Skip to main content
Ticaret HukukuVeri Koruma Hukuku

KVKK Kapsamında Startup’ların Yükümlülükleri

Yazar 4 Kasım 2022Ekim 3rd, 2023No Comments9 dakikalık okuma
KVKK Kapsamında Startup’ların Yükümlülükleri

KVKK kapsamında Startup’ların yükümlülüklerini eksiksiz bir biçimde gerçekleştirerek olası kişisel veri ihlallerini ortadan kaldırmayı sağlaması gerekmektedir.

Startup Nedir?

Startup’lar ortaya çıkardıkları yeni bir fikirle veya ortaya atılmış bir fikri geliştirerek işletmeler kurmaktadır. Bu işletmelerin kurulması ve geliştirilmesi sırasında Startup’lar tarafından ticari ve hukuki anlamda birçok yükümlülüğün yerine getirilmesi gerekmektedir. Bu yükümlülüklere örnek olarak hukuki anlamda ortaya atılan fikre ilişkin olarak fikri mülkiyetin korunması gösterilebilecektir. Benzer biçimde Startuplar’ın şirketleşmesi adına şirket kuruluşu, genel kurul ve yönetim kurulunun oluşturulması, startup faaliyeti için gerekli olan sözleşmelerin hazırlanması ve imza süreci gibi nasıl gerçekleştirileceği planlanması gereken birçok süreç bulunmaktadır.

Ticari ve hukuki yükümlülüklerin yanı sıra Startuplar’ın dikkat etmesi gereken en büyük konulardan biri de kişisel verilerin korunmasıdır. 7 Nisan 2016 tarihinde Resmî Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu ile birçok gerçek ve tüzel kişiye bu Kanun’a uygun olarak iş ve işlemler gerçekleştirilmesi yükümlülüğü getirilmiştir.

Startup KVKK Yükümlülükleri

Startup KVKK yükümlülükleri bu işletmelerce kişisel veri ihlallerini engellemek adına eksiksiz bir biçimde yerine getirilmelidir. 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde her türlü işlemi gerçekleştiren gerçek ve tüzel kişilerin bu Kanun’a uygun bir biçimde yükümlülüklerini yerine getirmesi gerekecektir. Startup’lar da bunlar arasında sayılmaktadır. 

Startup’lar şirket kuruluşu süreçlerini tamamladıktan ve faaliyetlerine başlamalarından itibaren kişisel veri işlemeye başlayacakları göz önüne alınarak 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uyumu sağlamalıdır. Bu noktada kişisel veri toplarken veya bu verileri işlerken kişisel verilerin korunması mevzuatına uygun bir biçimde kişisel veri işleme faaliyeti gerçekleştirilmeli, kişisel veri güvenliğini sağlamak adına organizasyon içerisinde yer alacak teknik ve idari tedbirleri belirlemeli, kişisel verilerin korunması mevzuatından kaynaklanacak olan hukuki metinleri hazırlamalıdır. İlgili metin ve tedbirlere ek olarak VERBİS sistemine kayıt ile yükümlü olması halinde kişisel veri envanteri hazırlaması ve bu envanter dikkate alınarak Veri Sorumluları Siciline kaydı gerekecektir.

6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca Startup’lar tarafından kişisel veri işlenmesi halinde bu veriler ilgili kişiden açık rıza alınmaksızın talep edilemeyecektir. Açık rızanın ilk basamağı olan aydınlatma yükümlülüğünün de en geç kişisel verilerin işlendiği sırada ilgili kişiye sunulması gerekmektedir. Kanun içerisinde ayrıca kişisel verilerin işlenme şartları sayma yoluyla açıklanmıştır. Startuplar’ın gerçekleştirdiği faaliyet kişisel veri işleme şartlarına tabi olduğu takdirde kişisel veri işleyen gerçek ve tüzel kişilere istisna tanınmış, yalnızca aydınlatma yükümlülüğünün yerine getirilmesi yeterli sayılmıştır. İlgili hüküm uyarınca kişisel verilerin açık rıza alınmaksızın şu hallerde işlenebilmesi mümkün olacaktır:

  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Yukarıda belirtilmiş olan kişisel veri işleme şartlarının yokluğu halinde kişilerden açık rıza alınması kanunen zorunludur. Kişisel verilerin işlenmesine ek olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak gösterilmiştir. Startup’ların bu tarz veriler işlemesi halinde açık rıza alması zorunludur ancak yukarıda sayılan sağlık ve cinsel hayat dışında kalan özel nitelikli kişisel veriler kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilecektir. 

Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan doktor, avukat vb. kişiler veya yetkili kurum ve kuruluşlar tarafından ilgili kişinin açık rızası aranmaksızın işlenebilecektir.

Startup KVKK yükümlülükleri kapsamında kişisel veri işlerken ilgili kişiye karşı aydınlatma yükümlülüğünü eksiksiz olarak yerine getirmelidir. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 10. maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümleri uyarınca ilgili kişi şu konularda bilgilendirilmelidir:

  • Veri sorumlusu ve temsilcisi olması halinde temsilcisinin kimliği,
  • İlgili kişinin kişisel verilerinin hangi amaçla işleneceği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçlarla aktarılacağı,
  • Kişisel verinin toplanma yöntemi ve hukuki sebebi,
  • 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 11. maddesi kapsamında sayılan hakları.

