2016 yılında hayatımıza giren Kişisel Verileri Koruma Kanunu kapsamında da ihbar ve şikayetlere dayalı denetimler yapıldığı gibi önümüzdeki günlerde ilgili kurumun denetim elemanlarınca da KVKK’dan kaynaklanan edimlerin yerine getirilip getirilmediği ile ilgili saha denetimlerinin başlayacağı duyumları alınmaktadır.
İşletmelerimizin cezalı duruma düşmemeleri bakımından özellikle ilgili kanunun 12 .maddesinde yer alan ve önemli bir ceza yükümlülüğü olan denetim yapmak veya yaptırmak yükümlülüğünden bahsedeceğiz.
Genel Açıklama
Günümüzde, gerek resmî kurumlar ve gerekse özel sektördeki kurumlar, her gün binlerce kişiye ait çeşitli bilgilere ulaşabilmektedir. Elde edilen bilgiler, bilişim teknolojilerindeki hızlı gelişmelerin de sonucu olarak, kolayca işlenebilmekte ve aktarılabilmektedir.
Bu dönüşüm, şirketlerin gizlilik ve güvenlik alanındaki gereksinimlerini arttırarak, dijitalleşmeyi zorunlu hâle getirmiştir. Bu zorunluluk, çeşitli organizasyonlar tarafından, aynı zamanda bir “teknolojik yeniden yapılanma” fırsatı olarak da görülebilmektedir. 2016 yılında hayatımıza giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) nedeniyle, gizlilik ve güvenlik alanında yeterli altyapı ve birikime sahip olmayan kuruluşlar bu alana odaklanmaya başlamışlardır.
Kişisel Verilerin Korunması, temel insan haklarından biri olan özel hayatın gizliliği ile doğrudan ilişkilidir. Türkiye’de KVKK öncesinde, Kişisel Verilerin Korunması ile ilgili kurallar, Türk Ceza Kanunu, Anayasa ve diğer çevre mevzuat ile belirlenmekteydi. 6698 Sayılı Kişisel Verilerin Korunması Kanunu, bu alandaki en önemli ve yaptırımları en ağır yasal düzenlemedir.NediNe Kişisel verilerin korunması ile ilgili ihmal ve ihlaller, işletmelere ağır hukuki ve cezai sorumluluklar yükler. Örneğin, 2024 yılı itibarıyla aydınlatma yükümlülüğüne aykırılık hâlinde 946.308 TL’ye kadar; veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırılık hâlinde 9.463.213 TL’ye kadar yaptırım uygulanır. Kişisel verilerin belirlenen süre içinde imha edilmemesi hâlinde 2 yıla kadar; hukuka aykırı işlem hâlinde ise 4 yıla kadar hapis cezasına hükmedilir. Benzer şekilde GDPR ile ilgili uyum sorunlarında, şirketin bir önceki yıla ait küresel cirosunun %4’ü veya 20.000.000 Euro’ya kadar yüksek para cezalarının uygulanması söz konusudur.
KVKK Kapsamında Veri Sorumlusunun Yükümlülükleri
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Kanuna göre veri sorumlusu kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.
Kişisel Verilerin Korunması Kanunu’nun 12. maddesine göre, veri sorumlusu;
• Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
• Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
• Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Aynı maddeye göre ayrıca, veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
Kişisel Verilerin Korunması Kanunu’nda yukarıda belirtilen yükümlülüklerin yerine getirilmemesi halinde 1 milyon TL’ye kadar idari para cezası uygulanması hükmü yer almaktadır.
Bu itibarla müşterilerimizin, hem kayıt ve belgelerinin KVKK’ya uygun hale getirilerek kişisel verilerin doğru şekilde işlenmesini sağlamak hem de olası bir yaptırımla karşı karşı kalmamak adına gerekli denetimleri yaptırarak denetim raporlarını KVKK dosyalarında muhafaza etmeleri önem arz etmektedir.
Bu kapsamda yapılacak denetimlerin sadece durum tespiti niteliğinde olmaması, birinci ve ikinci seviye yönlendirme raporlarıyla desteklenmesi sağlıklı bir süreç yürütümü açısından gereklidir.