Kişisel Verilerin Korunması Hususunda Şirketlerin Yükümlülükleri ve Cezai Yaptırımlar

Kişisel Verilerin Korunması Hakkında Kanun Gereğince Şirketlerin Yükümlülükleri

6698 Sayılı Kişisel Verilen Korunması Kanunu (KVKK) 07.04.2016 tarih 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir. Kanunun amacı,  kişisel verilerin işlenmesinde  başta  özel  hayatın gizliliği  olmak  üzere  kişilerin  temel  hak  ve  özgürlüklerini  korumak  ve  kişisel  verileri  işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.  

Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya  kısmen  otomatik  olan  ya  da  herhangi  bir  veri  kayıt  sisteminin  parçası  olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişileri kapsamaktadır.

KVKK gereğince, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veridir. Kişisel verilerin işlenmesi; tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilen, kaydedilen, depolanan, değiştirilen, yeniden düzenlenen, açıklanan, aktarılan, devralınan, sınıflandırılan ya da kullanılması engellenen her türlü işlemi kapsar. Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez, aktarılamaz.

Örneğin bir şirkete iş başvurusunda bulunan personelin öz geçmişindeki bilgiler, telefon numarası, adresi, cinsiyeti, okuduğu okullar, bitirdiği kitaplar, hobileri gibi her türlü bilgi kişisel veri kapsamındadır ve kişinin kendi rızası olmadan bir başkasıyla paylaşılması halinde cezai müeyyide söz konusu olacaktır. Veri sahiplerinin hakları vardır. Veri sahipleri;

  • Kişisel verilerinin işlenip işlenmediğini öğrenme,
  • Veriler işlenmiş ise, buna ilişkin bilgi ve yanlış işlenen verilerin düzeltilmesini talep etme,
  • Verilerin işlenme amacını ile bunların amaca uygun kullanılıp kullanılmadığını öğrenme,
  • İşlenme amacı ortadan kalkan verilerin silinmesini veya yok edilmesi ile 3. kişilere bildirim yapılmasını isteme,
  • Yurt içi ve dışında verilerin aktarıldığı 3. kişileri bilme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendileri aleyhine bir sonucun çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı şekilde işlenmesi nedeniyle uğradıkları tüm zararlarının giderilmesini talep etme haklarına sahiptirler.

Veri sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulması ile yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade ederken, veri işleyen veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi tanımlamaktadır. Veri sorumlusu kişisel verileri elde ettiği sırada veri sahibini aydınlatmalıdır. Veri sahibinin aydınlatılmasından anlaşılması gereken

  • Kişisel verilerin veri sahibinden hangi hukuki sebeple ve hangi yöntemle toplanacağının açıklanması,
  • Hangi amaçla işleneceği,
  • İşlenen verilerin kimlere hangi amaçla aktarılabileceği konusunda bilgi verilmesidir.

Dolayısıyla veri sorumlusu olan şirket, iş için başvuran bir kişiden aldığı öz geçmişin ne amaçla kullanılacağını, bu verinin hangi hukuki sebeple kullanıldığını, hangi amaçla işleneceğini, işlenen verilerin kimlerle paylaşacağını iş başvurusunda bulunan kişiye açıklamak zorundadır. Bu açıklama, doğal olarak ispat edilebilir nitelikte olmalı, yani yazılı olarak kişiye açıklanmalıdır. Dolayısıyla kişinin dolduracağı öz geçmiş formunun standart bir form olarak baştan düzenlenmesi ve KVKK’na uygun hale getirilerek iş başvurusunda bulunan kişiye imzalatılması gerekmektedir.

Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. Kişisel verilerin silinmesine,  yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.

Dolayısıyla basit bir personel alımı konusunda bile Şirketlerin KVKK’ya göre uyması gereken onlarca prosedür ortaya çıkmış durumdadır. Bu prosedürleri uyulmaması, kişisel verilerin 3. Şahıslarla paylaşılması gibi durumlarda şirketler çok ciddi cezai müeyyidelerle karşılaşabilirler. Bu basit bir örnek olup, şirketlerin ya da gerçek kişilerin 3. Şahıslarla paylaştığı tüm veriler aynı kapsamda değerlendirilmelidir.

Kişisel Verileri Koruma Kurumu/Kurulu

Kişisel Verileri Koruma Kurumu; KVKK gereğince kurulan idari ve mali özerkliğe sahip bir kamu tüzel kişiliğidir. Kişisel Verileri Koruma Kurulu, Kurum’un karar organıdır. Kurul; 12 Ocak 2017 tarihinde Yargıtay’da yemin ederek göreve başlamıştır. Kurul, kanunun altındaki ikincil mevzuatı yaratmak ve uygulanmasını sağlamakla, veri sorumluları sicilini tutmakla, kişisel veri sahiplerinin şikayetlerini değerlendirmekle ve kişisel verilerin temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamakla, gerektiğinde idari yaptırım uygulamakla görevlidir.

