6698 SAYILI KİŞİSEL VERİLERİ KORUMA KANUNU HANGİ YENİLİKLERİ GETİRMEKTEDİR ?
07 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verileri Koruma Kanunu, uluslararası ve ulusal düzenlemeler dikkate alınarak hazırlanmıştır.
Bu kanunun amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
6698 sayılı KVKK, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
Dolayısıyla 6698 sayılı Kanun, kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişilere belli bir takım yükümlülükler getirmektedir.
Mamafih kişisel veri işleyen gerçek kişilerin yanı sıra, bu verileri elinde bulunduran, işleyen ve imha etmeyen şirketler de iş ve hizmet süreçlerini bu kanuna uygun şekilde yerine getirmekle mükelleftirler. Aksi taktirde veri sorumlusu olarak tanımlanacak olan gerçek veya tüzel kişilerin büyük cezai ve idari yaptırımlarla karşı karşıya kalmaları söz konusu olacaktır.
1. KİŞİSEL VERİ NEDİR ?
6698 sayılı Kişisel Verilerin Korunması Kanununda (“Kanun”) kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Her türlü bilgi deyimi ile aslında sadece bireyin kesin teşhisini sağlayan ad, soyad, doğum tarihi, doğum yeri gibi bilgiler değil; aynı zamanda bireyin belirlenebilir kılınmasını sağlayan fiziki, ailevi, ekonomik, sosyal ve buna benzer özelliklere ilişkin bilgiler de kastedilmektedir. Kanunda, kişisel veriler sınırlı sayma yoluyla belirlenmediğinden, her somut olayın özelliğine göre kişisel verinin kapsamının genişletilmesi de mümkündür.
2. KİŞİSEL VERİLERİN İŞLENMESİNDE UYULMASI GEREKEN TEMEL İLKELER NELERDİR ?
• Hukuka ve dürüstlük kurallarına uygun olma
• Doğru ve gerektiğinde güncel olma
• Belirli, açık ve meşru amaçlar için işlenme
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sıralanmıştır.
Veri işleme faaliyeti hangi hukuki sebebe/işleme şartına dayanırsa dayansın tüm veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.
3. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI NELERDİR ?
Kişisel verisi işlenen ilgili kişinin AÇIK RIZASI bulunmak zorundadır.
Ancak verinin işlenmesi, 6698 sayılı Kanunun 5 inci maddesinde tahdidi olarak belirlenmiş hukuki bir sebebe dayanıyorsa, Kanunun 6 ıncı maddesindeki özel nitelikli kişisel verilere aykırılık teşkil etmemek kaydıyla, ilgili kişinin açık rızası gerekmemektedir.
4. VERİSİ İŞLENEN İLGİLİ KİŞİNİN AÇIK RIZASI DEYİMİNDEN NE ANLAŞILMAKTADIR ?
Kanunun 3. maddesinde yer verilen açık rıza tanımı kapsamında, açık rızanın 3 unsuru bulunmaktadır;
a. Rıza belirli bir konuya ilişkin verilmiş olmalıdır
b. Verilen rıza bir bilgilendirmeye dayanmalıdır
c. Rıza ilgili kişinin özgür iradesiyle açıklanmış olmalıdır
5. ÖZEL NİTELİKLİ KİŞİSEL VERİ (HASSAS VERİ) NEDİR ?
Kişisel verilerin daha sıkı tedbirlerle korunmasını gerektiren bir kategori olan özel nitelikli (hassas) kişisel veriler, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olmasına, ayrımcılığa maruz kalmasına ya da şeref ve onurunun zedelenmesine neden olabilecek nitelikteki verilerdir. Bu nedenle, hangi kişisel verilerin özel nitelikli veriler olduğu ve özel nitelikli kişisel verilerin işlenme şartları Kanunda ayrıca düzenlemiştir. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veriler olarak sayılmıştır.
6. ÖZEL NİTELİKLİ KİŞİSEL VERİLER İŞLENİRKEN NEYE DİKKAT EDİLMESİ GEREKİR ?
