Makale Yazar(Ekrem Öncü)

Kisisel verilerin korunmasi kanunu yürürlüge giriyor, cezalar çok agir!
13.12.2019 00:00:00

Kisisel verilerin korunmasi kanunu yürürlüge giriyor, cezalar çok agir!

13 Aralik 2019, 09:17 ---

6698 sayili Kisisel Verilerin Korunmasi Kanunu 7 Nisan 2016 tarih ve 29677 sayili Resmi Gazete’de yayimlanarak yürürlüge girmistir. Bu Kanun 1995 yilinda kabul edilen Avrupa Birligi’nin 1995/46 sayili “Kisisel Verilerin Islenmesi ve Serbest Dolasimi Bakimindan Bireylerin  Korunmasina  Iliskin Direktif”i ile 2016 yilinda kabul edilen 2016/679 sayili “Avrupa Birligi Genel Veri Koruma Tüzügü (GDPR)”nün ülkemize yansimasidir.

Kisisel Verilerin Korunmasi Kanunu ve ayrica Kisisel Verileri Koruma Kurumu tarafindan hazirlanan Yönetmelikler, Tebligler, Kurul Kararlari, Taahhütnameler, Rehberler, Kilavuzlar ve diger dokümanlar Kisisel Verilerin Korunmasi konusunda hukuksal altyapi olusturmakta olup, ilgili tüm dokümanlar www.kvkk.gov.tr web sitesinde bulunmaktadir.

Kanunda yer verilen “veri sorumlulari” için “Veri Sorumlulari Sicili”ne kayit için son süre 31.12.2019 tarihidir. Bu nedenle de konu günceldir ve kapsama giren gerçek ve tüzel kisiler konuyu tartismakta ve islemlerini yetistirmeye çalismaktadir. Kanunun kapsami çok genis olup sadece veri sorumlulari bakimindan geçerli bir kanun degildir.

Kanunda yer verilen “veri sorumlusu” kavrami çok büyük öneme sahip. Nitekim sorumluluk veri sorumlusunda olacagi için hapis ya da idari para cezasina da veri sorumlusu muhatap olacaktir.

Veri sorumlusu ve veri isleyen

Kisisel Verilerin Korunmasi Kanunu’na göre;

Veri Sorumlusu kisisel verilerin islenme amacini ve yöntemini belirleyen kisidir. Yani veri isleme faaliyetinin “neden” ve “nasil” yapilacagi sorularinin cevabini verecek kisidir. Veri sorumlusu, kisisel verileri bizzat isleyebilecegi gibi, veri isleme faaliyetini gerçeklestirmek üzere üçüncü bir kisiyi de yetkilendirebilir.

Veri Isleyen ise, veri sorumlusunun verdigi yetkiye dayanarak onun adina kisisel verileri isleyen, veri sorumlusunun organizasyonu disindaki gerçek veya tüzel kisiler olarak tanimlanmaktadir. Bu kisiler, kisisel verileri kendisine verilen talimatlar çerçevesinde isleyen, veri sorumlusunun kisisel veri isleme sözlesmesi yapmak suretiyle yetkilendirdigi ayri bir gerçek veya tüzel kisidir.

6698 sayili Kanun, veri sorumlularinin Kurulun gözetiminde Baskanlik tarafindan tutulacak “Veri Sorumlulari Sicili”ne kaydolmalarini zorunlu kilmaktadir. Sicile iliskin usul ve esaslar ise Veri Sorumlulari Sicili Hakkinda Yönetmelikte belirlenmistir. Bununla birlikte veri sorumlulari siciline kayit yükümlülügüne getirilmis olan Istisnalar da bulunmaktadir. Avukatlar, Yeminli Mali Müsavirler, Mali Müsavirler, Arabulucular, siyasi partiler, Noterler, Gümrük Müsavirleri, sinirli olarak sendikalar yillik çalisan sayisi 50 kisi altinda olan ve yillik mali bilanço toplami 25 milyon TL (bilançolarin aktif büyüklügü toplaminin kastedildigini düsünmekteyim) altinda olan, herhangi bir veri kayit sisteminin parçasi olmak kaydiyla yalnizca otomatik olmayan yollarla kisisel veri isleyenler veri sorumlulari siciline kayit olmak zorunda degildir. Veri sorumlulari siciline kayit için son tarih 31.12.2019 tarihidir.

