K&P Legal, Kişisel Verilerin Korunması Kanunu ve mevzuata uyum konusunda komple hukuki danışmanlık hizmetleri vermektedir.
07.04.2016 tarihli Resmî Gazetede yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile tüm şirketlerin ciddi şekilde önlem almaya başlamış olması gerekmektedir. Aksi taktirde çok ciddi cezalarla karşı karşıya kalma durumu söz konusudur.
KVKK gereği yapılması gereken bu çalışmaların yapılmaması, yasanın 17. ve 18. maddelerinde ciddi hapis cezalarının ve para cezalarının ödenmesini gerektirir şekilde belirtilmiştir. Örnek vermek gerekirse, Yasanın 17. Maddesinde kişisel verilerin silinmemesi ve anonim hale getirilmemesi Türk Ceza Kanunu madde 138 gereği 1 yıldan 2 yıla kadar hapis cezasını gerektirdiği, yine Türk Ceza Kanunu madde 135 gereği kişisel verileri hukuka aykırı olarak kaydedilmesi 1 yıldan 3 yıla kadar hapis cezası ile cezalandırılacağı ve yine Türk Ceza Kanunu madde 140 gereği tüzel kişiler hakkında güvenlik tedbiri uygulaması yapılacağı hükümlerine atıf yapılmıştır. Şirketler için uygulanacak güvenlik tedbirleri TCK madde 60 da belirtildiği üzere şirket faaliyet izninin iptali ve şirkete ait birtakım değerlerin müsaderesidir.
Öte yandan aynı Kanun’un 18. Maddesi gereği, Kanun’da belirtilen aydınlatma yükümlülüğünün ihlali 100.000 TL’ye kadar para cezası, veri güvenliği yükümlülüğünün ihlali, Kişisel Verileri Koruma Kurulu kararlarına muhalefet ve veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırılık ise 1.000.000,00 TL’ye kadar para cezası yaptırımına bağlanmıştır. (2021 yılı itibariyle yayınlanan yeniden değerleme oranları ile bu rakamlar her yıl olduğu gibi artmış ve 196.686TL. ve 1.966.862,00 TL. olmuştur)
Öte yandan Avrupa Birliği ülkeleri, Amerika, Kanada gibi ülkelerle iş yapıyorsanız bu çalışmayı yapmak sizin için zaten ayrı bir zaruret olarak ortaya çıkmaktadır. Avrupa Birliği mevzuatında kısaca GDPR olarak adlandırılan ve hemen hemen benzer hükümler taşıyan düzenlemeye göre Avrupa Birliği dışında faaliyet göstermesine karşın, AB ile iş yapan, hizmet üreten, AB tüketicisini hedefleyen şirketler de GDPR’a tabidirler.
Bu düzenlemeye göre bağlı bulunduğu ülke AB üyesi olmasa bile, AB’de kişisel veri sahiplerine mal veya hizmet sunan ya da ilgili veri sahiplerinin davranışlarını gözlemleyen kurumların GDPR karşısında sorumlu olduğu kabul edilir. GDPR bugüne kadar görülen yasal düzenlemelerden farklı ve agresif bir düzenlemedir. Mevzuata aykırı davranmanın ve yükümlülükleri ihlalin oldukça ağır yaptırımları vardır. Örneğin, GDPR’ın 83. Maddesinde yer alan hükme göre, GPDR yükümlülüklerinin ihlali halinde o AB ülkesindeki yetkili otorite tarafından 20 milyon EURO’ya kadar para cezası veya cezaya muhatap şirketin global düzeydeki önceki yıl cirosunun yüzde dördü (%4’ü) oranında ceza tahakkuk ettirilmesi söz konudur. Yasal düzenlemeye göre üstelik bunlardan hangisi yüksekse o cezayı ödemek zorunda kalınacağı hükme bağlanmıştır.
Sonuçta KVKK veya GDPR fark etmez, bu yasal düzenlemelerin gereği olarak şirketlere kişisel verilerin korunması yönünde çalışma yapma mecburiyeti doğmuştur. Bu sebeple şirketlerin derhal önlemler alması, veriye temas eden tüm personeline uzman hukukçulardan farkındalık eğitimi aldırması, kişisel verilerin korunması ve gizlilik politikaları oluşturması, ilgili mevzuat uyarınca gerekli olan tüm belgelerin, politika ve prosedürleri hazırlaması, işyerlerinde mevcut çalışanlarından KVK yönünden muvafakatnameler alması, işyerinde bir veri sorumlusu ve veri işleyenler tayin etmesi, bunların görev ve sorumluluklarını sınırlarını belirlemesi, işyerinde bir veri kayıt sistemi yaratması ve bunu veri sorumluları siciline kaydettirmesi zorunluluğu mevcuttur. ,
Yine mevcut kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine yönelik yönetmelik doğrultusunda işyerinde belirlenen veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlama yükümlülüğü getirilmiştir.
Şirketler için söz konusu cezalardan Yönetim Kurulu Başkanı ve Yönetim Kurulu üyeleri ile Genel Müdür veya Şirket Müdürü gibi imza sirküleri ile şirketi temsil yetkisine sahip kişiler Türk Ceza Kanunu gereği doğrudan sorumludurlar.
Görüldüğü üzere, KVKK ve GDPR kapsamında yapılması gerekenler basit bir iş değil, hukuki açıdan şirketinizin iyi bir şekilde analizi ile ciddi hazırlık gerektiren bir ekip işidir ve sistemsel bir çalışmayı ve beraberinde hem hukuksal alt yapının güçlendirilmesini ve hem de bilişim alt yapısı yönünden analiz ve çözüm önerileri getiren bir çalışmayı gerektirmektedir. Bunun için gerekli çalışmanın mutlaka konunun uzmanı bir hukuk bürosu liderliğinde ve ayrıca gerek duyulursa beraberindeki uzman bir bilişim firması ile beraberce yapılması bir zorunluluk olarak ortaya çıkmaktadır.
K&P Legal Hukuk Bürosu 30 yılı aşan tecrübesi, güçlü ekibi, İzmir ve İstanbul’da bulunan ofisleri ile Şirketler Hukuku, İş Hukuku, Ticaret Hukuku, Uluslararası Hukuk, Bilişim Hukuku ve Sözleşmeler Hukuku alanlarında edindiği tecrübe ile kişisel verileri korunma Kanunu kapsamında çözüm ortağımız olan bilişim firmaları ile şirketinize en doğru, en efektif, en pratik şekilde hizmet vermeye hazırdır.