Bu verilerin işlenme şartları, Kanunun 6. maddesinde özel olarak düzenlenmiştir.
Özel nitelikli kişisel verilerin işlenebilmesi için kural olarak ilgili kişinin AÇIK RIZASI gerekir.
İlgili kişinin açık rızasının bulunmadığı bazı durumlarda da özel nitelikli kişisel verilerin işlenmesi mümkündür. Ancak, ilgili kişinin açık rızası olmadan bu verilerin işlenebileceği durumlar sağlık ve cinsel hayata ilişkin veriler ile diğer özel nitelikli kişisel veriler bakımından bir ayrıma tabi tutulmuştur.
a. *Sağlık ve cinsel hayat dışındaki özel nitelikli veriler; ancak kanunlarda öngörülen hallerde kişinin açık rızası olmaksızın işlenebilecektir.
b. Sağlık ve cinsel hayata ilişkin veriler ise; ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir.
Kanunun 6. maddesinin 4. fıkrası gereği özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. Kişisel Verileri Koruma Kurulunca “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” başlıklı, 31/01/2018 tarihli ve 2018/10 sayılı kararı 07/03/2018 tarihli Resmi Gazetede yayımlanmıştır.
7. KİŞİSEL VERİLER NE ZAMAN SİLİNMELİ, YOK EDİLMELİ YA DA ANONİM HALE GETİRİLMELİDİR ?
Kanunun 7. maddesine göre kişisel veriler hukuka uygun şekilde işlenmiş olsalar dahi, işlenmeyi gerektiren sebepler ortadan kalktığında veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmeli, yok edilmeli veya anonim hale getirilmelidir. Herkes veri sorumlusuna başvurarak kendisiyle ilgili kişisel verilerin Kanunun 7. maddesinde öngörülen şartlar çerçevesinde silinmesini veya yok edilmesini isteme hakkına da sahiptir.
Kanunun 7. maddesinin 3. fıkrasının verdiği yetkiye dayanarak Kişisel Verileri Koruma Kurulunca hazırlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Yönetmeliği” 28.10.2017 tarihli Resmi Gazete’de yayımlanarak 01.01.2018 tarihinde yürürlüğe girmiştir.
a. KİŞİSEL VERİLERİN SİLİNMESİ
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar (veri sorumlusu veya veri işleyen nezdinde verileri teknik olarak depolama, koruma ve yedeklemeden sorumlu olanlar hariç herkes) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
b. KİŞİSEL VERİLERİN YOK EDİLMESİ
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
c. KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ
Kişisel verilerin anonim hale getirilmesi, bu verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirlenebilir bir gerçek kişiyle ilişkilendirilememesini ifade etmektedir.
8. AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ NEDİR ?
Veri sorumlusu veya yetkilendirdiği kişi, kişisel verilerin elde edilmesi sırasında ilgili kişileri Kanunun 10. maddesine göre aşağıdaki konularda bilgilendirmekle yükümlüdür:
• Veri sorumlusunun ve varsa temsilcisinin kimliği,
• Kişisel verilerin hangi amaçla işleneceği,
• İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
• Kişisel veri toplamanın yöntemi ve hukuki sebebi,
• İlgili kişinin Kanunun 11. maddesinde sayılan diğer hakları.
10.03.2018 tarihli Resmi Gazete’de yayımlanan “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” ile veri sorumlularınca bu yükümlülük yerine getirilirken dikkat edilmesi gereken hususlar düzenlenmiştir.
Aydınlatma yapılırken;
• Kişisel veri işleme amacı belirli, açık ve meşru olmalı,
• İlgili kişiye yapılacak bildirim anlaşılır ve sade olmalı,
• Kullanılan dil, bilginin hitap ettiği ilgili kişi kategorisi göz önüne alınarak belirlenmeli,
• Metinlerde muğlak ifadelerden ve teknik terimlerden kaçınılmalı,
• Metinlerde eksik, yanıltıcı veya yanlış bilgilere yer verilmemelidir.
