Kişisel Verilerin Korunması Kanunu’na Uyum Hakkında
Kişisel verilerin korunması hakkında mevzuata uygun adımları atmayan şirketler, gerek verilerini işledikleri kişilere, gerekse kendi itibarlarına karşı çok büyük zararlara sebep olabilirler. Nerdeyse dünyanın her yerinde mevcut veri koruma otoriteleri, şirketlere gerekli mevzuata uyumluluğun sağlanması açısından talimat verme ve aykırılık halinde idari para cezası uygulama yetkisine sahiptir ve bu idari para cezaları oldukça yüksek sınırlarda belirlenmiştir.
Aile Şirketleri’nin veri sorumlusu sıfatı ile KVKK uyum projelerini tamamlamış olmaları, eğer henüz tamamlanmadıysa da belirlenen yüksek idari para cezalarından ve Türk Ceza Kanunu (“TCK”) ile belirlenen cezalardan kaçınabilmek için bir an önce şirketlerinin KVKK uyumluluğu için gereken adımları atmaları gerekmektedir.
KVKK Uyum Süreçleri hakkında doğru profesyonellerden destek almak, Kişisel Verileri Koruma Kurul’unun (“Kurul”) herhangi bir ilgili kişi başvurusu üzerine veya ihlal iddiasını öğrenmesi durumunda re’sen yapabileceği denetimler sonucu uygulanabilecek idari ve cezai yaptırımlardan kaçınabilmek adına önem arz etmektedir.
KVKK Uyumluluk projeleri; Kanun ile öngörülen ilkelere ve işleme şartlarına uyum sağlama, aydınlatma yükümlülüğü hakkında gereken aksiyonların alınması, silme/yok etme/anonimleştirme süreçlerinin belirlenmesi, gerekmesi halinde Veri Sorumluları Sicili’nin (“VERBİS”) kayıtlarının güncellenmesi ve yurt dışına aktarım halinde gereken süreçlerin doğru yürütülmesi gibi adımları kapsayacaktır.
VERBİS kaydının 31.12.2021 tarihinde tamamlanmış olması gerekmektedir.
Eğer veri sorumlusu bu sürelerin tamamlanmasından sonraki bir tarihte kayıt yükümlüsü haline gelmişse, kayıt yükümlüsü olduğu tarihten itibaren otuz günlük süre içinde kayıt olmak zorundadır. Ayrıca, VERBİS’e kayıt yükümlülüğünü yerine getirdikten sonra, VERBİS’e kayıtlı bilgiler üzerinden herhangi bir değişikliğin söz konusu olması halinde değişikliğin meydana geldiği günden itibaren yedi gün içerisinde VERBİS kaydı güncellenmelidir.
VERBİS’e kayıt yükümlülüğü olmasına rağmen kaydını gerçekleştirmeyen veri sorumluları hakkında 2022 değerleme oranları uyarınca 53.576 TL’den 2.678,866 TL’ye kadar idari para cezası öngörülmektedir. Söz konusu idari para cezaları her yıl yeniden değerleme oranında artırılmaktadır.
Kişisel verilerin korunması her bir şirket için daima yaşayan bir süreçtir, bu sebeple tüm süreçlerin düzenli olarak kontrol edilmesi ve güncellenmesi gerekmektedir. Aile Şirketleri de genel olarak KVKK uyum projeleri kapsamında aşağıdaki adımları izlemelidir;
- Kişisel veri işleme envanterinin hazırlanması ve düzenli olarak güncelliğinin kontrol edilmesi,
- İşlenen verilerin, işleme amaçları ve yöntemleri bakımında Kanun ile belirlenen ilke ve kurallara uyumluluğu,
- Aydınlatma ve gerekmesi halinde açık rıza metinlerinin hazırlanması ve uygun şekilde ilgili kişilere sunulması,
- İşlenen verilerin yurtiçi ve yurtdışında herhangi bir aktarıma tabi olup olmadığının belirlenmesi,
- Silme/yok etme/anonimleştirme süreçlerinin belirlenmesi,
- Şirket politika ve prosedürlerinin hazırlanması,
- Bilgi güvenliği ve teknik tedbirler hakkında çalışmaların yapılması,
- VERBİS kaydının gerçekleştirilmesi,
- Çalışanlara KVKK farkındalık eğitimlerinin verilmesi,
- Kurul İlke Kararları’na uyum sağlanması,
- İdari ve teknik tedbirlerin alınması ve sürekliliğinin sağlanması
- Gerekli denetim mekanizmalarının kurulması.
Unutulmamalıdır ki uyumluluk süreçleri şirketlerin yapılarına ve süreçlerine göre değişiklik göstermekte olup, en doğru uygulamaya ulaşabilmek adına danışmanlığın hem teknik hem idari yapılanma açısından yetkin profesyonellerden alınması gerekmektedir.
KVKK Uyarınca Eğitim Yükümlülüğü
Veri Sorumlusu sıfatını haiz tüm şirketlerde olduğu gibi Aile Şirketleri’nde de çalışanların eğitilmesi ve farkındalık çalışmalarının yürütülmesi gerekmektedir. Kurum’un yayınladığı İdari ve Teknik Tedbirler Rehberi içerisinde herhangi bir departman ayırt etmeksizin tüm çalışanların KVKK farkındalık eğitimi almasının ve bu eğitimlerin periyodik olarak tekrarlanmasının önemi vurgulanmıştır.
Farkındalık eğitimi verilmesi şirketlerin sorumluluğunda olup, çalışanların bilerek veya bilmeyerek ya da dışarıdan bir tehdit nedeniyle Kanun’a aykırı davranmasını önlemek, aynı zamanda herhangi bir aykırılık meydana geldiğinde gereken özenin gösterildiği ispatına katkıda bulunabilmek adına büyük önem arz eder. Bu eğitimin, çalışanların alanlarına göre hem idari hem teknik tedbirlere ilişkin olması gerekmektedir.
Önemine binaen ispat edilebilirlik açısından periyodik olarak verilen eğitim ve bilgilendirmeler için personellerden taahhütname alınmalıdır. Herhangi bir ihlal halinde, bu ihlalin çalışan kaynaklı olup olmadığı değerlendirilecektir. Çalışandan kaynaklı meydana gelen bir ihlal olduğu takdirde işveren tarafından çalışana gerekli eğitimlerin verilmediği anlaşılırsa oldukça yüksek idari para cezaları söz konusu olacaktır.
KVKK uyarınca düzenlenecek farkındalık eğitimleri geniş kapsamlı ve ayrıntılı olmalı ve mümkünse konu hakkında yetkili kişiler tarafından her şirketin kendi işleyişine uygun şekilde örneklendirilerek verilmelidir.
KVKK Uyarınca Denetim Yükümlülüğü
Kanun ile veri sorumlularına periyodik denetimleri yapma veya yaptırma yükümlülüğü getirilmiştir. Aile Şirketleri de veri sorumlusu sıfatıyla, Kanun’un 12. maddesi uyarınca “kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır”.
KVKK uyumluluk süreçlerini tamamlayan Aile Şirketleri Kanun hakkında gerekenlerin yapıldığı ve yeni bir aksiyona ihtiyaç duyulmadığı konusunda bir yanılsamaya kapılmamalıdır. Kanun ile getirilen denetim yükümlülüğü sebebi ile tüm süreçler ve uyumluluk belirlenecek aralıklar ile denetlenmeli, güncellenmesi veya düzeltilmesi gereken bir durum olduğu halinde derhal aksiyon alınmalıdır.
Denetim yükümlülüğü çerçevesinde tüm süreçler üzerinden titizlikle geçilmesi ve ihlal sonucu doğurabilecek ihtimallerin atlanmaması gerekmektedir. Bu açıdan Kurul tarafından verilebilecek idari para cezalarından kaçınabilmek adına denetimlere en az uyum projeleri kadar önem gösterecek profesyoneller ile çalışılması önerilmektedir.
Kişisel Verilerin Korunması Kanunu’na Aykırılık Halinde Sorumluluk
Kanun’a aykırılık halinde söz konusu olacak idari yaptırımların yanı sıra TCK kapsamında kişilerin cezai sorumlulukları da bulunmaktadır.
