6698 Sayılı Kişisel Verilerin Korunması Hakkında Kanun’un 2016 yılında yürürlüğe girmesiyle birlikte hayatımızda daha fazla yer tutmaya başlayan verilerin korunması hususu aslında 2010 yılında Anayasa’nın 10’uncu Maddesi’nde yapılan değişiklikle mevzuat içerisinde ilk defa kendisine yer bulmuştur.
Ancak ne 2010 yılından ne de 2016 yılından sonra veri işleyen şirketler tarafından veri korunmasına ilişkin gerekli özen gösterilmemektedir.
Anayasal ve kanuni düzenlemenin yanında Türk Ceza Kanunu 136’ncı Madde Uyarınca da verileri hukuka aykırı olarak verme veya ele geçirme eylemleri bakımından da elinde veri bulunduran kişilerin cezai yaptırımla karşılaşmamak adına verileri korumak bakımından sorumluluğu olduğu belirtilmekte suçun cezası ise bir yıldan üç yıla kadar öngörülmektedir.
Kişisel verilere ilişkin kanuni düzenlemelerin neleri, neden koruduğu da özellikle ticari şirketler tarafından anlaşılamamış olacak ki; belirli şirketler ve veri işleyen gerçek kişiler tarafından zorunlu tutulan veri sorumluları sicil bilgi sistemine (VERBİS) kayıt işlemi haricinde kalan şirketler kendilerinin kanundan muaf olduğunu düşünmektedir.
Oysa aşağıda açıklanacağı şekilde kişisel veri işleyen her şirketin kişisel verilerin korunması kanunu uyarınca sorumluluğu bulunduğu unutulmamalıdır.
KANUN KAPSAMINDA BİR MUAFİYET BULUNMAMAKTADIR
6698 Sayılı Kanun’un kapsamı “Bu kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.” şeklinde belirlenmiştir.
Görüldüğü üzere özellikle kanunun kapsamında herhangi bir sınırlama veya muafiyet kaleme alınmamış olup kişisel veri işleyen gerçek veya tüzel kişilerin tamamı bakımından kişisel verilerin korunması gerektiği düzenleme altına alınmıştır.
Muafiyet ile ilgili ülkemizde karıştırılan durum ise VERBİS adı verilen veri sorumluları siciline kayıt bakımından yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumlularının, yurtdışında yerleşik gerçek ve tüzel kişi sorumlularının, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek veya tüzel kişi sorumlularının, kamu kurum ve kuruluşu veri sorumlularının sorumlulukları bulunmakta olup geri kalan şirketlerin ise VERBİS kayıt zorunluluğu bulunmamakla birlikte işledikleri verileri koruma yükümlülüğü bulunmaktadır.
KİŞİSEL VERİLERİN KORUMA ALTINA ALINMASI SÜRECİ
Özellikle ticari faaliyette bulunan bir iş yerinin topladığı tüm veriler örneğin; işçilerle ilgili hazırlanan özlük dosyasındaki veriler, işyerinde kamera ile toplanan görüntü kayıtları, müşterilerden toplanan veriler, çağrı merkezi üzerinden kayıt altına alınan görüşmeler gibi birçok verinin şirket tarafından korunması ve üçüncü kişilerin eline geçmesinin önlenmesi gerekmektedir.
Bu aşamada öncelikle bir envanter listesi oluşturularak iş yerinde toplanan tüm verilerin listesi çıkartılmalı ve hangi verinin hangi kanuni amaç kapsamında toplandığının belirlenmesi gerekmektedir.
Kişisel verilerin korunması politikası oluşturulması aşamasında öncelikli olarak göz önünde bulundurulması gereken kural, toplanan tüm verilerin minimize edilmesi gerektiğidir.
Şirketin topladığı verilerin korunması açısından bir diğer önemli husus ise hangi veriye hangi çalışanın erişebildiğinin belirlenmesi ve çalışanların kişisel verilerin korunmasına ilişkin mevzuat uyarınca bilgilendirilmesi, bu doğrultuda sorumlulukların kişilere bildirilmesi gerektiğidir.
Çalışan vasıtasıyla kanuna aykırı bir eylemin gerçekleştirilmesi durumunda dahi şirketin sorumluluğu olduğu ve karşılaşılabilecek idari para cezalarının yüksek miktarda olduğu unutulmamalıdır.
Toplanan verilere ilişkin oluşturulan iş yeri politikası uyarınca sürekli nitelikte kontrollerin ve denetimlerin yapılması gerekecek ayrıca kullanılan bilgisayar ve server’ların korunması bakımından da ayrıca güvenlik tedbirlerinin oluşturulması gerekmektedir.
Tüm bu süreçlerin ardından VERBİS’e kayıt işlemleri gerçekleştirilerek hem şirketin veri koruma bakımından şirket hem kanuni yükümlülüklerini yerine getirmiş olacak hem de müşteriler ve çalışanlar bakımından şirkete bir katma değer katılmış olacaktır.
İlgili mevzuat uyarınca veri işleyen gerçek veya tüzel kişilerin sorumluluğu bu araştırmada bahsedilen hususlarla sınırlı olmamakla beraber ilgili tüm kişilere bu konuda hukuki destek almalarını tavsiye ederiz.
