info@ferhatkule.av.tr
+90 212 579 79 85

Single Blog Title

This is a single blog caption

KVKK ve GDPR Kapsamında Şirketinizin Veri Sorumluluğu Hukuken Nasıl Belirlenir?

07 Ağu 2025
0

Giriş

Günümüz dijital ekonomisinde kişisel veri, artık sadece bireyin mahremiyet alanı değil; şirketlerin itibarını, hukuki sorumluluğunu ve ticari sürdürülebilirliğini doğrudan etkileyen stratejik bir varlık haline gelmiştir. Bu nedenle, Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Avrupa’da Genel Veri Koruma Tüzüğü (GDPR), veri işleyen tüm kurumlara ciddi yükümlülükler yüklemektedir.

Bu makalede, bir şirketin veri sorumluluğunun nasıl hukuken belirlendiği, KVKK ve GDPR sistemlerinin nasıl yapılandığı, veri sorumlusu ile veri işleyen ayrımı, pratik uygulamada şirketlerin karşılaşabileceği riskler ve örnek bir kurgusal senaryo ile bu sorumluluğun nasıl ortaya çıktığı analiz edilecektir.

1. Veri Sorumlusu ve Veri İşleyen Kavramları

a) KVKK Kapsamında

KVKK m.3/ı bendine göre:

“Veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.”

Burada önemli olan iki unsurdur:

  • Verinin işleme amacını belirleme yetkisi

  • Kayıt sisteminin fiilen kontrolü

Buna karşılık veri işleyen, veri sorumlusunun talimatları doğrultusunda, veri işleyen ve bu veriler üzerinde doğrudan karar alma yetkisi olmayan üçüncü kişidir.

b) GDPR Kapsamında

GDPR Madde 4/7 ve 8, veri sorumlusu ve veri işleyen kavramlarını net olarak ayırır:

  • Data Controller (Veri Sorumlusu): Verinin işlenme amaç ve araçlarını belirleyen kişi ya da kurumdur.

  • Data Processor (Veri İşleyen): Veri sorumlusunun adına kişisel veriyi işleyen gerçek veya tüzel kişidir.

Avrupa sisteminde sorumluluk seviyesi daha serttir ve yalnızca veri sorumlusu değil, veri işleyenler de doğrudan para cezasına ve yaptırımlara maruz kalabilir.

2. Şirketinizin Veri Sorumlusu Olduğu Nasıl Belirlenir?

Bir şirketin veri sorumlusu sayılıp sayılmadığını belirlemek için şu sorulara verilecek cevaplar belirleyicidir:

Soru Evet Hayır
Kişisel veriyi kimin adına topluyorsunuz? ☑️
Verinin neden ve ne süreyle işleneceğine kim karar veriyor? ☑️
Veriler üzerinde nihai kontrol ve erişim hakkı kimde? ☑️
Veri politikasını ve imha planını kim oluşturuyor? ☑️
KVKK ve GDPR yükümlülüklerini uygulama talimatlarını kim veriyor? ☑️

Bu soruların çoğuna evet yanıtı veriliyorsa, şirketin veri sorumlusu sıfatı doğrudan oluşur.

3. Kurgusal Örnek Olay: VNX Turizm ve Veri Sorumluluğu Tartışması

Olayın Arka Planı

VNX Turizm A.Ş., Türkiye merkezli bir tur operatörü olup, Avrupa’dan gelen müşterilerine özel seyahat paketleri sunmaktadır. Web sitesinde müşteri verileri (isim, pasaport bilgisi, sağlık durumu, özel talepler) toplanmakta; bu veriler yurt dışındaki NL Servis GmbH adlı Almanya merkezli otel rezervasyon sistemiyle paylaşılmaktadır.

Denetim ve İhlal

KVKK kapsamında yapılan bir denetimde:

  • Verilerin açık rıza olmaksızın Avrupa’ya aktarıldığı,

  • VNX firmasının, iş ortaklarına veri aktarım protokolü sunmadığı,

  • Almanya’daki şirketle yapılan sözleşmede veri sorumluluğu yükümlülüklerinin yer almadığı tespit edilmiştir.

VNX Turizm, “asıl veri işleyen Almanya’daki otel sistemidir, biz yalnızca yönlendiriciyiz” savunmasını yapsa da yapılan incelemede:

  • Web sitesinde rıza formunun bulunmaması,

  • İşleme amaç ve araçlarını kendisinin belirlemesi,

  • Veriyi bizzat toplaması

nedeniyle asıl veri sorumlusu sıfatına sahip olduğu sonucuna varılmıştır.

