Size nasıl yardımcı olabiliriz?
Köşe Yazıları
img

Dr. Ekrem Öncü

Yeminli Mali Müşavir

Kişisel verilerin korunması kanunu yürürlüğe giriyor, cezalar çok ağır!

  • 13 Aralık 2019

6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Bu Kanun 1995 yılında kabul edilen Avrupa Birliği’nin 1995/46 sayılı “Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin  Korunmasına  İlişkin Direktif”i ile 2016 yılında kabul edilen 2016/679 sayılı “Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR)”nün ülkemize yansımasıdır.

Kişisel Verilerin Korunması Kanunu ve ayrıca Kişisel Verileri Koruma Kurumu tarafından hazırlanan Yönetmelikler, Tebliğler, Kurul Kararları, Taahhütnameler, Rehberler, Kılavuzlar ve diğer dokümanlar Kişisel Verilerin Korunması konusunda hukuksal altyapı oluşturmakta olup, ilgili tüm dokümanlar www.kvkk.gov.tr web sitesinde bulunmaktadır.

Kanunda yer verilen “veri sorumluları” için “Veri Sorumluları Sicili”ne kayıt için son süre 31.12.2019 tarihidir. Bu nedenle de konu günceldir ve kapsama giren gerçek ve tüzel kişiler konuyu tartışmakta ve işlemlerini yetiştirmeye çalışmaktadır. Kanunun kapsamı çok geniş olup sadece veri sorumluları bakımından geçerli bir kanun değildir.

Kanunda yer verilen “veri sorumlusu” kavramı çok büyük öneme sahip. Nitekim sorumluluk veri sorumlusunda olacağı için hapis ya da idari para cezasına da veri sorumlusu muhatap olacaktır.

Veri sorumlusu ve veri işleyen

Kişisel Verilerin Korunması Kanunu’na göre;

Veri Sorumlusu kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani veri işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir. Veri sorumlusu, kişisel verileri bizzat işleyebileceği gibi, veri işleme faaliyetini gerçekleştirmek üzere üçüncü bir kişiyi de yetkilendirebilir.

Veri İşleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler olarak tanımlanmaktadır. Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişidir.

6698 sayılı Kanun, veri sorumlularının Kurulun gözetiminde Başkanlık tarafından tutulacak “Veri Sorumluları Sicili”ne kaydolmalarını zorunlu kılmaktadır. Sicile ilişkin usul ve esaslar ise Veri Sorumluları Sicili Hakkında Yönetmelikte belirlenmiştir. Bununla birlikte veri sorumluları siciline kayıt yükümlülüğüne getirilmiş olan İstisnalar da bulunmaktadır. Avukatlar, Yeminli Mali Müşavirler, Mali Müşavirler, Arabulucular, siyasi partiler, Noterler, Gümrük Müşavirleri, sınırlı olarak sendikalar yıllık çalışan sayısı 50 kişi altında olan ve yıllık mali bilanço toplamı 25 milyon TL (bilançoların aktif büyüklüğü toplamının kastedildiğini düşünmekteyim) altında olan, herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler veri sorumluları siciline kayıt olmak zorunda değildir. Veri sorumluları siciline kayıt için son tarih 31.12.2019 tarihidir.

İlgili kişiler tarafından yapılan başvuruların cevaplanması yükümlülüğü

Veri sorumluları, ilgili kişiler/başvuranlar tarafından yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle kendisine iletilen Kanunun uygulanmasıyla ilgili talepleri, niteliklerine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracaklardır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde, veri sorumlusu, Kurulca belirlenen tarifedeki ücretleri başvuruda bulunan ilgili kişiden isteyebilir.

Kurul kararlarının yerine getirilmesi yükümlülüğü

İlgili kişiler doğrudan Kuruldan talepte bulunamayıp, öncelikle veri sorumlusundan talepte bulunacaklardır. Veri sorumluları cevap vermez ya da yetersiz cevap verir ise Kuruldan talepte bulunmak mümkün olacaktır. 

Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda yapacağı inceleme sonucunda bir ihlalin varlığını tespit ederse, hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek, kararı ilgililere tebliğ eder. Veri sorumlusu, bu kararı, tebliğ tarihinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirmek zorundadır.

Kişisel veri işleme envanteri hazırlama

Kişisel Veri İşleme Envanteri, faaliyetleri kapsamında kişisel veri işlemekte olan veri sorumlularınca tüm süreçlerin değerlendirilmesi, bu süreçler kapsamındaki tüm faaliyetlerin irdelenmesi, her faaliyetle ilgili işlenen kişisel verilerin tek tek belirlenmesi, bu kişisel verilerin hangi amaçlar ve hukuki sebeple işlendiği, aktarılıp aktarılmadığı, kimlere aktarıldığı, işlenen kişisel verinin kimlere ait olduğu, her bir kişisel veri için veri sorumlusunca belirlenen saklama süresi, yurt dışına aktarım yapılıp yapılmadığı, verilerin güvenliği için hangi teknik veya idari tedbirlerin alındığı bilgilerinin detaylı analizinin yapılması sonucunda ortaya çıkacak bir tür rapordur.

