Kişisel verilerin korunması, dijitalleşmenin artmasıyla birlikte hem bireylerin hem de şirketlerin en öncelikli gündemlerinden biri haline geldi. 6698 sayılı Kişisel Verilerin Korunması Kanunu kısaca KVKK, bu alandaki temel mevzuat olarak Türkiye’deki tüm veri işleten gerçek ve tüzel kişileri kapsamaktadır.
Özellikle şirketler açısından KVKK uyumu artık sadece hukuki bir yükümlülük değil, aynı zamanda bir kurumsal sorumluluk olmakla birlikte kuruma duyulan güven bakımından büyük bir öneme sahiptir.
Kimler KVKK’dan Sorumludur?
6698 sayılı KVKK uyarınca, kişisel veri işleyen her gerçek veya tüzel kişiyi veri sorumlusu olarak kabul edilir. Yani, ister bir holding olun, ister küçük bir işletme; müşterinizin, çalışanınızın ya da iş ortağınızın kişisel verisini işliyorsanız, bu kanuna uymak zorundasınız.
Kişisel veriyi işlemek, bir kişiye ait verilerin elde edilmesi, kaydedilmesi, saklanması, değiştirilmesi, aktarılması, sınıflandırılması veya silinmesi gibi her türlü işlem ve faaliyeti kapsar. Bu işlemler manuel ya da otomatik yollarla yapılabilir ve verinin fiziksel ya da dijital ortamda tutulması fark etmeden hukuki anlamda “işleme” olarak değerlendirilir.
Örneğin; bir fabrikanın çalışanlarının ad-soyad ve TC kimlik numarasını kaydetmesi, ziyaretçilerin giriş bilgilerini yazılı olarak toplaması ya da kamera kayıtlarını tutması, kişisel veri işlemek olarak kabul edilir.
Şirketlerin Temel KVKK Yükümlülükleri
1. Aydınlatma Yükümlülüğü (KVKK m.10)
Veri sorumluları, kişisel veri işleme faaliyetleri sırasında ilgili kişilere:
· Hangi verileri topladığını,
· Verileri hangi amaçla işlediğini,
· Verileri kimlerle paylaştığını,
· Hangi hukuki dayanakla veri işlediğini net ve anlaşılır şekilde bildirmekle yükümlüdür.
Bu yükümlülüğün yerine getirilmemesi halinde, idari para cezası uygulanmaktadır. Özellikle ticaret, sağlık, eğitim, danışmanlık gibi sektörlerde aydınlatma metinlerinin hazırlanması ve ilgili kişilere sunulması kritik öneme sahiptir.
2. Veri Güvenliği Yükümlülüğü
Şirketler, işledikleri kişisel verilerin:
· Yetkisiz erişimlere,
· Veri kaybına,
· Sızdırılmaya veya kötüye kullanılmaya karşı teknik ve idari tedbirlerle korunmasından sorumludur.
Bu kapsamda personel eğitimi, anti-virüs sistemleri, güvenli sunucular, erişim kontrolü, şifreleme gibi önlemlerin alınması gerekir.
Kişisel verilerin korunması bu anlamda kurul denetimine tabi olmakla birlikte, ciddi idari para cezalarına hatta ceza davalarına konu olmaktadır.
3.VERBİS Kayıt Zorunluluğu
VERBİS, Veri Sorumluları Siciline verilen, veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgilerin kayıt altında tutulduğu sistemdir.
· Yıllık çalışan sayısı 50’den fazla olan işletmeler,
· Yıllık mali bilanço toplamı 100 milyon TL’den fazla olan işletmeler,
· Yurtdışında yerleşik gerçek ve tüzel kişi sorumluları,
· Ana faaliyet konusu özel nitelikli kişisel veri işleme olan işletmeler (çalışan sayısı ve mali bilanço kriteri aranmaksızın)
VERBİS yükümlülüğüne uymayan işletmelere idari para cezası uygulanır. Ayrıca bu bilgilerin güncellenmemesi veya gerçeğe aykırı bilgi girilmesi de yaptırıma tabidir.
3. Kurul Kararlarına Uyum Yükümlülüğü
KVKK Kurulu tarafından alınan kararlar, tüm veri sorumluları için bağlayıcıdır. Bu kararlara uymamak, ilgili şirketin ayrıca cezai sorumlulukla karşı karşıya kalmasına neden olur. Örneğin, açık rıza alınmadan pazarlama amaçlı SMS gönderimi yapan firmalara bu kapsamda cezai yaptırımlar uygulanmaktadır.
2025 Yılı Güncel İdari Para Cezaları
2025 yılı için belirlenen yeniden değerleme oranı %43,93 olarak açıklanmıştır. Bu artış doğrultusunda KVKK kapsamında uygulanacak cezalar aşağıdaki gibi güncellenmiştir:
İhlal Türü Ceza Aralığı____________________
Aydınlatma Yükümlülüğü 68.083 – 1.362.021
Veri güvenliğinin sağlanmaması 204.285 – 13.620.402
Kurul kararlarına aykırı hareket 340.476 – 13.620.402
VERBİS’e kayıt yapılmaması 272.380 – 13.620.402
Bu cezalar her yıl artırılmakta olup, birçok küçük ve orta ölçekli işletme için mali anlamda yıkıcı sonuçlar doğurabilir.
Şirketler Ne Yapmalı?
KVKK uyumu sağlamak için şirketlerin atması gereken temel adımlar şunlardır:
1. Veri envanteri hazırlayın: Ne tür kişisel veriler işlediğinizi ve hangi amaçla kullandığınızı belirleyin.
2. Aydınlatma metni ve rıza belgeleri hazırlayın.
3. VERBİS yükümlülüğünüz olup olmadığını kontrol edin ve kayıt olun.
4. Personeliniz için KVKK konusunda eğitimler alın.
5. Siber güvenlik önlemleri alın.
6. Gizlilik politikanızı web sitenizde yayımlayın.
7. Danışmanlık desteği alarak hukuki riskleri en aza indirin.
Sonuç: Uyum Artık Bir Lüks Değil, Zorunluluk
KVKK konusuna uyum sağlamak, yalnızca cezalardan kaçınmak için değil, müşteri güvenini korumak, itibarı kuvvetlendirmek ve yasal riskleri minimize etmek için büyük önem taşır. Küçük veya büyük ölçekli ayırt etmeksizin tüm işletmelerin veri sorumluluğu bilinciyle hareket etmesi yasal bir zorunluluktur.
Saygılarımla,
Av. İdil Zeynep Yağlıca