Aydınlatma yükümlüğü kapsamında ilgili kişilerin yazılı veya sözlü şekilde bilgilendirilmeleri mümkün olabileceği gibi elektronik ortamda gönderilecek bir e-posta, ses kaydı veya çağrı merkezi aracılığıyla da bilgilendirilmeleri mümkündür.
Kişisel verilerin, ilgili kişinin açık rızası ile ya da Kanundaki diğer veri işleme şartlarına dayalı olarak işlenmesi hallerinde aydınlatma yükümlülüğünün yerine getirilmesi zorunludur. Veri sorumlusu, ilgili kişinin talebini beklemeksizin aydınlatma yükümlülüğünü yerine getirmelidir. Veri sorumlusu, aydınlatma yükümlülüğünü yerine getirdiğini ispat etmekle yükümlüdür.
9. VERİ İŞLEYEN KİMDİR ?
Veri işleyen; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler olarak tanımlanmaktadır. Bu kişiler, kişisel verileri, kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişidir. Veri işleyenin faaliyetleri, veri işlemenin daha çok teknik kısımları ile sınırlıdır.
Ancak bazı konularda karar verme yetkisi veri sorumlusu ile veri işleyen arasında yapılacak sözleşme ile veri işleyene bırakılabilir.
10. VERİ SORUMLUSU KİMDİR ?
Veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizzat kendileri veri sorumlusu olup ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemiştir. Bu çerçevede gerek cezai gerek hukuki sorumluluk bakımından, tüzel kişilerin sorumluluğuna ilişkin özel hukuk ve kamu hukukundaki genel hükümler uygulanır.
Kişisel verilerin işlenmesine ilişkin kararların alınması yetkisi ise veri sorumlusuna aittir. Veri sorumlusu kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani kendi adına karar alma yetkisi olan, kişisel veri işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.
Veri sorumlusunun tespiti için;
• Kişisel verilerin toplanması ve toplama yöntemi,
• Toplanacak kişisel veri türleri,
• Toplanan verilerin hangi amaçlarla kullanılacağı,
• Hangi bireylerin kişisel verilerinin toplanacağı,
• Toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı,
• Verilerin ne kadar süreyle saklanacağı,
• İlgili kişilerin haklarının nasıl sağlanacağı hususlarında kimin karar verdiği dikkate alınır.
Bununla birlikte veri sorumlusu, yapacağı kişisel veri işleme sözleşmesi ile;
• Kişisel verilerin toplanması için hangi bilgi teknolojileri sistemlerinin veya diğer metotların kullanılacağı,
• Kişisel verilerin hangi yöntemle saklanacağı,
• Kişisel verilerin korunması için alınacak güvenlik önlemlerinin detayları,
• Kişisel verilerin aktarımının hangi yöntemle yapılacağı,
• Kişisel verilerin saklanmasına ilişkin sürelerin doğru uygulanabilmesi için kullanılacak metot,
• Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi yöntemleri hususlarında karar verme yetkisini veri işleyene bırakabilir.
11. VERİ SORUMLULARI SİCİLİNE KAYIT
Kanunun 16. maddesi, veri sorumlularının kayıt olması gereken Veri Sorumluları Sicilini düzenlemektedir. Veri Sorumluları Sicili, Kişisel Verileri Koruma Kurulunun gözetiminde Başkanlık tarafından kamuya açık olarak tutulur. Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak işlenen verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Sicile kayıt zorunluluğuna Kurul tarafından istisna getirilebilecektir.
Kanunun 16. maddesinin (1) numaralı fıkrası ve Veri Sorumluları Sicili Hakkında Yönetmeliğin ilgili maddeleri gereği Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) hazırlanarak kullanıma açılmıştır. İstisnalar hariç olmak üzere, kişisel verileri işlemekte olan gerçek ve tüzel kişiler VERBİS’e kaydolmakla yükümlüdür.
