Kişisel Verilerin Korunması Kanununun Getirdikleri!

Kişisel Veri Nedir?

Kişiyi doğrudan veya dolaylı olarak tanımlanabilir kılan her türlü bilgi kişisel veri niteliğindedir. Kişisel veri, T.C. kimlik numarası, fotoğraf, cep telefonu numarası, e-posta adresi, sağlık ve finans bilgileri gibi pek çok bilgiyi kapsamı altına alıyor.

Kişisel Verilerin Korunması Kanunu’nun (KVKK) 7 Nisan 2016 tarihinde yürürlüğe girmesiyle beraber Türkiye’de yeni bir döneme girildi.

6698 Sayılı Kişisel Verilerin Korunması Kanunu, herhangi bir sınırlama getirmeksizin her türlü şirketin iş akışında elde ettiği kişisel veriler hakkında düzenlemeler getiriyor ve bunlara aykırı davranılması halinde de şirketleri ciddi idari para cezaları bekliyor!

KVKK İş Hayatına Nasıl Girdi?

Kişisel Verilerin Korunması Kanunu 7 nisan 2016 tarihinde yürürlüğe girdi. Söz konusu Kanun Avrupa Birliği uyum süreciyle birlikte hukuk düzenimize dahil oldu. Kişisel Verilerin Korunması Kanunu artık hayatımızın heryerinde etkisini gösteriyor. Mesela bir kafeye oturdunuz ve kahvenizi yudumlarken gözünüz size doğrulmuş bir kameraya ilişti. Etrafınıza baktığınızda bulunduğunuz ortamın kamerayla takip edildiğine dair bir bilgilendirme yoksa…İşte size bir ihlal! Kafe işletmecisi Kişisel Verilerin Korunması Kanununun getirdiği yaptırımlarla karşılaşmak istemiyorsa ortamın kameralarla izlendiğini bildiren tabelaları görünür yerlere asmalı. Aksi halde bir anda 100.000 TL’lik bir idari para cezasıyla karşılaşabilir. 

Bir başka örnek vermek gerekirse, şirket çalışanlarına dağıtılan telefonlarda dahili takip cihazı varsa bunu çalışanınıza mutlaka bildirmeniz ve bu şekilde bir kullanım için onayını almanız gerekli. Görüldüğü üzere Kişisel Verilerin Korunması Kanunu şirket çalışanlarını da koruma kapsamına almakta, müşterilerini aydınlatma yükümü altında olan şirketlerin, aynı şekilde çalışanlarını söz konusu Kanun kapsamında aydınlatma zorunluluğu getirmektedir. Yine parmak iziyle girilen işyerlerinde biyometrik verilerin kullanımının izne tabi olması da karşımıza çıkan bir başka konu. KVKK, diğer meselelerde olduğu gibi  bu tarz konulardada  açık rıza alma zorunluluğu getiriyor.

Avrupa Birliği Ülkelerinde KVKK Yaptırımları 

25 Mayıs 2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Yönetmeliği’nin (GDPR) düzenlemelerine aykırı davranan şirketlere, 20 milyon Euro’ya varan veya daha yüksek bir miktar olması halinde bir önceki mali yılın toplam cirosunun yüzde 4’ü oranında cezalar verilebiliyor.

Türkiye’de ise KVKK ve alt mevzuatlara aykırı davranılması halinde 1 milyon TL’ye varan yaptırımlar uygulanıyor. Halihazırdaki idari para cezası tutarlarının artırılması gündeme gelmiş durumda.

Türkiye’de cezalar nedir?
Kişisel Verileri Koruma Kurumu tarafından yaklaşık 100 şirkete yaklaşık  9 milyon TL’lik ceza kesildi. Söz konusu idari para cezaları genelde şikayet ve ihbar üzerine olduğu gibi, yapılan denetimler sonucunda da verilebiliyor. Ya da şirket, çalışanlarına KVKK hakkında hukuki eğitim vermediğini veya uğradığı siber saldırıyı Kişisel Verilerin Korunması Kurumuna bildirmesi üzerine yapılan denetimle yine idari para cezası ile karşılaşabiliyor.Burada şirketin bu bildirimi yapmak zorunda olduğunu aksi halde idari para cezası ödemek zorunda kalacağını da belirtmek gerekmektedir.

