen şirketlere 59.714 TL – 1.196.000 TL arasında ceza uygulanabilir.
📌 KVKK İhlallerinde Hapis Cezaları
- Kişisel verileri hukuka aykırı olarak kaydedenler, 1 yıldan 3 yıla kadar hapis cezası alabilir.
- Kişisel verileri izinsiz şekilde bir başkasına verenler, 2 yıldan 4 yıla kadar hapis cezası alabilir.
🚨 Örnek: Bir banka, müşterilerinin bilgilerini izinsiz olarak bir reklam ajansına satarsa yüksek para cezası alabilir ve sorumlu kişiler hakkında hapis cezası uygulanabilir.
4. Veri İhlali Durumunda Yapılması Gerekenler
📌 Veri sorumluları, bir veri ihlali gerçekleştiğinde aşağıdaki adımları takip etmelidir:
✔ 1. Kişisel Verileri Koruma Kurumu’na (KVKK) Bildirim Yapılmalıdır
- 72 saat içinde KVKK’ya ihlal bildirimi yapılmalıdır.
✔ 2. Etkilenen Kişiler Bilgilendirilmelidir
- İhlalden etkilenen kişilere veri sızıntısı hakkında bilgi verilmelidir.
✔ 3. Veri İhlali Kapsamı ve Sebebi Araştırılmalıdır
- İhlalin nasıl gerçekleştiği, hangi verilerin sızdırıldığı tespit edilmelidir.
🚨 Örnek: Bir e-ticaret sitesinin müşteri bilgileri sızdırılırsa, KVKK’ya bildirim yapılmalı ve müşterilere durum hakkında bilgi verilmelidir.
5. Sıkça Sorulan Sorular
🔹 Veri sorumlusu kimdir?
📌 Kişisel verileri işleyen, saklayan ve koruma yükümlülüğü olan kişi veya kurumdur.
🔹 VERBİS kaydı zorunlu mu?
📌 Evet, belirli büyüklükteki veri sorumlularının VERBİS’e kayıt olması zorunludur.
🔹 Kişisel verilerin hukuka aykırı paylaşılması durumunda ceza nedir?
📌 2 yıldan 4 yıla kadar hapis cezası ve yüksek para cezası uygulanabilir.
🔹 Veri sızıntısı durumunda ne yapılmalı?
📌 72 saat içinde KVKK’ya bildirim yapılmalıdır.
🔹 Kişisel verileri hukuka aykırı işleyen firmalar nasıl şikayet edilir?
📌 KVKK’ya başvuru yapılarak şikayette bulunulabilir.
6. Sonuç ve Öneriler
✔ Veri sorumluları, KVKK hükümlerine uymak zorundadır.
✔ Hukuka aykırı veri işleme ve saklama ciddi para ve hapis cezalarına yol açabilir.
✔ VERBİS kaydı yaptırmayan firmalara yüksek idari para cezaları uygulanabilir.
✔ Veri ihlali durumunda en geç 72 saat içinde bildirim yapılmalıdır.
No responses yet