12. VERİ SORUMLULARI SİCİLİNE KAYIT İÇİN NELERE DİKKAT EDİLMESİ GEREKİR ?
Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır;
• Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,
• Kişisel verilerin hangi amaçla işleneceği,
• Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
• Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
• Yabancı ülkelere aktarımı öngörülen kişisel veriler,
• Kişisel veri güvenliğine ilişkin alınan tedbirler,
• Kişisel verilerin işlendikleri amaç için gerekli olan azami süre. Veri sorumluları tarafından, bu bilgileri içeren bir bildirimle VERBİS’e kayıt yapılır. Söz konusu bilgilerde meydana gelen değişiklikler derhal Kurum Başkanlığına bildirilir.
13. VERİ SORUMLULARI SİCİLE NE ZAMANA KADAR KAYIT YAPTIRMAK ZORUNDADIR ?
2019/387 Sayılı Kurul Kararında Sicile kayıt yükümlülüğü başlama tarihleri aşağıdaki gibi belirlenerek ilan edilmiştir:
14. VERİ SORUMLULARI SİCİLİNE (VERBİS) KAYIT YAPTIRMAKTAN KİMLER MUAFTIR ?
Resmi Gazete’de yayımlanan karar eki listede VERBİS’e kayıttan istisna tutulan kişi/kurumlar şu şekilde ifade ediliyor;
a. Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler,
b. 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler,
c. 5253 sayılı Dernekler Kanunu’na göre kurulmuş derneklerden, 5737 sayılı Vakıflar Kanunu’na göre kurulmuş vakıflardan ve 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler,
d. 2820 sayılı Siyasi Partiler Kanunu’na göre kurulmuş siyasi partiler,
e. 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar,
f. 3568 sayılı Kanun uyarınca faaliyet gösteren serbest muhasebeci mali müşavirler ve yeminli mali müşavirler.
Ancak, kurul kararı ile VERBİS’e kayıt yükümlülüğünden muaf tutulan kişi/kurumların, Kanun kapsamında “veri sorumlusu” olarak diğer yükümlülükleri devam etmektedir. Nitekim Veri Sorumluları Sicili Yönetmeliği’nin 5/f fıkrasında “f) Kanunun 28 inci maddesinde belirtilen durumlar saklı kalmak kaydıyla Yönetmeliğin 16 ncı maddesinde belirtilen objektif kriterlere dayalı olarak belirli şartları taşıyan veri sorumlularının Kurul tarafından Sicile kayıtla yükümlü tutulmaması; bu veri sorumlularının Kanun kapsamındaki yükümlülüklerini ortadan kaldırmaz” denilerek, bu yükümlülük özellikle hüküm altına alınmıştır.
Özetle, istisna/muaf tutulan kişi/kurumlar da veri sorumlusudur ve 6698 sayılı Kanun ile veri sorumlularına getirilen yükümlülüklere, VERBİS’e kayıt yaptırma zorunluluğu dışında, uymakla yükümlüdürler.
15. KİŞİSEL VERİLERİ KORUMA KANUNUNA UYMAYAN VERİ SORUMLULARININ KARŞILACAĞI YAPTIRIMLAR NELERDİR ?
Kanun’da öngörülen yaptırımlar Suçlar ve Kabahatler olmak üzere iki ayrı başlık altında düzenlenmiştir.
a) Türk Ceza Kanunu Kapsamında Düzenlenmiş Suçlar:
Kanun’un Suçlar başlığı altında 17. maddesinde doğrudan Türk Ceza Kanuna (“TCK”) 135 ila 140. maddelerine atıf yapılmış olup aşağıda yer alan suçları işledikleri sabit olanların, hapis cezasına çarptırılma riskleri vardır:
- Kişisel Verilerin Hukuka Aykırı Olarak Kaydedilmesi: TCK 135. madde kapsamında, hukuka aykırı olarak kişisel verileri kaydeden kimseye 1 yıldan 3 yıla kadar hapis cezası verileceği düzenlenmiştir. Bu kişisel verilerin kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda verilecek cezanın yarı oranında artırılacağı ayrıca düzenlenmiştir.
- Kişisel Verilen Hukuka Aykırı Olarak Başkasına Verilmesi, Yayılması Ele Geçirilmesi: TCK 136. madde kapsamında, kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin, 2 yıldan 4 yıla kadar hapis cezası ile cezalandırılacağı düzenlenmiştir.