Startup’lar ayrıca işletecekleri internet sitelerinde ve mobil uygulamalarda kişisel verilerin korunması mevzuatını ilgilendiren birtakım metinlere de yer vermelidir. Bu metinlere gizlilik ve çerez politikaları örnek gösterilebilecektir.

Startup Gizlilik Politikası

KVKK kapsamında Startup’ların yükümlülüklerinden bir diğeri gizlilik politikası hazırlanmasıdır. Startup gizlilik politikası ilgili Startup’ın faaliyet alanı ve işlediği kişisel veriler dikkate alınarak kaleme alınmalıdır. Gizlilik politikası içerisinde veri sorumlusu ve veri sorumlusunun kimliği ile işlenen kişisel veriler ve bu verilerin aktarılması konuları açıklanmalıdır. Veri sorumlusu Startup’ın kişisel verileri hangi yollarla topladığına da değinilmelidir. Kişisel verilerin hangi amaçla ve hukuki sebeple işlendiği ve üçüncü taraflara aktarıldığı gösterilmelidir. Startup gizlilik politikası ayrıca kişisel verilerin aktarıldığı üçüncü tarafların kim veya kimler olabileceğine de yer vermelidir. Veri sorumlusu Startup ayrıca kişisel verilere ilişkin ilgili kişinin haklarına da yer vermelidir. Bu hakların varlığının yanı sıra hakların nasıl kullanılacağı veri sorumlusu Startup’a nasıl başvurulacağı da gösterilmelidir. Son olarak veri sorumlusu kişisel verilerin işlenme ve aktarılma amacı değiştiği durumları dikkate alarak bu değişiklikler sonucu veri sorumlusunun ilgili kişiyi hangi yollarla bilgilendireceğini açıklamalıdır.

Startup Çerez Politikası

KVKK kapsamında Startup’ların yükümlülüklerinden bir diğeri çerez politikası hazırlanmasıdır. İnternet sitesi ve uygulamalarında çerezler kullanan veri sorumlusu Startup, kullanıcılarını çerezlerin kullanılması ve bu çerezler aracılığıyla hangi verilerinin işlendiği kapsamında bilgilendirmelidir. Startup çerez politikası metni içerisinde kullanılan çerezler, türleri ve bu çerezlerin hangi süreyle kullanıcının kişisel verilerini sakladığı; çerezlerin hangi amaç ve hukuki sebeplerle işlendiği, üçüncü taraflara yapılan bir aktarım olması durumunda hangi amaç ve hukuki sebeplerle kim/kimlere aktarıldığı ile çerezlere ilişkin kullanıcının haklarına yer verilmelidir.

Yukarıda hukuki açıdan önem ihtiva eden KVKK kapsamında Startup’ların yükümlülükleri konusu genel bir çerçeveyle açıklanmıştır. KVKK kapsamında Startup’ların yükümlülükleri konusu oldukça önemli ve hukuki danışmanlık alınması gereken başlıca konulardan biridir. Daha fazla bilgi ve danışmanlık için hukuk büromuzla iletişime geçebilirsiniz.

AEY Legal

AEY Legal

AEY Legal, faaliyet göstermekte olduğu Fikri Mülkiyet Hukuku, E-Ticaret ve Bilişim Hukuku, Veri Koruma ve Siber Güvenlik Hukuku, Ticaret ve Şirketler Hukuku, Sözleşmeler Hukuku, Freelancer Hukuku, Tüketici Hukuku, Start-up Hukuku, Reklam ve Medya Hukuku başta olmak üzere birçok hukuk dalında ulusal ve uluslararası düzeydeki uyuşmazlık ve ihtilaflarla ilgili olarak Hukuki Danışmanlık, Uyum Yönetimi & Regülasyon, Dava Takibi & Uyuşmazlık Çözümü hizmetlerini müvekkillerine sunmaktadır.

İlgili Yazılar

Madrid E-Filing Uygulaması Fikri Mülkiyet HukukuMarka HukukuTicaret Hukuku Madrid E-Filing Uygulaması
25 Ekim 2023

Madrid E-Filing Uygulaması

AEY Legal
Deepfake'in Hukuki Değerlendirmesi Bilişim HukukuHukuki YazılarVeri Koruma Hukuku Deepfake’in Hukuki Değerlendirmesi
23 Ekim 2023

Deepfake’in Hukuki Değerlendirmesi

AEY Legal
İnternet Üzerinden Yapılan Sözleşmelerin Geçerliliği Borçlar HukukuSözleşmeler HukukuTicaret Hukuku İnternet Üzerinden Yapılan Sözleşmelerin Geçerliliği
20 Ekim 2023

İnternet Üzerinden Yapılan Sözleşmelerin Geçerliliği

AEY Legal
Scan the code