Ajanda

6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU’NUN ŞİRKETLER İÇİN GETİRDİKLERİ

26.08.2016

6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiş; gerçek kişiler için bir takım haklarla birlikte, “veri sorumlusu”/“veri işleyen” sıfatlarını haiz olacak gerçek ve tüzel kişiler için yükümlülükler ve sorumluluklar getirmiştir.

Bu çerçevede, “veri sorumlusu” sıfatıyla şirketlerin, özellikle; veri güvenliğini sağlama, kişisel veri sahibinin haklarının yerine getirme, Kanun’un yürürlüğünden önce işlenen kişisel verileri hukuka uygun hale getirme, kişisel verilerin hangi amaçla hangi kapsamda hangi yöntemlerle işleneceği ve üçüncü kişilere aktarılacağı hususlarında ilgililere bilgilendirmede bulunma, Kanun’a uygunluk denetimi yapma/yaptırma, Veri Sorumluları Sicili’ne kaydolma gibi yükümlülüklere uygun hareket etmeleri gerekmektedir.

Veri Güvenliği Bağlamında Yapılması Gerekenler;

  • Kişisel verilerin diğer verilerden ayrıştırılması ve niteliklerinin belirlenmesi,
  • Kişisel verilerin hangi amaçla, hangi kapsamda, hangi yöntemlerle işleneceğinin belirlenmesi ve bu verileri işleyecek kilit personelin belirlenmesi,
  • Şirket “Gizlilik Politikası”nın oluşturulması,
  • Şirket “Siber Güvenlik Politikası”nın oluşturulması,
  • Şirket “Çerez Politikası”nın oluşturulması,
  • İşleme amacının ortadan kalkması ve mevzuatta öngörülen saklama sürelerinin de sona ermesiyle birlikte kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi,
  • Ağ güvenliğinin/bilgisayar güvenliğinin ve kullanıcı güvenliğinin sağlanması,
  • Dosyaların yedeklenmesi,
  • Çevresel güvenlik sistemlerinin oluşturulması,
  • Bilgi güvenliği sertifikasyonlarının alınması.

İş Hukuku Bağlamında Yapılması Gerekenler;

  • Kişisel verilerinin hangi amaçla, hangi kapsamda, hangi yöntemlerle işleneceğine ilişkin olarak çalışanların bilgilendirilmesi ve bu çerçevede kendilerinin bilgilendirilmiş ve açık rızalarının alınması,
  • Çalışanlarla akdedilmiş iş sözleşmelerinin revize edilmesi,
  • İş yerinde elektronik gözetleme yöntemlerinin kullanımının hukuka uygun hale getirilmesi.

Sözleşmeler Hukuku Bağlamında Yapılması Gerekenler;

  • Mevcut sözleşmelerin revize edilmesi ve sözleşme tarafları arasında bu hususların müzakere edilmesi,
  • Sözleşmelere, kişisel verilerden kaynaklanan sorumluluk paylaşımına ilişkin hükümler eklenmesi,
  • Kişisel verilerin yurt dışına aktarılmasında hukuka uygunluk değerlendirmesinin yapılması ve bu çerçevede gerekli sözleşmelerin oluşturulması,
  • Verilerin işlenmesi hususunda dışarıdan hizmet alınması durumunda, “veri işleyen” sıfatını haiz olacak kişi ile “veri sorumlusu” arasındaki sözleşmelerin oluşturulması.

Prosedürel Bağlamda Yapılması Gerekenler;

  • Veri sorumluları siciline kayıt yaptırma,
  • Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak.

Veri Sorumlusuna Yönelik Yaptırımlar;

Veri sorumlusu, işbu Kanun’dan kaynaklanan yükümlülüklerine aykırı hareket etmesi halinde, hukuki, cezai ve idari yaptırımlarla karşılaşabilecektir.

  • Hukuki Sorumluluk

Kişisel verileri hukuka aykırı olarak işlenen kişiler, Kanun’un 11/1-ğ maddesi doğrultusunda, bu sebeple uğradıkları zararlarının tazminini talep edebileceklerdir. Kişisel veri sahiplerinin, şartlarının oluşması kaydıyla, Türk Medeni Kanunu’nun 24 vd. maddelerindeki hukuki korumalardan yararlanarak, mevcut hukuka aykırılığa son verilmesini, sona ermiş olsa bile etkileri devam eden hukuka aykırılığın tespitini ve/veya manevi zararlarının tazminini talep etmeleri söz konusu olabilecektir. Yine aynı şekilde, kişisel veri sahiplerinin, somut durumun özelliklerine göre, 6098 sayılı Türk Borçlar Kanunu’nun 526 vd. maddelerinde düzenlenen vekaletsiz iş görme hükümlerine dayanarak taleplerde bulunması da gündeme gelebilecektir.

