Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca şirketler, veri sorumlusu sıfatıyla kişisel verileri işlerken birtakım önemli yükümlülüklere tabidirler. Bu yükümlülükler, kişisel verilerin hukuka uygun bir şekilde işlenmesini, korunmasını ve veri sahibinin haklarının güvence altına alınmasını sağlamayı amaçlar.
KVKK'nın temelinde, kişisel verilerin işlenmesinde hukuka ve dürüstlük kurallarına uygunluk, doğru ve güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyulması yer alır.
Şirketlerin başlıca yükümlülükleri şunlardır:
Veri sorumlusu şirketler, kişisel verileri elde ederken veri sahiplerini (ilgili kişileri) aydınlatmak zorundadır. Bu aydınlatma, en az aşağıdaki hususları içermelidir:
Kanun'da sayılan kişisel veri işleme şartlarından birinin bulunmadığı durumlarda veya özel nitelikli kişisel verilerin işlenmesi durumunda (Kanun'da belirtilen istisnalar hariç), ilgili kişinin "açık rızası" alınmalıdır. Açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.
Şirketler, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik idari ve teknik tedbirleri almak zorundadır.
İdari Tedbirler: Politika ve prosedürlerin oluşturulması, iç denetim, eğitim, gizlilik taahhütnameleri, yetki matrisleri.
Teknik Tedbirler: Ağ güvenliği, erişim logları, şifreleme, güvenlik duvarları, yedekleme, sızma testleri.
Veri İhlali Bildirimi: İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından ele geçirilmesi durumunda, veri sorumlusu bu durumu en kısa sürede (72 saat içinde) Kişisel Verileri Koruma Kurumu'na (KVKK) ve ilgili kişilere bildirmekle yükümlüdür.
Veri sorumlusu şirketler, kendi adına kişisel veri işleyen (örneğin dış kaynak sağlayıcıları, bulut hizmetleri) gerçek veya tüzel kişilerin Kanun hükümlerine uygun hareket etmesi için gerekli denetimleri yapmak veya yaptırmakla yükümlüdür.
Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, şirketler kişisel verileri resen veya ilgili kişinin talebi üzerine silmek, yok etmek veya anonim hale getirmekle yükümlüdür. Bu işlemler, Kanun ve Yönetmelik'te belirtilen usul ve esaslara uygun olarak yapılmalıdır.
Kişisel Verileri Koruma Kurulu tarafından belirlenen kriterleri karşılayan veri sorumlusu şirketlerin, Veri Sorumluları Sicili'ne (VERBİS) kayıt olması zorunludur. Bu kayıt sırasında veri işleme amaçları, veri kategorileri, veri aktarımları, veri güvenliği tedbirleri gibi bilgiler beyan edilir.
Veri sahiplerinin Kanun'un 11. maddesinde belirtilen haklarına ilişkin (örneğin verilerin silinmesi, düzeltilmesi, işlenip işlenmediğinin öğrenilmesi) taleplerini veri sorumlusuna iletmesi durumunda, şirketler bu talepleri Kanun'da belirtilen süreler içinde (genellikle 30 gün) ve usulüne uygun şekilde sonuçlandırmak zorundadır.
Kişisel verilerin yurt dışına aktarılması, yurt içine aktarımda aranan şartlara ek olarak Kanun'da belirtilen özel şartlara tabidir. Bu şartlar, aktarımın yapılacağı ülkenin yeterli koruma sağlaması veya yeterli korumanın bulunmaması durumunda veri sorumlusunun taahhütname vermesi ve Kurul'un iznini alması gibi hususları içerir.