KİŞİSEL VERİLERİN KORUNMASI KANUNU YÜRÜRLÜĞE GİRDİ!
ŞİRKETLERE AĞIR YAPTIRIMLAR KAPIDA. SON TARİH 31 ARALIK!
Kişisel verilerin korunması disiplini, AB uyum süreci kapsamında 07.04.2016 tarihinde yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu ile hukukumuza dahil edildi. Kanun’un amacı başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini koruyarak söz konusu kişisel verileri işleyen tüm gerçek ve tüzel kişilerin yükümlülüklerini belirlemekt. Kanunun getirdiği yasal yükümlülüklere uyulmaması durumunda ise şirketleri ağır yaptırımlar bekliyor.
Kişisel verilerin korunması özellikle teknolojinin ve bilgi alışveriş hızının ileri derecede geliştiği günümüzde birçok dinamiği ile hayati önem arz eden bir konu. Her ne kadar ülkemize gelmesi, kanunlaşma süreci ve pratikte uygulanabilirliği bugün bile tartışmalı olsa da amacı ve korunan menfaatin değeri gereğince asla gözardı edilmemesi gereken hatta özellikle büyük şirketlerce üzerinde durulması ve düşünülmesi gereken bir konu.
Küresel ekonomide belirli bir ivme ile büyüme gösteren ülkemiz her ne kadar bu günlerde hız kesmiş olsa da özellikle iç piyasada bulunan ve sermaye gücü oranında pazarda pay sahibi olan birçok ticari şirket bünyesinde istihdam ettiği çalışanların ve müşterilerinin kişisel verilerini hukuken korumak zorunda. Ticari şirketler, kişisel verilerin korunmasına riayet etmedikleri takdirde telafisi mümkün olmayan ağır itibar kayıpları ile beraber çok ağır idari para cezalarıyla karşılaşabilecekleri gibi Türk Ceza Kanunu kapsamında doğacak cezai sorumluluklarla da karşı karşıya kalabilecek.
KİŞİSEL VERİ NEDİR, NASIL İŞLENİR VE NASIL KORUNUR?
6698 sayılı Kişisel Verilerin Korunması Kanununa göre;
Kişisel veri; Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, ifade etmektedir. Bu tanıma göre örneğin; isim, soyisim, T.C. Kimlik Numarası, taşıt plakası, kredi kartı ve banka kartı hesapları ve bilgileri, eğitim bilgileri ve belgeleri, konum bilgisi, dinamik IP adresi bilgisi gibi kişilere ait her türlü bilgi kişisel veri kapsamında yer almaktadır. Ayrıca kişisel verilerin daha özel nitelikli olanları ise gerçek kişilerin uyruğu, ırkı, etnik kökeni, dini ve felsefi inancı, siyasi düşüncesi, vakıf, dernek veya siyasi parti üyeliği ile ceza, mahkumiyet ve adli sicil bilgileri, yine biyometrik ve genetik verilerini ifade edecektir. Söz konusu özel nitelikli kişisel veriler daha sıkı işleme ve sorumluluk şartlarına tabi tutulacaktır.
Yukarıda bir kısmı sayılan kişisel veriler üzerinde yapılan herhangi bir kopyalama, kaydetme, taşıma, gönderme, yedekleme, yayımlama ve paylaşma faaliyetleri ile verinin öznesi olan gerçek kişinin fotoğraf ve video kaydına alınması gibi faaliyetler veri işleme olarak değerlendirilecektir.
İşte söz konusu bu verilerin işlenmesi sorumluluğu kanunda veri sorumlusu olarak belirlenen kişide olup kanuna göre veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade etmektedir.
Ticari işletmelerin faaliyetleri doğrultusunda ister istemez kişisel veri işledikleri düşünülerse her birinin ayrı ayrı veri sorumlusu olarak karşımıza çıktığını görmekteyiz., Kanunun çizdiği sınırlara aykırı hareket edilmesi diğer bir deyişle kişisel veri ihlalinin ortaya çıkması durumunda çalışanlarının ve/veya müşterilerinin kişisel verilerini işleyen ticari işletmeler bu Kanuna göre ciddi müeyyidelerle karşılaşacaklardır.
KİŞİSEL VERİLERİ KORUMA KURUMU
6698 sayılı Kanunun yürürlüğe girdiği tarihten itibaren hızlı bir şekilde Kişisel Verileri Koruma Kurum’unun teşkilatı tamamlanarak kurulması sağlandı. Kurumun başlıca görevi, re’sen denetimler veya yapılan şikayetler sonucunda ortaya çıkan hukuki durumu değerlendirerek kanundaki yükümlülükleri ihlal eden veri sorumlularına ciddi idari yaptırımlar uygulamak.
KURUMDAN FACEBOOK’A REKOR CEZA
Bu yaptırımlardan en dikkat çekenleri ise, Kurul’un 11.04.2019 tarih ve 2019/104 sayılı kararı ile dünyaca ünlü sosyal paylaşım sitesi Facebook hakkında veri güvenliğinin sağlanmaması sebebiyle 1.100.000 TL miktarlı verdiği ceza. Ayrıca yine kurulun, 16.05.2019 tarih ve 2019/143 sayılı bir başka kararında ise Marriott International Inc. hakkında yine veri güvenliğinin sağlanamaması sebebiyle 1.100.000 TL idari para cezası uygulandı.
TİCARİ ŞİRKETLER DİKKAT VERBİS’E KAYIT ŞART!
Özellikle ticari şirketler açısından KVKK’nın getirdiği yasal yükümlülükler maddi olarak büyük bir tehdit oluşturuyor. Şöyle ki, Kişisel Verileri Koruma Kurulunun, Veri Sorumluları Sicili Hakkında Yönetmeliğinin 16. Maddesine dayanarak çıkarmış olduğu 19.07.2018 tarih ve 2018/87 sayılı kararı ile yıllık çalışan sayısı 50’den çok ve yıllık mali bilanço toplamı 25 milyon TL’den çok olan tüzel kişiler için Kurum tarafından VERBİS’e kayıt tarihi en geç 31.12.2019 tarihi olarak kararlaştırılmış. VERBİS sistemi ise, söz konusu kişisel verilerin kaydedilmesi ve korunmasının amaçlandığı bir sistem olup bizzat ilgili veri sorumluları tarafından envanterler, açık rıza beyanları, aydınlatma formları ve metinleri ile yapılacak olan bir fizibilite çalışmasının mevzuat gereği pratiğe dökülmesini amaçlayan bir sistem. Söz konusu bu sisteme kayıtların yapılmaması halinde ise 1 Milyon TL’ye kadar idari para cezaları şirket sahiplerini bekliyor.
TİCARİ ŞİRKETLER NE YAPMALI?
Özellikle yıllık çalışan sayısı 50’den çok ve yıllık mali bilanço toplamı 25 milyon TL’den çok olan tüzel kişiler VERBİS’e kayıt için elini çabuk tutmak zorunda. Son tarih 31 Aralık. Bu şartı sağlamayan diğer ticari şirketler ise yalnızca VERBİS sistemi açısından muaf. Kanunun getirdiği diğer yükümlülükler ve yükümlülüklere uyulmadığı halde karşılaşılacak olan idari para cezaları onları da kapsıyor.
Leave a Reply