7 Nisan 2016 tarihinde Resmi Gazetede yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu; kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenler.
Bu yasanın başlıca amaçları ise;
• Kişisel verilerin işlenmesinde, kişilerin temel hak ve özgürlüklerini korumak,
• Kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve
esasları düzenlemek (disiplin altına almak),
• Kişilerin mahremiyetini korumak,
• Kişisel veri güvenliğini sağlamak olarak sayılabilir.
Başkalarına ait kişisel verileri alan, işleyen veya herhangi bir şekilde bu verilere erişim yetkisine sahip kişiler ise kuralları ihlal ettikleri taktirde birtakım cezalarla karşı karşıya kalabilmektedirler.
Bu düzenlemelerle ceza yönüyle;
5237 sayılı Türk Ceza Kanununun (TCK) 135. maddesinde, kişisel verilerin kaydedilmesi,
136. maddesinde, verileri hukuka aykırı olarak verme veya ele geçirme, 138.
maddesinde, verileri yok etmeme filleri suç olarak düzenlenmiştir. Ayrıca TCK’nın 140.
maddesinde bu suçlarla ilgili olarak tüzel kişiler hakkında güvenlik tedbiri uygulanacağı
hüküm altına alınmıştır. KVKK ihlalleri halinde cezai yaptırımlar dışında ayrıca idari para cezaları da söz konusu olmaktadır. Buna göre;
6698 sayılı Kanunun;
a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.
Görüldüğü gibi basit bir fiil gibi görünen başkasına ait kişisel verileri izinsiz kullanmak, elde edilme amacı dışında işlemek, başkasıyla paylaşmak hatta saklamak bir işverene ciddi maliyetler getirebilmektedir.
KVKK konusunda bir uzmanla çalışmak mevzuatla zorunlu sayılmamış ise de gerekli olan prosedürlerin yerine getirilmesi her işverenin yapabileceği bir iş de değildir.
İşyerinde kullanılan sözleşme, taahhütname, aydınlatma metinleri, rıza beyan metinleri ve en önemlisi veri sorumlusunun KVK politika belgesinin oluşturulması hukuk bilgisi gerektirirken, verilerin korunması, şifrelenmesi, sızmaların önlenmesi ve çalışanların yetki matrislerinin oluşturulması da bilgi işlem konularında deneyim gerektirmektedir.
Kısacası bu konuda uzman desteği almak en doğrusu. İş güvenliğinde olduğu gibi kişisel verilerin güvenliğinde de “önlemek ödemekten daha ucuzdur” derim.