6698 Sayılı Kişisel Verilerin Korunması Kanunu İle Öngörülen Cezasız Süre Sona Erdi

Bugün, daha önceki yazılarımızda incelediğimiz 7 Nisan 2016 tarihinde yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Hakkındaki Kanunda (“KVKK”) öngörülen bazı maddelerin yürürlüğünün ertelendiği gün olan 7 Ekim 2016.

Dolayısı ile bugün kişisel verilerin özellikle yurtdışına aktarılması, veri sahibinin KVKK kapsamında haklarının kendisine veri sorumluları tarafından bildirilmesi ve buna ilişkin sistemlerin kurulması, veri sahibi tarafından veri sorumlusuna ve Kurula başvurunun ve cezaların yer aldığı maddeler bugün itibariyle yürürlüğe girmiş bulunmakta.

Bugün, aynı zamanda KVKK’da kurulması öngörülen Kişisel Verileri Koruma Kurulu’na TBMM tarafından seçilmesi gerekli olan 5 üyenin seçimi Resmi Gazetede yayımlandı. 

Şimdi ne olacak?

• Eğer KVKK’da bir değişiklik olmazsa Kişisel Verileri Koruma Kurulunun diğer 4 üyesinden 2’si Cumhurbaşkanı ve  2’si de Bakanlar Kurulu tarafından seçilecek ve Kurul oluşturulacak.
• Kurul’un oluşmasıyla birlikte yaklaşık 195 kişi olacak Kurumun organizasyonu tamamlanacak ve KVKK’nın uygulanmasına ilişkin çalışmalar başlatılacak.
• Bu çalışmalar, öncelikli olarak ikincil mevzuatın hazırlanması şeklinde olacak.

Özellikle KVKK kapsamında, veri sorumlusu ve veri işleyen sıfatına sahip kişiler ve şirketler, henüz uyum çalışmalarını yapmadı ise ne yapmalılar?

İvedilikle;

• Şirketlerde kişisel veri toplayan ve işleyen birim başkanları ve yöneticileri ile toplanıp şirketin her türlü yolla edindiği Kişisel Verilerin akış şemalarını oluşturmalılar;
• Kişisel Verilerini topladıkları kişilerden almaları gereken onay ve bilgilendirme metinlerini ve mekanizmalarını oluşturmalılar;
• Yurtdışına veri aktarımı için onay mekanizmalarını kurup KVKK’ya uygun veri aktarımı gerçekleştirmeliler.

Bununla paralel KVKK’da yer alan diğer yükümlülüklerle birlikte, veri güvenliğine ilişkin yükümlülüklerini yerine getirebilmek amacıyla özellikle;

• KVKK uyum sürecinin yönetimi için şirketin büyüklüğü dikkate alınarak başta bilişim ve hukuk danışmanları olmak üzere, varsa risk yöneticisi ve iç denetçilerden oluşan bir uyum projesi ekibi oluşturulmalı,
• Şirkette veri işleme faaliyetlerine ve uyuma dair hukuki ve teknik bir iç denetim yapılmalı,
• Şirket adına veri işleyen üçüncü kişilerle, hak ve yükümlülüklere dair sözleşmesel bir altyapı kurulmalı,
• Şirket tarafından kullanılan iş başvuru formları dâhil tüm sözleşmeler, veri işleme ve aktarımı açısından incelenmeli, uyum programı çerçevesinde tadil edilmeli,
• Yabancı ortaklı şirketler açısından grup politikaları da dikkate alınarak şirket içi ve dışı veri kullanım politikaları belirlenmeli,
• Şirkette veri sorumlusunun temsilcisi olarak bir veri koruması görevlisi ya da uyum görevlisinin istihdamı değerlendirilmeli ve görev tanımı ile yetkilendirmeleri yapılmalı,
• Şirket organizasyon şeması yeniden düzenlenmeli,
• Kişisel verinin 3. kişilere veya yurtdışına aktarılması durumunun olup olmadığı, varsa aktarım yapılan kişi ve ülkelere dair yükümlülükler tespit edilmeli,
• Kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve hukuki alt yapı kurulmalı,
• Şirketteki üst düzey yöneticiler ile veri işleyen durumundaki operasyonel birimlerin eğitim programlarının alt yapısı hazırlanmalı.  

Harekete geçmezsek ne ile karşılaşabiliriz?

KVKK, uyum açısından,

-          7.04.2016 tarihinden önce işlenmiş olan kişisel veriler için bir istisna getirmiş olup bu verilerin işlenme prosedürlerinin de 7.04.2018’e kadar sürecek bir uyum dönemi içinde Kanun hükümlerine uygun hâle getirilmesi gerekiyor.

-          7.04.2016 tarihinden sonra işlenen veriler için ise 7.10.2016’ya kadar tanınan cezasız süre bugün sona erdi.

Bugünden itibaren Kurul’un kurulması ve çalışmaya başlamasıyla, KVKK’da öngörülen şartlara ve veri işlemeye dair kurallara uyum çalışmalarını tamamlamış olmayan şirketler ve yöneticileri önümüzdeki süreçte yapılacak denetimler kapsamında 1 ilâ 4 yıl arasında değişen hapis cezaları ile ihlal başına 1 milyon TL’ye kadar varabilen idari para cezaları gibi ağır yaptırımlarla karşı karşıya kalabilirler.

-          Burada dikkat edilmesi gereken bir konu, bir şirketin farklı mevzuatlar nedeniyle kişisel veri koruması düzenlemelerine aykırı davranışları nedeniyle farklı kurumlarca farklı idari para cezalarına çarptırılması riskidir. Buna bir örnek olarak Bilgi Teknolojileri ve İletişim Kurumu tarafından verilebilecek cezalar gösterilebilir.

Bu nedenle, veri işleyen şirketlerin en kısa zamanda uyum süreçlerini tamamlamış olmalarını tavsiye ediyoruz.

***