Kişisel Verilerin Korunması Kanunu kapsamında sadece tek bir çalışanı olan ve sadece son tüketiciyle muhatap olan bir işletmenin, restaurantın, otelin, acentenin, tuhafiyenin, kasabın, tek başına çalışan bir serbest meslek mensubunun dahi kanundan doğan birçok idari sorumluluğu düzenlenmişti. Ancak veri siciline kayıt olması gereken birçok işletmenin, sicile hatalı kayıtlı olmaları nedeniyle durum değerlendirmesi yapılarak, süreç uzatıldı. Yükümlülükler, işletmeler için 30 Haziran 2020 tarihine dek uzatıldı. Ancak yükümlülükler değişmedi. O yüzden defalarca üzerinde durulması ve farkındalık geliştirilmesi mecburiyeti olan bu hukuki konu üzerinde bir kez daha bu platformda yazmak istedim. Neden bu kadar önemli olduğunun ilk açıklaması, yazımda belirteceğim idari para cezaları bedelleri.
Bu farkındalığın önündeki en önemli engel ise, kanunun sadece birilerini ilgilendirdiğine dair bir ön sanrı. Oysa, yazının başında bahsettiğim üzere, kanunun uygulaması, en küçük işletmeyi dahi ilgilendiriyor ve bu işletmeler de idari para ezalarından muaf değil. İdari para cezalarına ilişkin ilke ise, işletmenin küçüklüğü veya büyüklüğü değil, kanuna aykırılığa karşı ne kadar önlem alınıp alınmadığının, ispatlanmasıdır. İşte tam da bu nedenle, kanunun yükümlülük olarak getirdiği hukuki ve teknik önlemlerin alınması öne çıkmaktadır.
Bu düzenleme ile kanunun yükümlülük silsilesini ikiye ayırarak incelendiğinde, ilki, işletmenin veri siciline kayıtlı olması; ki bunun şartları 50 veya üzeri çalışana sahip ve 25 milyon TL ciroya sahip işletmelerin gerekliliğidir. Eğer işletme bu özellikleri taşıyorsa, öncelikle veri siciline kayıt olması gerekmektedir.
Bunun dışındaki işletmeler ise, kanuna uyum sürecinden geçmek durumundalar. Bu ise, işletmenin hem kendi müşteri ve son tüketiciyle, hem kendi hizmet sözleşmelerinde çalışanları ile hem de kendileri gibi veri sorunlusu olan paydaş işletmelerle ilişkilerini düzenleyen sözleşme ve taahhütname gibi hukuki belgelerin revize edilmesi ve kanuna uyum için gerekiyorsa yeniden düzenlenmesi gerekmektedir. En basit haliyle, müşteri ile aydınlatma yükümlülüğünün yerine getirildiğinin ispatı için dahi taahhütname imzalanması ve saklanması söz konusu olmaktadır. Veri siciline kayıt olma yükümlülüğü olmayan işletmeler de dahil olmak üzere, kanunda belirtilen şekilde güncel veri envanteri ile veri imha politikası hazırlamaları gerekmektedir.
Kanuna uyum sürecinin yerine getirildiğinden söz edebilmek için, aşağıdaki yol haritasını takip etmek bir çözüm olabilir.
İşletmenin VERİLERİN TOPLANMASI VE KORUNMASI risklerini hem idari yani belgelendirme anlamında, hem de teknik alanlarında tespit etmesi,
İşletmenin çalışanlarını KVKK çerçevesinde, farkındalık eğitimine tabii tutmaları,
İşletmelerin yukarıda açıklanan sözleşme ve taahhütname gibi hukuki belgelerdeki revize veya yeni baştan düzenlenmelerinin yapılması ,
Teknik ve dijital tedbirlerin alınması,
Veri envanterinin ve veri imha politikasının hazırlanması,
Veri Siciline kayıt olması gereken bir işletme ise, veri siciline kayıt işlemlerini tamamlaması gerekmektedir. Bu süreç, 30 Haziran 2020 tarihine dek uzatıldı.
VERİ SİCİLİNİ KORUMA KURULU İDARİ PARA CEZALARI
Kanunun 18. Maddesinde idari para cezaları yer almaktadır. Bu Kanunun;
- a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
- b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
- c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.
Görüldüğü üzere, idari para cezaları alt ve üst sınırları arasındaki açıklık muazzamdır ve belirlenmesine dair keyfiyet idareye, yani veri Sicili Koruma Kurulu’na verilmiştir. Burada kurul, somut olayın kendi şartlarına göre, gerekli tedbir ve düzenlemelerin alınıp alınmadığını denetleyerek, olayın özelliklerine dayanarak idari para cezası belirlemektedir. Kanuna dair uygulamaların aykırılıklarının sürmesi halinde ise, mükerrerlik hükümleri uygulanarak cezaların yükseltilmesi yetkisi de kurulundur.