Kişisel Verilerin Korunması Kanunu ile uyumlu musunuz?

0
109

Kişisel Verilerin Korunması Kanunu, kısaca KVKK, 7 Nisan 2016’da yürürlüğe girmişti, Kişisel Verileri Koruma Kurulu’nun da Ocak ayında göreve başlamasıyla KVKK artık sade vatandaştan büyük holding şirketlere kadar herkesin gündeminde. Kanun kişisel verileri işleyenlere pek çok yükümlülük getirdiği gibi mevzuata uyumsuzluk veya KVKK’nın ihlali halinde şirketlere veya yöneticilerine ciddi ve ağır yaptırımlar öngörüyor. KVKK’yı Paksoy Ortak Avukat Bürosu kurucusu ve kıdemli ortağı Av. Serdar Paksoy ile konuştuk.

Kişisel Verilerin Korunması Kanunu neler getirdi?
Kişisel verilerin korunması hakkı, 2010 yılındaki bir değişiklikle, Avrupa Birliği’ne uyum çalışmaları kapsamında Anayasa’da yer bulmuştu. Kişilere ait isim, adres, TC kimlik numarası, telefon numarası gibi kişilerin teşhisini sağlayan veriler kanun kapsamına alındı. Artık bu tür verilerin elde edilmesinden, kaydedilmesine, depolanmasına veya muhafaza edilmesine kadar her işlem kanuna uygun olarak yapılmak durumunda. Bu bilgi veya verilerin her ne şekilde olsun kullanılması veya sadece elde dahi tutulması, şirket kayıtlarında yer alması, şirket dosyalarında veya bilgisayarlarında bulundurulması, örneğin şirketin insan kaynakları veya bilişim teknolojisi bölümlerinde yer alması, tasnifi veya muhafazası suretiyle, neredeyse her şirket, yönetici veya çalışan KVKK hükümleri uyarınca yükümlülüklerle karşı karşıyalar. Ayrıca, kişilere ait özel bilgiler, ırk, etnik köken, siyasi düşünce, felsefi inanç, din veya mezhep bilgileri yahut diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel eğilim veya hayat hakkında bilgiler yahut ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler “özel nitelikli kişisel veri” olarak kabul ediliyor ve bunların işlenmeleri daha zor şartlara tabi tutuluyor.

Kimler bu kanuna uymakla yükümlü?
Kanun en küçüğünden en büyüğüne tüm şirketleri ve sektörleri yakından ilgilendiriyor; her şirket en azından kendi çalışanlarına ait kişisel verileri saklayıp kullandığı için, sadece bu nedenle dahi kanun kapsamında görülüyor. Sonuç olarak tüm şirketler, bankacılıktan, medyaya, sigorta sektöründen, perakendeye veya eğlence sektörüne kadar hem kendi çalışanlarına hem müşterilerine ait kişisel verileri toplayıp muhafaza ettikleri, kullandıkları veya işledikleri için veri sorumlusu olarak addedilmektedirler. Bu kapsamda; şirketlerce ilgili kişinin bilgilendirilerek isim, adres, telefon numarası, e-posta adresleri başta olmak üzere kişisel verisinin işlenmesi, kaydedilmesi veya kullanılması için kanunda belirtilen istisnai durumlardan birine dayanmaları veya bu kişiden açık onay veya rızasının alınması şart.

Dolayısıyla tüm şirketlerimizin, yöneticilerimizin KVKK’ya uyum sağlamak amacıyla vakit kaybetmeden harekete geçmeleri gerekiyor.

Kanun, aykırılık halinde ne tür yaptırımlar öngörüyor?
Kanun ciddi yaptırımlar öngörüyor. Dokuz üyeden oluşan bağımsız ve özerk Kişisel Verileri Koruma Kurulu Ocak 2017 tarihi itibariyle göreve başladı; bu şu anlama geliyor, kanuna aykırılık halinde artık şirketlere yüksek tutarlı idari ve adli para cezaları uygulanabilecek. Kurul’un 1,000,000 TL’ye kadar varan idari para cezası verme yetkisi bulunuyor.

Kurul, tıpkı Rekabet Kurulu veya RTÜK, BDDK, SerPK örneğinde olduğu gibi şikayet üzerine veya re’sen mevzuata uygunluk denetimleri yapmaya başladı. Kanun ayrıca şahıslara karşı hürriyeti bağlayıcı hapis cezaları öngörüyor. Kişisel verileri hukuka aykırı olarak kaydedenler 1 yıldan 3 yıla kadar, hukuka aykırı olarak veren veya ele geçirenler 2 yıldan 4 yıla kadar, verileri yok etmeleri gerektiği halde yok etmeyenler 1 yıldan 2 yıla kadar hapis cezası ile karşı karşıya kalıyor.

Yani yaptırımlar azımsanamayacak ölçüde, yakın zamanda uyum sağlanmazsa, KVKK’ya aykırılık nedeniyle ciddi cezalara maruz kalan şirketlere rastlayabiliriz.

Kanuna uyum süreci nasıl ele alınmalı?
Uyumlaştırma süreci gerçekten herkesin merak ettiği bir husus. Bu süreci sadece teknik bir iyileştirme ile tamamlamak mümkün değil, hukuki bir çalışmayı mutlaka gerekli görüyoruz. Hem hukuk, hem teknik ekiplerin müdahil olacağı bir süreç ile uyumlaştırmanın sağlanması mümkün. Öncelikle, şirketin mevcut uygulamalarının, kişisel verilerin korunması perspektifinden incelenip anlaşılması çok önemli. Şirketin kanun karşısında mevcut durumunu, varsa eksikliklerini belirlemek, bu doğrultuda da şirketi mevzuata uyumlu hale getirme çalışmalarına başlamak gerekiyor. Uyum süreci tahmin edeceğinizden daha uzun bir vakit alabiliyor. Sonrasında ise, şirketin faaliyetlerini mevzuata uyumlu şekilde sürdürmesinin sağlanması ve Nisan ayında yürürlüğe girmesi beklenen ikincil mevzuata uyum sürecinin iyi yönetilmesi gerekiyor. Yani, uyumlaştırma süreci tamamlandıktan sonra konuyu rafa kaldırmak mümkün görünmüyor. Şirketin her zaman mevzuata uyumlu şekilde faaliyet gösterebilmesi için, güncel gelişmelerin takip edilmesi ve şirket içindeki kontrol ve denetimlerin hız kesmemesi büyük önem arz ediyor. Özetle, henüz uyumlaştırma çalışmalarına başlamamış şirketlerin uyum sürecine vakit kaybetmeden başlamaları gerekiyor.