Daha önceki yazımızda kişisel verilerin neleri kapsadığını, TBMM Genel Kurulu’ndan geçerek yasalaşan Kişisel Verilerin Korunması Kanunu (“KVKK”) ile birlikte açıklamaya çalışmıştık. (Bkz. İlgili yazımız…) Bu yazımızda ise KVKK’nın içeriğine girmeye çalışacağız.
Öncelikle belirtelim, KVKK madde 5 ile kişisel verilerin, kişisel veri sahibi kişilerin açık rızası olmadan kayıt altına alınması net bir şekilde yasaklanmış bulunmaktadır. Aynı doğrultuda madde 8 ve 9 ile kişisel verilerin yine ilgilinin açık izni olmadan 3. kişilere ve yurt dışına aktarılması da engellenmiştir.
Esas olarak KVKK’da “veri sorumlusu” olarak ifade edilen yükümlüler yahut bunların yetkilendirdiği “veri işleyenler” denetim altına alınmıştır. Bu amaçla veri sorumlusuna ve bunların yetkilendirdiği kişilere aydınlatma yükümlülüğü yüklenmiş, sağlamaları gereken veri güvenliğine dair birtakım kıstaslar belirlenmiş, ilgili kişinin veri sorumlusuna başvurması halinde veri sorumlusunun ne gibi hareketlerde bulunması gerektiği tek tek kaleme alınmıştır. Bu denli dikkatli olması gereken kamudaki veri sorumluları hakkında çeşitli disiplin, hapis ve adli para cezaları öngörülmüştür. Örneğin; kişisel verileri imha etmeyenlere 6 aydan 1 yıla kadar hapis cezası, kişisel verileri ele geçirmek için program ya da cihaz geliştirenler, alanlar, satan ya da bulunduranlara, 1 yıldan 3 yıla kadar hapis ve 5 bin güne kadar adli para cezası verilmesi mümkündür. Kamudaki veri sorumluların dışında özel sektördeki veri sorumluları için de aynı doğrultuda fakat farklı oranlarda cezalara yer verilmiştir. Öyle ki özel sektördeki veri sorumlularından veri güvenliğini yerine getirmeyenlere 15 bin TL’den 1 milyon TL’ye kadar idari para cezası uygulanması ihtimal dahilindedir.
KVKK ile, verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz “Kişisel Verileri Koruma Kurumu” aktif hale getirilmiştir. Kurum, Kurul ve Başkanlıktan oluşmuş karar organı olarak ise Kurum’un içindeki Kurul yetkilendirilmiştir.
Ayrıca; tüm bunların yanında bir de Kanun’un 16. maddesinde “Veri Sorumluları Sicili” tutulması hükme alınmıştır. Bu şekilde denetim daha da alenileştirilmiş görünmektedir. Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce bahsi geçen sicile kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, sicile kayıt zorunluluğuna istisna getirilebilinir. Sicil kaydı yükümlülüğünü yerine getirmeyen özel sektör veri sorumlularına yaptırım olarak 20 bin TL’den 1 milyon TL’ye kadar idari para cezası uygulanması düzenlenmiştir.
Denilebilinir ki; bir yandan temek hak ve özgürlükleri güçlü bir şekilde koruma altına alan KVKK bir yandan bu hak ve özgürlüklerin kapsamına dokunan sorumluları ağır müeyyidelerle cezalandırmak üzere hükümler içermektedir. Bu ağır yaptırımlara maruz kalmak istemeyen gerçek ve tüzel kişilerin konunun uzmanlarıyla çalışmalarını tavsiye ederiz.
Hukuk Desteği