Ilgili kisiler tarafindan yapilan basvurularin cevaplanmasi yükümlülügü

Veri sorumlulari, ilgili kisiler/basvuranlar tarafindan yazili olarak veya Kurulun belirleyecegi diger yöntemlerle kendisine iletilen Kanunun uygulanmasiyla ilgili talepleri, niteliklerine göre en kisa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandiracaklardir. Ancak, islemin ayrica bir maliyet gerektirmesi hâlinde, veri sorumlusu, Kurulca belirlenen tarifedeki ücretleri basvuruda bulunan ilgili kisiden isteyebilir.

Kurul kararlarinin yerine getirilmesi yükümlülügü

Ilgili kisiler dogrudan Kuruldan talepte bulunamayip, öncelikle veri sorumlusundan talepte bulunacaklardir. Veri sorumlulari cevap vermez ya da yetersiz cevap verir ise Kuruldan talepte bulunmak mümkün olacaktir. 

Kurul, sikâyet üzerine veya ihlal iddiasini ögrenmesi durumunda resen görev alanina giren konularda yapacagi inceleme sonucunda bir ihlalin varligini tespit ederse, hukuka aykiriliklarin veri sorumlusu tarafindan giderilmesine karar vererek, karari ilgililere teblig eder. Veri sorumlusu, bu karari, teblig tarihinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirmek zorundadir.

Kisisel veri isleme envanteri hazirlama

Kisisel Veri Isleme Envanteri, faaliyetleri kapsaminda kisisel veri islemekte olan veri sorumlularinca tüm süreçlerin degerlendirilmesi, bu süreçler kapsamindaki tüm faaliyetlerin irdelenmesi, her faaliyetle ilgili islenen kisisel verilerin tek tek belirlenmesi, bu kisisel verilerin hangi amaçlar ve hukuki sebeple islendigi, aktarilip aktarilmadigi, kimlere aktarildigi, islenen kisisel verinin kimlere ait oldugu, her bir kisisel veri için veri sorumlusunca belirlenen saklama süresi, yurt disina aktarim yapilip yapilmadigi, verilerin güvenligi için hangi teknik veya idari tedbirlerin alindigi bilgilerinin detayli analizinin yapilmasi sonucunda ortaya çikacak bir tür rapordur.

Bu envanterin/raporun düzgün ve detayli hazirlanmasi ceza ile muhatap tutulmamak için çok önemlidir. Bu raporun hazirlanmasinda konunun uzmanlarindan destek alinabilir. Grup sirketlerinde her bir sirket ayri ayri bu islemleri yapacaktir. Nitekim, kanunda grup sirketlerine iliskin ayrica bir düzenlemeye yer verilmemistir. 

Sicile kayitla yükümlü olan veri sorumlulari, Kisisel Veri Isleme Envanteri hazirlamakla yükümlüdür. Sicil basvurularinda Sicile açiklanacak bilgiler Kisisel Veri Isleme Envanterine dayali olarak hazirlanacaktir. Ilgili kisi basvurularinin yanitlanmasinda ve ilgili kisiler tarafindan açiklanacak açik rizanin kapsaminin belirlenmesinde kisisel veri isleme envanterine dayali olarak Sicile sunulan ve Sicilde yayinlanan bilgiler esas alinacaktir.

Kvkk kapsaminda Türk ceza kanunu uyarinca düzenlenmis suçlar

Kanun’un Suçlar basligi altinda 17. maddesinde dogrudan Türk Ceza Kanuna (“TCK”) 135 ila 140. maddelerine atif yapilmis olup asagida yer alan suçlari isledikleri sabit olanlar hapis cezasi ile karsilasabileceklerdir.

Kisisel verilerin hukuka aykiri olarak kaydedilmesi halinde, TCK 135. madde kapsaminda, hukuka aykiri olarak kisisel verileri kaydeden kimseye 1 yildan 3 yila kadar hapis cezasi verilecegi düzenlenmistir. Bu kisisel verilerin kisilerin siyasi, felsefi veya dini görüslerine, irki kökenlerine; hukuka aykiri olarak ahlaki egilimlerine, cinsel yasamlarina, saglik durumlarina veya sendikal baglantilarina iliskin olmasi durumunda verilecek ceza yari oraninda artirilacaktir.