Bu envanterin/raporun düzgün ve detaylı hazırlanması ceza ile muhatap tutulmamak için çok önemlidir. Bu raporun hazırlanmasında konunun uzmanlarından destek alınabilir. Grup şirketlerinde her bir şirket ayrı ayrı bu işlemleri yapacaktır. Nitekim, kanunda grup şirketlerine ilişkin ayrıca bir düzenlemeye yer verilmemiştir. 

Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanacaktır. İlgili kişi başvurularının yanıtlanmasında ve ilgili kişiler tarafından açıklanacak açık rızanın kapsamının belirlenmesinde kişisel veri işleme envanterine dayalı olarak Sicile sunulan ve Sicilde yayınlanan bilgiler esas alınacaktır.

Kvkk kapsamında Türk ceza kanunu uyarınca düzenlenmiş suçlar

Kanun’un Suçlar başlığı altında 17. maddesinde doğrudan Türk Ceza Kanuna (“TCK”) 135 ila 140. maddelerine atıf yapılmış olup aşağıda yer alan suçları işledikleri sabit olanlar hapis cezası ile karşılaşabileceklerdir.

Kişisel verilerin hukuka aykırı olarak kaydedilmesi halinde, TCK 135. madde kapsamında, hukuka aykırı olarak kişisel verileri kaydeden kimseye 1 yıldan 3 yıla kadar hapis cezası verileceği düzenlenmiştir. Bu kişisel verilerin kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda verilecek ceza yarı oranında artırılacaktır.

Kişisel verilerin hukuka aykırı olarak başkasına verilmesi, yayılması ve ele geçirilmesi halinde, TCK 136. madde kapsamında, kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin, 2 yıldan 4 yıla kadar hapis cezası ile cezalandırılacağı düzenlenmiştir.

Kanuni sürelerin geçmiş olmasına rağmen verilerin yok edilmemesi halinde ise, TCK

madde kapsamında, kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde 1 yıldan 2 yıla kadar hapis cezası verileceği düzenlenmiştir.

Kabahatler kanununa göre verilecek cezalar

Kanun’un 18. maddesi Kabahatler başlığı altında düzenlenmiş olup, aşağıda yer verilen yükümlülükleri yerine getirmeyen veri sorumlusu gerçek ve tüzel kişilere miktarı Kanun’un ilgili maddesinde düzenlenen aralıklarda olmak üzere Kurul tarafından idari para cezaları verilebilir. Kanun’un 10. maddesinde düzenlenen;

- Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 0 TL - 100.000 TL,

- Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 TL- 1.000.000 TL ,

- Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 TL- 1.000.000 TL,

- Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 TL- 1.000.000 TL kadar para cezası verilebilecektir.

Yukarıdaki ihlallerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarında işlenmesi halinde, Kurulun yapacağı bildirim üzerine, kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri, kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacak ve sonuç Kurul’a bildirilecektir.

Kişisel Verilerin Korunması Kanunu’na uyum için tanınan süre uzatılmaması halinde 31.12.2019 tarihinde dolacaktır. Bu nedenle veri sorumlusu tüm kişi ve kurumların kanuna uyum ile ilgili çalışmalarını tamamlamaları için çok süre kalmamıştır. KVKK düzenlemelerine uymamanın cezası ise hem idari para cezası hem de hapis cezası olarak oldukça ağırdır.

Önemle vurgulamak gerekir ki, bu cezalar her bir olay başına verilecektir. Bu da çok uç boyutlarda cezaları gündeme getirebilecektir. Örneğin, bir yılda 50 olayla karşılaşılması halinde 50.000.000 TL’ye kadar idari para cezası gündeme gelebilecektir. Yine, 50 defa hapis cezası ile karşılaşmak da sürpriz olmayacaktır. Cezaların bu şekilde uygulanması ülkeyi kilitleyebilir. Konu ivedilikle Kurul tarafından uygulamanın nasıl olacağı boyutuyla açıklığa kavuşturulmalıdır. Ayrıca, bir işlem için 15.000 TL den 1.000.000 TL’ye kadar açık marjda para cezası öngörmek makul olmamıştır. 15.000 TL’den 30.000 TL’ye kadar demek makul olarak algılanabilir ama üst marjı 1.000.000 TL koymak oldukça ağır bir yaptırım olmuştur. Kanunda birçok net olmayan nokta bulunmakla birlikte Kurul sitesine koyduğu soru cevaplarla net olmayan konulara açıklık getirmeye çalışmıştır.

Bu yazıyı paylaş: