Erhan Burak Aydın, 7 Nisan 2016’da yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verileri Koruma Kanunu (KVKK) ile getirilen yükümlülüklere uyumda, kamuoyundaki yanlış anlamalar konusunda uyarılarda bulundu. Kanunun yayımlandığı 2016’dan önce işlenmiş olan kişisel verilerin 2 yıl içinde (7 Nisan 2018’e kadar ) kanun hükümlerine uyumlu hale getirilmesi gerektiğini belirten Aydın, “Bu zorunluluğa ilişkin herhangi bir süre uzatımı yok. Yani şirketlerin bu tarihe kadar uyum sürecini tamamlaması gerekiyordu” dedi.
Aydın, kamuoyunun yanlış anladığı konunun ise VERBİS’e kayıt tarihi olduğunu belirterek, uzatılan bu sürenin de 2020 Eylül ayı sonunda dolduğunu bildirdi.
1.8 milyon liraya kadar idari para cezası, hapis cezası da mümkün
Kurul tarafından verilen kararların yerine getirilmemesi, Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi hallerinde şirketlere 1 milyon 800 bin liraya kadar idari para cezası kesildiği uyarısında bulunan Aydın, yakın bir zamanda veri güvenliğini sağlamaya yönelik gerekli teknik tedbirleri almayan bir şirket hakkında 1 milyon lira idari para cezası uygulandığını aktardı. 6698 sayılı KVKK ile kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esaslar çerçevesinde yeni düzenlemeler getirildiğini belirten Aydın, bunları: “Veri güvenliğinin sağlanması, aydınlatma yükümlülüğünün yerine getirilmesi, VERBİS sistemine kayıt olunması ve ihlallerin kuruma bildirilmesi” olarak sıraladı. Aydın, uyumluluk çalışmalarına uzman danışman firmalar ve avukatlar aracılığıyla başlanabileceğini anlattı.
Aydın’ın verdiği bilgilere göre, aydınlatma yükümlülüğünü yerine getirilmemesi, veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi, Kurul tarafından verilen kararların yerine getirilmemesi, Veri Sorumluları Sicili’ne kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi hallerinde, şirketlere 1 milyon 800 bin liraya kadar idari para cezası verilebiliyor. Kişisel verileri hukuka aykırı olarak kaydedenlere 1 yıldan 3 yıla kadar, bunları hukuka aykırı olarak başkasına veren, yayan veya ele geçiren kişilere ise 2 yıldan 4 yıla kadar hapis cezası veriliyor.
Kişisel Verileri Koruma Kurulu tarafından verilen idari para cezalarıyla çok sık karşılaşılmaya başlandığının altını çizen Aydın, “Türkiye’de hem internet kullanımının hem de internet satışlarının oldukça arttığı şu günlerde, şirketlerin özellikle müşterilerinin verilerine ilişkin, veri güvenliğinin sağlanmasına yönelik alması gereken tedbirler oldukça önem kazanıyor. Söz konusu tedbirlerin alınmaması şirketlere milyon liralara mal olabilir” dedi.
“Uzatılan süre kamuoyu tarafından yanlış algılandı”
Kanunun geçici 1’inci maddesinde, kanunun yayınlandığı 2016 yılından önce işlenmiş olan kişisel verilerin 2 yıl içinde kanun hükümlerine uygun hale getirilmesinin öngörüldüğüne dikkat çeken Aydın, “Ayrıca Kanun hükümlerine aykırı olduğu tespit edilen kişisel verilerin derhal silineceği, yok edileceği veya anonim hale getirileceği, ancak bu kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızaların, bir yıl içinde (7 Nisan 2017) aksine bir irade beyanında bulunulmaması halinde, bu Kanuna uygun kabul edileceği hükme bağlandı. Yani veri işleyen şirketlerin 7 Nisan 2018 tarihinden itibaren uyum süreçlerini tamamlamış olmaları gerekiyor” dedi.
Kamuoyunda, kanun tarafından VERBİS’e son kayıt tarihi olarak öngörülen tarihler ve yapılan ertelemelerin, şirketlerin uyumlu hale gelme sürelerinin ertelenmesi olarak anlaşıldığına değinen Erhan Burak Aydın, “Yanlış bilinen bu algı sebebiyle çoğu şirket uyumluluk süreçlerine başlamayı erteliyor. Şirketler tarafından KVKK’ya uyum süreçlerinin tamamlanmaması, her an şikayet edilme riskini ve sonucunda idari para cezaları ile karşı karşıya kalma ihtimalini artırıyor. Yani Türkiye’de veri işleyen gerçek veya tüzel kişilerin, mali bilanço ve çalışan sayısına bakmaksızın, kanunda sayılan yükümlülüklerini bir an önce yerine getirmeleri gerekiyor” ifadelerini kullandı.
Hüseyin Gökçe/Dünya