4. Pratik Hukuki Yükümlülükler

Veri sorumlusu olarak kabul edilen şirketler için KVKK ve GDPR kapsamında yerine getirilmesi gereken başlıca yükümlülükler:

a) Aydınlatma Yükümlülüğü

Veri toplarken ilgili kişiye;

  • Hangi verilerin toplandığı

  • Ne amaçla işleneceği

  • Kimlerle paylaşılacağı

  • Ne kadar süreyle saklanacağı

bilgilerinin açıkça verilmesi gerekir.

b) Açık Rıza Alma

Özel nitelikli veriler (sağlık, biyometrik, dini inanç) için açık rıza alınması şarttır. Bu rıza;

  • Belirli

  • Açık

  • Bilgilendirilmiş

olmalıdır. “Kullanım şartlarını okudum, kabul ettim” ibaresi tek başına yeterli değildir.

c) İdari ve Teknik Tedbirler

  • Siber güvenlik protokolleri

  • Yetki sınırlaması

  • Şifreleme

  • Loglama sistemleri

kurulmalı; ayrıca iç politika ve eğitimlerle çalışanlar bilinçlendirilmelidir.

d) Yurt Dışına Veri Aktarımı

KVKK’ya göre, yurt dışına veri aktarımı yalnızca:

  • Kurul tarafından “güvenli ülke” listesine alınan ülkelere

  • Yazılı taahhütname ve Kurul izniyle

mümkündür. Aksi takdirde idari para cezası uygulanır.

5. KVKK ve GDPR Arasındaki Temel Farklılıklar

Kriter KVKK GDPR
Yürürlük Alanı Türkiye Avrupa Ekonomik Alanı ve AB vatandaşları
Para Cezası 1.000.000 TL’ye kadar 20 milyon Euro veya yıllık cironun %4’ü
Açık Rıza Standardı Daha yumuşak Çok katı ve yazılı/ayrıştırılmış olmalı
Veri İşleyen Sorumluluğu Dolaylı Doğrudan sorumlu
Yetkili Kurum Kişisel Verileri Koruma Kurulu (KVKK) Ulusal Veri Koruma Otoriteleri

6. Uyumsuzluğun Doğurabileceği Riskler

Bir şirketin veri sorumlusu sıfatı taşımasına rağmen bu sorumluluğu yerine getirmemesi aşağıdaki risklere yol açabilir:

  • İdari para cezaları (KVKK’da 500.000 TL’ye kadar)

  • Tazminat davaları (özel nitelikli veri ihlallerinde)

  • Rekabet ihlali şikâyetleri

  • İtibar kaybı ve müşteri güveni sarsılması

  • Uluslararası veri akışı engeli

7. Uyum İçin Şirket İçi Stratejik Adımlar

Adım Açıklama
Veri Envanteri Oluşturma Hangi veriler hangi amaçla ve kimden alınıyor?
Aydınlatma Metni ve Politika Hazırlığı Tüm veri giriş noktalarında kullanılacak formlar
Rıza Yönetim Sistemi Açık rızaların ayrı toplanması ve kayıt altına alınması
Yurt Dışı Aktarım Prosedürü Kuruldan onay alınarak iş ortaklarıyla sözleşme yapılması
Eğitim ve Farkındalık Faaliyetleri Tüm personelin veri sorumluluğu konusunda bilgilendirilmesi

8. Sonuç

Her şirket, müşteri, çalışan, tedarikçi veya iş ortağından topladığı her kişisel veriyle birlikte veri sorumluluğu üstlenmiş olur. KVKK ve GDPR yalnızca büyük teknoloji devlerini değil, mikro ölçekte faaliyet gösteren tüm işletmeleri kapsar. Bu nedenle veri sorumlusu sıfatının doğuracağı yükümlülükleri bilmek ve bu yükümlülüklere uygun hareket etmek, yalnızca yasal zorunluluk değil, rekabet avantajı sağlayan bir etik ilke olarak da benimsenmelidir.

Hukuk Fakültesi Öğrencisi Gamze Akbulut

, , , , , , , , ,

About Post Author

Leave a Reply

Open chat
Avukata İhtiyacım var
Powered by Joinchat
Merhaba
Hukuki Sorunuz nedir ?
Call Now Button