Kişisel verilerin korunması, ülkemizde yeni bir alan olmakla birlikte KVK Kurumu'nun firmalara uygulamakta olduğu idari para cezaları ile Türk firmalarının dikkatini çekmektedir. 24.03.2016 tarihli 6698 sayılı KVKK'nın öngörmüş olduğu yükümlülüklerin ihlali halinde veri sorumlularının idari para cezası ve hapis cezası riskleri söz konusudur.
Veri Sorumlusu Sorumlulukları
24.03.2016 tarihli 6698 sayılı KVKK gereğince Veri Sorumlularının yüzeysel anlamda sorumlulukları şu şekilde sayılabilir:
Veri sahiplerinin aydınlatılması
Verilerin ne sebeple ve hangi kanuna dayanılarak elde edildiği, aktarıldığı
ve elde bulundurma sürelerini içeren envanter kaydı
KVKK Politikasının belirlenmesi
VERBİS kaydı
Veri sahiplerine etkin başvuru ve şikâyet imkanlarının sağlanması
Teknik ve idari tedbirlerin alınması
İdari Yaptırımlar
Kanunun 18. Maddesinde KVKK’nın ilgili maddelerine aykırı olarak;
Veri elde etme, depolama, işleme, aktarma eylemlerine ilişkin olarak 15.000 TL’den 1.000.000 TL’ye kadar
Aydınlatma yükümlülüğünün yerine getirilmediği her bir süreç için 5.000 TL’den 100.000 TL’ye kadar,
Kurul kararlarının yerine getirilmemesi halinde 25.000 TL’den 1.000.000 TL ye kadar,
Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 TL’den 1.000.000 TL’ye kadar
Cezai Yaptırımlar
İdari para cezası uygulanacağı öngörülmüştür. İlgili cezalar yakın zamana kadar uygulanmaktadır. Verilen cezaların net tutarı ise kurum tarafından; ihlalin büyüklüğü ve mevzuata aykırı hareket eden kurumun idari ve teknik tedbirleri alıp almadığı koşulları gözetilerek belirlenmektedir. Örneğin, https://www.kvkk.gov.tr/Icerik/5496/2019-81-165
Kişisel verilerin hukuka aykırı olarak kaydedilmesi TCK m.135 de düzenlenmiş olup; 1 yıldan 3 yıla kadar hapis cezası öngörülmüştür. İşlenen veriler özel nitelikte ise verilen ceza yarı oranında artırılır.
Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan ele geçiren kişi 2 yıldan 4 yıla kadar hapis cezası ile cezalandırılır.
Kanunların belirlediği süreler geçmiş olmasına rağmen kişisel verileri yok etmekle yükümlü kişiler, görevlerini yerine getirmez ise 1 yıldan 2 yıla kadar hapis cezası ile cezalandırılır.
VERBİS’e Kayıt Yükümlülüğü
Veri sorumlusunun çalışan sayınızın 50’den çok veya yıllık mali bilanço toplamınızın 25 milyon TL’den fazla olması yalnızca VERBİS’e kayıt zorunluluğu ilgili olup ilgili şartların sağlanmaması Veri Sorumlusunun KVKK’dan sorumluluğunu ortadan kaldırmaz.
Veri sorumluları VERBİS kaydı olsun ya da olmasın şikâyet edilmeleri halinde kurum denetimine tabi olacak ve ihlalin tespiti durumunda yukarıda belirtilen yaptırımlarla karşılaşabileceklerdir. Kurum hali hazırda veri sorumlularını denetlemektedir.
Veri sorumluları, alacakları hukuki danışmanlık çerçevesinde kanunun aradığı şartları sağlayabilmektedir. İlgili süreç veri sorumlusunun işletmesinin büyüklüğüne göre 3-6 ayı bulmaktadır.
KVKK UYUMLULUK PROJESİ SÜREÇLERİ
Personel Eğitimi
Personelin KVKK hakkında bilgilendirilmesini amaçlayan sunumların yapılması, Personelin yükümlülüklerinin bildirilmesi, yükümlülük ihlallerinde, işverenin haklı fesih ve zararlarının rücusuna ilişkin haklarının personele tebliği edildiği süreçtir.
Personelle ikili görüşmeler yapılması
Kişisel verilerin elde edilmesi süreçleri hakkında bilgi alınması, Personellerin hangi süreçlerde hangi verilere temas ettiğinin tespit edilmesi sürecidir.
Veri Envanterinin Çıkarılması
Kurum ya da kuruluşun bütün departmanlarında işlenen her türlü belgenin incelenerek, hangi kişisel verilerin, hangi amaçlar için kullanıldığı, nasıl elde edildiği, kimlerle paylaşıldığı, kaç yıl depolandığının tespitinin yapılması. Yapılan tespitler sonucu KVK Kurumu’nun VERBİS Sorumlusu Şirketlere tutulmasını zorunlu tuttuğu Kişisel Veri Envanteri’nin hazırlanma süreci ifade etmektedir.
Süreç Planlanması
Veri işleme, aktarma ve imha süreçlerinin kanun kapsamında düzenlendiği ve şirkete özel dizayn edildiği, başvuru ve şikâyet süreçlerinin planlandığı, veri minimizasyonunun sağlanması, başvuru evraklarının hazırlandığı, dışarıdan alınan hizmetlere ilişkin sözleşmelerin güncellendiği süreci ifade etmektedir.
KVKK uyumluluk metinlerinin Hazırlanması
Kurum veya kuruluş tarafından kişisel verileri işlenen kişilere yasal zorunluluk gereği sunulması gerekli olan Kişisel Veri Aydınlatma ve Açık Rıza metinlerinin hazırlandığı, veri sahiplerine ulaştırılma sürecidir.
KVKK Politikalarının Belirlenmesi
Kişisel Verileri Koruma Kanunu kapsamında KVK kurumunun tarafımızdan beklediği Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi, Veri işleyenler ile ilişkilerin yönetilmesine ilişkin kararların alındığı, Personel disiplin yönetmeliğinin KVKK ya uygun şekilde revize edildiği süreçtir.
KVKK Uyum Projesi Raporunun hazırlanması ve VERBİS kaydının yapılması
Veri sorumlusunun mevcut proje öncesi durumu ve alınan önlemler, hazırlanan metinler ve yapılan işi özetleyen raporun hazırlandığı ve Veri Sorumluları Siciline kaydın yapıldığı süreçtir.
Comments