VERBİS uygulaması hangi şirketler için geçerli?
Şirketlerin çalışma prensiplerine bakıldığında ticaretin doğası gereği müşterilerin kişisel verilerini işleme mecburiyeti kaçınılmaz. KVKK, kişisel veri işleyen şirketler ve kamu kurumları için önemli bir dönüşümü beraberinde getiriyor. Bunlardan bir tanesi de hazırlanacak kişisel veri işleme envanteri uyarınca Veri Sorumluları Sicili’ne (VERBİS) kayıt olunması.

Buna göre sicile kayıt zorunluluğu şirketin personel sayısı ve/veya yıllık mali bilançosu gibi kriterler dâhilinde belirleniyor. Şirketinizdeki çalışan sayınız 50 kişiden fazla veya 25 milyon TL cironuz varsa VERBİS’e kayıt olmanız 01 Ocak 2019’a kadar kayıt olmanız gerekiyor. Diğer şirketler için ise bu süre 2020’nin Mart ayında son buluyor.

Veri ihlali nedir?

Mesela İspanya Liginin yayıncı kuruluşu, maç yayınları için bir telefon uygulaması aracılığıyla şirket müşterilerinin cep telefonlarının mikrofonuna erişiyor. Söz konusu şirketin amacı, müşterinin bulunduğu yerde kaçak TV yayını var mı bunu tespit etmek olsa da söz konusu şirket, izinsiz eriştiği bu ses kayıtları nedeniyle 250 bin Euro ceza aldı. 

Bir işçinin yanlış e-postası bile veri ihlali sayılıyor, işte burada da şirket sahiplerine ve çalışanlarına verilecek hukuki eğitimin önemi ortaya çıkıyor.

Bu kanun sadece şirketleri mi kapsıyor?

Her ne kadar daha çok şirketlerden bahsetmiş olsak da KVKK apartman yönetimini bile kapsamına almaktadır. Mesela apartmanda aidat borçlularının listesi asılması dahi KVKK kapsamında bir ihlal demek. Ülkemizdeki birçok üniversite öğrenci notlarını herkese açık bir şekilde ilan edemiyor artık.

Kişisel verilerin korunması konusunda en dikkatli olması gereken sektörler hangileri?

En riskli sektörler; bankacılık, sağlık, sigorta, ithalat-ihracat, telekomünikasyon, turizm, e-ticaret ve perakende olarak sıralanabilir. Aslında neredeyse tüm sektörler, azami dikkati göstermesi gerekmektedir. Şirketin 3 çalışandan oluşması veya 100kişiden oluşması ihlal açısından herhangi bir fark arzetmemektedir. Şirket internet sitelerine KVKK hakkında bir metnin ilave edilmesi ile şirketler sorumluluktan kurtulamıyor. Sürecin uzman kişilerce idare edilmesi gerekiyor.

İdari Para Cezaları Herhangi Bir Ortamda Yayınlanıyor Mu?
KVKK.gov.tr’den örnek kararlara ulaşılabilir.Kişisel verileri Koruma Kurumu veri ihlali yapan şirketleri paylaşıyor, bu da ister istemez söz konusu şirketlerin piyasadaki güvenilirliğini ve prestijini azaltıyor.

Şirketlerin Nasıl Hareket Etmesi Gerekiyor?
Burada ilk adım farkındalıkla başlıyor. Birçok şirket KVKK kapsamında verilen hizmet karşılığı ücreti fazla bulup kendi bünyesindeki çalışanlarıyla bu yükümlülükleri yerine getirmeye çalışıyor. Ancak bahsi geçen şirketler geçirdiği bir denetimden sonra aldığı 400.000 TL’lik bir idari para cezasıyla bu işin ancak uzmanlar tarafından yapılabileceğini anlıyor. 

                                                             Öğr.Gör.Av.Serhan KARAARSLAN

                                          İstanbul Uyuşmazlık Çözüm Merkezi Direktörü