  • Cezai Sorumluluk

Kişisel verilerin hukuka aykırı olarak kaydedilmesi, ele geçirilmesi, aktarılması, yok edilmemesi fiilleri, 5271 sayılı Türk Ceza Kanunu’nun 135 ila 140. maddeleri arasında suç olarak tanımlanmakta ve söz konusu suçlar için 1 yıldan 7 yıla kadar değişen hapis cezaları öngörülmektedir.

Yine Kanun’un m.17/f.2 hükmünün atfı ile kişisel verileri, kanuna aykırı olarak, silmeyen veya anonim hale getirmeyen kişilerin de Türk Ceza Kanunu’nun 138. maddesine göre cezalandırılması gündeme gelecektir.

Şirketlerin tüzel kişiliği haiz yapılar olması sebebiyle cezai sorumluluk yönetim kurulu üyeleri üzerinde olacaktır. 6102 Sayılı Türk Ticaret Kanunu’nun 367 vd. maddeleri çerçevesinde, kişisel verilerin işlenmesine ilişkin olarak yönetim kurulu üyelerinin yönetim ve temsil yetkilerinin bir üçüncü kişiye devri (chief data officer ataması) ile yönetim kurulu üyelerinin cezai sorumluluk risklerinin azaltılması sağlanabilecektir. Bu şekilde gerçekleştirilecek bir yetki devri ile cezai sorumluluk bu kişinin üzerinde olacak, ancak yine de Türk Ticaret Kanunu’nun 553. maddesi doğrultusunda,  yönetim yetki ve görevleri 3. kişiye delege edilse de, yönetim kurulu üyelerinin 3. kişi işlemlerini gözetim görevi devam edecek; yönetim kurulu üyeleri bu görevlerini yerine getirmemeleri halinde cezai açıdan sorumlu tutulabilecektir.

  • İdari Sorumluluk

Kanun’un “Kabahatler” başlıklı 18. maddesinde, Kanun’da öngörülen yükümlülüklerin ihlali halinde Kurul tarafından idari para cezası uygulanabileceği öngörülmüştür. Buna göre, Kurul;

  • Aydınlatma yükümlülüğüne aykırılık halinde, 5.000 TL’den 100.000 TL’ye kadar idari para cezası,
  • Veri güvenliğini sağlama yükümlülüğüne aykırılık halinde, 15.000 TL’den 1.000.000 TL’ye kadar idari para cezası,
  • Veri Sorumluları Sicili’ne kayıt ve bildirimde bulunma yükümlülüğüne aykırılık halinde, 20.000 TL’den 1.000.000 TL’ye kadar idari para cezası,
  • Veri Koruma Kurulu’nun kararlarını yerine getirme yükümlülüğüne aykırılık halinde, 25.000 TL’den 1.000.000 TL’ye kadar idari para cezası uygulayabilecektir.

Kanun’un Yürürlüğü ve Geçiş Düzenlemesi

İşbu Kanun, Resmi Gazete’de yayımlanması tarihi olan 7 Nisan 2016 tarihinde yürürlüğe girmiş olmakla beraber, Kanun’un (i) kişisel verilerin aktarılmasına ilişkin 8. maddesi, (ii) kişisel verilerin yurt dışına aktarılmasına ilişkin 9. maddesi, (iii) kişisel veri sahiplerinin haklarına ilişkin 11. maddesi, (iv) veri sorumlusuna başvuruya ilişkin 13. maddesi, (v) Kurul’a şikayet ve Kurul’un incelemesine ilişkin 14. ve 15. maddeleri, (vi) veri sorumluları siciline ilişkin 16. maddesi, (vii) suçlar ve kabahatlere ilişkin 17. ve 18. maddeleri 7 Ekim 2016 tarihinde yürürlüğe girecektir.

Kanun’un yürürlük tarihi itibariyle tüm kişisel verilerin, işbu Kanun ile getirilen hüküm ve şartlar çerçevesinde işlenmesi; Kanun’un yürürlük tarihinden önce işlenmiş olan kişisel verilerin ise, Kanun’un yayımı tarihinden itibaren iki (2) yıl içerisinde Kanun hükümlerine uygun hâle getirilmesi zorunluluğu bulunmaktadır. Bu çerçevede, hukuka aykırı olarak işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi gerekli olup, aksi halde şirketlerin hukuki, cezai ve idari yaptırımlarla karşılaşmaları söz konusu olacaktır.

 

İşbu yazı hakkında ek bilgi gerektiğinde bizimle irtibata geçmenizi rica ederiz.

Yukarıda yer verilen açıklamalarımız, hukuki görüş ve tavsiye niteliğinde olmayıp, konuya ilişkin genel bilgiler içermektedir; bu sebeple belirtilen konularda bir aksiyon almadan önce, bir uzman danışmanızı tavsiye ederiz. NAZALI’ya işbu dokümanın içeriğinden kaynaklanan veya içeriğine ilişkin olarak ortaya çıkan sonuçlardan dolayı herhangi bir sorumluluk iddiasında bulunulamaz.