Kisisel verilerin hukuka aykiri olarak baskasina verilmesi, yayilmasi ve ele geçirilmesi halinde, TCK 136. madde kapsaminda, kisisel verileri, hukuka aykiri olarak bir baskasina veren, yayan veya ele geçiren kisinin, 2 yildan 4 yila kadar hapis cezasi ile cezalandirilacagi düzenlenmistir.

Kanuni sürelerin geçmis olmasina ragmen verilerin yok edilmemesi halinde ise, TCK

  1. madde kapsaminda, kanunlarin belirledigi sürelerin geçmis olmasina karsin verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde 1 yildan 2 yila kadar hapis cezasi verilecegi düzenlenmistir.

Kabahatler kanununa göre verilecek cezalar

Kanun’un 18. maddesi Kabahatler basligi altinda düzenlenmis olup, asagida yer verilen yükümlülükleri yerine getirmeyen veri sorumlusu gerçek ve tüzel kisilere miktari Kanun’un ilgili maddesinde düzenlenen araliklarda olmak üzere Kurul tarafindan idari para cezalari verilebilir. Kanun’un 10. maddesinde düzenlenen;

- Aydinlatma yükümlülügünü yerine getirmeyenler hakkinda 0 TL - 100.000 TL,

- Veri güvenligine iliskin yükümlülükleri yerine getirmeyenler hakkinda 15.000 TL- 1.000.000 TL ,

- Kurul tarafindan verilen kararlari yerine getirmeyenler hakkinda 25.000 TL- 1.000.000 TL,

- Veri Sorumlulari Siciline kayit ve bildirim yükümlülügüne aykiri hareket edenler hakkinda 20.000 TL- 1.000.000 TL kadar para cezasi verilebilecektir.

Yukaridaki ihlallerin kamu kurum ve kuruluslari ile kamu kurumu niteligindeki meslek kuruluslarinda islenmesi halinde, Kurulun yapacagi bildirim üzerine, kamu kurum ve kurulusunda görev yapan memurlar ve diger kamu görevlileri, kamu kurumu niteligindeki meslek kuruluslarinda görev yapanlar hakkinda disiplin hükümlerine göre islem yapilacak ve sonuç Kurul’a bildirilecektir.

Kisisel Verilerin Korunmasi Kanunu’na uyum için taninan süre uzatilmamasi halinde 31.12.2019 tarihinde dolacaktir. Bu nedenle veri sorumlusu tüm kisi ve kurumlarin kanuna uyum ile ilgili çalismalarini tamamlamalari için çok süre kalmamistir. KVKK düzenlemelerine uymamanin cezasi ise hem idari para cezasi hem de hapis cezasi olarak oldukça agirdir.

Önemle vurgulamak gerekir ki, bu cezalar her bir olay basina verilecektir. Bu da çok uç boyutlarda cezalari gündeme getirebilecektir. Örnegin, bir yilda 50 olayla karsilasilmasi halinde 50.000.000 TL’ye kadar idari para cezasi gündeme gelebilecektir. Yine, 50 defa hapis cezasi ile karsilasmak da sürpriz olmayacaktir. Cezalarin bu sekilde uygulanmasi ülkeyi kilitleyebilir. Konu ivedilikle Kurul tarafindan uygulamanin nasil olacagi boyutuyla açikliga kavusturulmalidir. Ayrica, bir islem için 15.000 TL den 1.000.000 TL’ye kadar açik marjda para cezasi öngörmek makul olmamistir. 15.000 TL’den 30.000 TL’ye kadar demek makul olarak algilanabilir ama üst marji 1.000.000 TL koymak oldukça agir bir yaptirim olmustur. Kanunda birçok net olmayan nokta bulunmakla birlikte Kurul sitesine koydugu soru cevaplarla net olmayan konulara açiklik getirmeye çalismistir.

Kaynak : http://www.finansgundem.com/yazarlar