Yukarıda yer verilen fiillerin kamu görevlileri tarafından görevin verdiği yetki kötüye kullanılmak suretiyle veya belli bir meslek ve sanatın sağladığı kolaylıktan yararlanılmak suretiyle işlenmesi halinde cezanın yarı oranında artırılacağı düzenlenmiştir.
- Kanuni Sürelerin Geçmiş Olmasına Rağmen Verilerin Yok Edilmemesi: TCK 138. madde kapsamında, kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde 1 yıldan 2 yıla kadar hapis cezası verileceği düzenlenmiştir.
Yukarıda yer alan suçların soruşturulması ve kovuşturulması şikayete bağlı değildir. Bu nedenle savcılıklarca herhangi bir şikayete tabi olmaksızın resen soruşturma başlatılması her zaman ihtimal dahilindedir.
- Güvenlik Tedbirleri: TCK 140. maddesinde yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunacağı ayrıca düzenlenmiştir. Güvenlik tedbirleri TCK’nın 60. maddesinde açıklanmış olup; bir kamu kurumunun verdiği izne dayalı olarak faaliyette bulunan tüzel kişi yararına işlenen kasıtlı suçlarda, bu iznin iptaline karar verileceği, yine müsadere hükümlerinin (eşya ve kazanç müsaderesi), özel hukuk tüzel kişileri hakkında da uygulanacağı düzenlenmiştir.
Dolayısıyla bu suçlar bakımından yapılan yargılamalar ve kesinleşecek hükümler sonucunda veri sorumluları açısından hapis cezaları kaçınılmaz olabilecektir.
Kurul 2017/61 numaralı ilke kararında da kişisel verilerin hukuka aykırı olarak elde edilmiş olabileceği de dikkate alınarak, TCK 136. madde uyarınca ilgili internet siteleri/uygulamalar hakkında gerekli hukuki işlemlerin tesisi için konunun Cumhuriyet Savcılığına bildirileceği belirtilmiştir.
b) Kabahatler:
Kanun’un 18. maddesi Kabahatler başlığı altında düzenlenmiş olup, aşağıda yer verilen yükümlülükleri yerine getirmeyen veri sorumlusu gerçek ve tüzel kişilere miktarı Kanun’un ilgili maddesinde düzenlenen aralıklarda olmak üzere Kurul tarafından idari para cezaları verilebilir.
- Kanun’un 10. maddesinde düzenlenen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
- maddede düzenlenen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
- madde kapsamında Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
- maddede düzenlenen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar para cezası verilebilecektir.
Kanun’un 22. maddesinin 1. fıkrasının ğ bendinde idari yaptırımlara Kurul tarafından karar verileceği düzenlenmiştir.
16. VERBİSE KAYIT YAPTIRMA YÜKÜMLÜLÜĞÜ BULUNANLARIN NE YAPMASI GEREKİYOR ?
Bununla ilgili VERBİS’e kayıt işlemleri, alınacak tedbirler, yapılması gereken sözleşmeler, oluşturulması gereken Kişisel Veri Envanteri ve dikkat edilmesi gereken hususlara yönelik görüşlerimizi ayrı bir makalemizde ele alacağız. Fakat VERBİS’e kayıt yaptırma yükümlülüğü çalışan sayısı 50 den fazla olan işletmeler ile yıllık mali bilançoları 25.000.000 Türk Lirasından fazla olan işletmeler için 30.06.2020 tarihine kadar uzatıldığı, konu spesifik ve yaptırımlar çok ağır (1.000.000 Türk Lirasına kadar idari para cezası, nitelikli hallerde 6 yıla kadar hapis cezası) olduğu için, en kısa sürede bir hukuki destek almanızı ve avukata danışarak 6698 sayılı Kanun kapsamında yükümlülüklerinizi yerine getirmek maksadıyla uyum süreçlerinizi başlatmanızı öneriyoruz.
Av. C. Erdi SARI