İdari yaptırımlar 2022 yılı itibari ile alt sınırı 40.183 TL’den başlamak üzere 2.678.866 TL’ye kadar belirlenebilmektedir. İdari yaptırımlar her bir ihlal için ayrı ayrı kararlaştırılmakta olup bir karar ile verilebilecek idari para cezası miktarı ayrı ihlaller söz konusu olduğunda belirlenen süt sınırdan daha fazla olabilecektir.
Öte yandan 1 yıldan 4,5 yıla kadar cezai yaptırımın da söz konusu olabileceğini de belirtmek gerekmektedir. TCK kapsamında ilgili cezai yaptırımların tarafı yönetim kurulu başkanı ve üyeleri ile genel müdür veya yetkilendirilmiş müdürler gibi şirketi doğrudan veya dolaylı temsil yetkisine sahip kişiler de olabileceğinin altını çizmek önem taşımaktadır.
HUKUKİ UYARILAR VE BİLDİRİMLER
1. Mesleki Düzenlemeler
DL Avukatlık Bürosu’nun avukatları İstanbul Barosu üyesi olup Avukat unvanını taşımaktadırlar ve İstanbul Barosu ile Türkiye Barolar Birliği tarafından çıkarılan mesleki düzenlemelere bağlı faaliyet göstermektedirler.
2. Hukuki Uyarı
Bu internet sitesinde yayımlanan içerikler sadece bilgilendirme amaçlı olarak hazırlanmış olup herhangi bir şekilde hukuki görüş olarak kullanılmamalıdır. Bu site ve içerdiği bilgilerin avukat-müvekkil ilişkisi kurma amacı bulunmamaktadır. DL Avukatlık Bürosu ve avukatları doğru ve tam bilgi temin etmeyi amaçlamış olup, yayımlanan içerikler mevzuat değişikliği veya yeni tarihli yargı kararları nedeniyle güncelliğini yitirebilir ve yürürlükte olan yasal gelişmelerin son halini yansıtmayabilir. DL Avukatlık Bürosu bu internet sitesinde bulunan içerikleri dilediği zaman değiştirme ve gözden geçirme hakkını saklı tutar.
Bu internet sitesinde bulunan hiçbir içerik herhangi bir olaya özgülenebilecek hukuki danışmanlık yerine geçmez. Kullanıcı bu internet sitesine girerek, DL Avukatlık Bürosunu ve avukatlarını işbu internet sitesinde bulunan bilgilere dayanarak hareket etmesi sonucu meydana gelen herhangi bir zarar veya ziyandan sorumlu tutmayacağını kabul etmektedir.
Bu internet sitesinde yer alan tüm bilgiler, Türkiye Barolar Birliği’nin Meslek Kuralları ve ilgili mevzuatına bağlı kalınarak ve ilgili mevzuatla reklam yasağına ilişkin düzenlemelere uygun olarak hazırlanmıştır. İnternet sitesini ziyareteden tüm kullanıcılar, Kullanım Koşulları'nda yer alan düzenlemeleri kabul etmiş sayılırlar.
3. Fikri Mülkiyet Hakları
Bu internet sitesinde yayımlanan içerikler DL Avukatlık Bürosu’nun malik veya lisans sahibi olduğu telif hakkı ve/veya diğer fikri mülkiyet hakları uyarınca koruma altındadır. İşbu internet sitesinin içeriği DL Avukatlık Bürosu’nun yazılı izni olmaksızın kısmen ya da tamamen kopyalanamaz, dağıtılamaz, kullanılamaz ya da değiştirilemez. Bu onay DL Avukatlık Bürosu ile info@dlhukuk.com adresinden iletişime geçilerek talep edilebilir.
4. Bağlantılar (Links)
İnternet sitesinin herhangi bir bölümüne DL Avukatlık Bürosu’nun yazılı ön onayı olmaksızın elektronik bağlantı (electronic link) verilemez. DL Avukatlık Bürosu, DL Avukatlık Bürosu internet sitesine yapılan elektronik bağlantıların kaldırılmasını talep etme hakkını saklı tutar.
İnternet sitemizin bir bölümü üçüncü kişilerin internet sitelerine atıfta bulunabilir ve üçüncü kişilere ait internet siteleri DL Avukatlık Bürosu’nun internet sitesine atıfta bulunabilir. DL Avukatlık Bürosu harici internet sitelerinin içeriğinden sorumlu tutulamaz.