Şikâyet Süreci

Öncelikle veri sorumlusuna başvuru

Kişisel verilerinin ihlal edildiğini düşünen bir kişi öncelikle veri sorumlusuna başvurur. eri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç  otuz  gün  içinde  ücretsiz  olarak  sonuçlandırır. Veri  sorumlusu  talebi  kabul  eder  veya  gerekçesini  açıklayarak  reddeder  ve  cevabını ilgili  kişiye  yazılı  olarak  veya  elektronik  ortamda  bildirir. 

Kurula şikâyet

Başvurunun reddedilmesi,  verilen  cevabın  yetersiz  bulunması  veya süresinde  başvuruya  cevap  verilmemesi hâllerinde;  ilgili  kişi,  veri  sorumlusunun  cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir. Veri sorumlusuna başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz. Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.

Kurul, şikâyet üzerine re’sen inceleme yapar. Devlet  sırrı  niteliğindeki  bilgi  ve  belgeler  hariç;  veri  sorumlusu,  Kurulun,  inceleme konusuyla  ilgili  istemiş  olduğu  bilgi  ve  belgeleri  on  beş  gün içinde  göndermek  ve  gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır. Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde  Kurul,  tespit  ettiği  hukuka  aykırılıkların  veri  sorumlusu  tarafından  giderilmesine  karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.

Veri Sorumluları Sicili

Kurulun  gözetiminde,  Başkanlık  tarafından  kamuya  açık  olarak  Veri Sorumluları Sicili tutulur. Kişisel  verileri  işleyen gerçek  ve  tüzel  kişiler,  veri  işlemeye  başlamadan  önce  Veri Sorumluları  Siciline  kaydolmak  zorundadır.  Veri  Sorumluları  Siciline  kayıt  başvurusu  aşağıdaki  hususları  içeren  bir  bildirimle yapılır:

  • Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri
  • Kişisel verilerin hangi amaçla işleneceği
  • Veri  konusu  kişi  grubu  ve  grupları  ile  bu  kişilere  ait  veri  kategorileri  hakkındaki açıklamalar
  • Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları
  • Yabancı ülkelere aktarımı öngörülen kişisel veriler
  • Kişisel veri güvenliğine ilişkin alınan tedbirler
  • Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

Suçlar ve Kabahatler

Kişisel  verilere  ilişkin  suçlar  bakımından  26/9/2004  tarihli  ve  5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır. Kanunun  7  nci  maddesi  hükmüne  aykırı  olarak;  kişisel  verileri  silmeyen  veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.

Kabahatler bakımından ise aşağıdaki cezalar uygulanır:

  • Aydınlatma  yükümlülüğünü  yerine  getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
  • Veri   güvenliğine  ilişkin   yükümlülükleri   yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar
  • Kurul  tarafından  verilen  kararları  yerine  getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar
  • Veri   Sorumluları   Siciline   kayıt   ve   bildirim yükümlülüğüne  aykırı  hareket edenler hakkında  20.000  Türk lirasından  1.000.000  Türk lirasına kadar idari para cezası verilir.

Öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır. Sayılan  eylemlerin  kamu  kurum  ve  kuruluşları  ile  kamu  kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili  kamu  kurum  ve  kuruluşunda  görev  yapan  memurlar ve  diğer  kamu  görevlileri  ile  kamu kurumu  niteliğindeki  meslek  kuruluşlarında  görev  yapanlar  hakkında  disiplin  hükümlerine  göre işlem yapılır ve sonucu Kurula bildirilir.

Sonuç

Kişisel verileri elde eden, saklayan, işleyen, transfer eden ya da bunlardan birini/hepsini yapan tüm gerçek/tüzel kişilerin bilgi toplama, işleme, arşivleme, aktarma, imha etme proseslerini Kişisel Verilerin Korunması Hakkında Kanun’a uygun olarak gerçekleştirmesi için tüm ilgili proseslerini bilişim hukukçuları ile ve gerekirse dışarıdan profesyonel destek alarak gözden geçirmek/güncellemek/Kanuna uygun hale getirmek zorundadırlar. Aksi halde işine son verilen öfkeli bir çalışanın herhangi bir şikâyette bulunması durumunda çok ciddi yaptırımlarla karşı karşıya kalma ihtimali yüksektir.