2016 yılının Nisan ayında yürürlüğe giren Kişisel Verileri Koruma Kanunu ile ilgili bugüne kadar toplam 50 Milyon TL’nin üzerinde idari para cezası kesildiği bilinmektedir. Kanun kapsamında sorumlu olan gerçek ve tüzel kişilerin çoğunluğu, Veri Sorumluları Sicili’ne (VERBİS) kayıt yaptırmakla sorumluluktan kurtulduklarını düşünmektedirler. Ancak önemle belirtmek gerekir ki Kurum tarafından şu ana kadar düzenlenen hiçbir cezai müeyyide VERBİS kaydının yapılmaması ile ilgili değildir.
Kişisel Verileri Koruma Kurulu’nun 11/03/2021 tarihli ve 2021/238 sayılı kararı ile yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları, yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları ve kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumlularının VERBİS’e kayıt süreleri 31/12/2021 tarihine kadar uzatılmıştır.
Ancak; KVKK kapsamındaki yegâne sorumluluğun VERBİS’e kayıt yükümlülüğü şeklinde algılanması oldukça yanlış olup bu kaydı yaptırmakla dahi sorumlulukların bitmediğinin bilinmesi gerekir. VERBİS’e kayıt zorunluluğunun ertelenmiş olması Kanun’dan doğan diğer yükümlülükleri etkilemediğinden, KVKK’daki yükümlülüklere uymayan veri sorumlularının fahiş idari para cezaları ile karşılaşmaktadır. İşbu yükümlülüklere ve bu yükümlülükleri yerine getirmeyenler hakkında uygulanacak idari para cezalarına değinmek gerekirse;
A) Aydınlatma Yükümlülüğü
Kanun koyucu, kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi edinme hakkı tanımakta ve bu hususları, veri sorumlusunun aydınlatma yükümlülüğü kapsamında ele almaktadır. Buna göre veri sorumlusu, Kanun’un 10. maddesi çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla ilgili kişiye; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği ve kişisel veri toplamanın yöntemi ve hukuki sebebini açıklamakla yükümlüdür. Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında ise 9.834 Türk lirasından 196.686 Türk lirasına kadar idari para cezası verilebilecektir.
B) Veri Güvenliğine İlişkin Yükümlülükler
Kanun’un veri güvenliğine ilişkin 12. maddesine göre veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak ve bunların uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak ile yükümlüdür ve bu yükümlülüklerini yerine getirmek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri de almak zorundadır. Ayrıca veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında da kullanamazlar. Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında ise 29.503 Türk lirasından 1.996.862 Türk lirasına kadar idari para cezası verilebilecektir.
C) Bildirim Yükümlülüğü
Veri sorumlusunun diğer bir yükümlülüğü de; işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurula bildirmektir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir. Bildirim yükümlülüğüne aykırı hareket edenler hakkında ise 39.337 Türk lirasından 1.966.862 Türk lirasına kadar idari para cezası verilebilecektir.
D) Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü
Veri sorumluları, ilgili kişiler tarafından yazılı olarak veya bahse konu Tebliğ’de yer verilen kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla yapılan başvuruları niteliklerine göre en kısa sürede ve en geç otuz gün içinde sonuçlandırmalıdır. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurul’a şikâyette bulunabilir. Kurul tarafından verilen kararları yerine getirmeyenler hakkında ise 49.172 Türk lirasından 1.966.862 Türk lirasına kadar idari para cezası verilebilecektir.
E) Veri Sorumluları Siciline Kaydolma Yükümlülüğü
Kanunun 16. maddesine göre, Kişisel Verileri Koruma Kurulu gözetiminde Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulacaktır. Yine bu maddeye göre kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce bu Sicile kaydolmak zorundadır. Veri Sorumluları Siciline kayıt yükümlülüğüne aykırı hareket edenler hakkında 39.337 Türk lirasından 1.966.862 Türk lirasına kadar idari para cezası verilebilecektir.
Görüleceği üzere; veri sorumluları hakkında idari para cezası verilmesini gerektirecek tek durum VERBİS’e kayıt yükümlülüğünün ihlali olmadığı gibi, bu erteleme sürecinde dahi yukarıda belirttiğimiz idari para cezası yaptırımları uygulanmaya devam etmektedir. Kurul, bu yükümlülükler hakkında re’sen inceleme yapmamış olsa da; şikayet halinde ihlaller sebebiyle ceza kararları vermiştir.
Devam eden yükümlülükler neticesinde ağır yaptırımlarla karşı karşıya kalmamak adına, gerçek ve tüzel kişi veri sorumluları gecikmeksizin sorumluluklarını yerine getirmeli ve bu hususta hukuki destek almalıdır. VERBİS kaydını, KVKK uyumluluğunu ve sonraki süreçleri düzenli olarak denetleyecek uzman hukukçular nezaretinde otomasyon yazılımlarına da müracaat edilebilir.
Av. Nagihan Merve AKASLAN
İstanbul Barosu
KAYNAKÇA
Kişisel Verilerin Korunması Kanun Kapsamındaki Hak Ve Yükümlülükler Rehberi