Bir kişinin ismi, soyismi, kimlik numarası, pasaport numarası, ehliyeti, meslek hayatı, özgeçmişi, cinsiyeti gibi kendisine özel saklı kalması gerekenlerin kurum veya kuruluşlar tarafından 2016 yılında yürürlüğe giren Kişisel Verileri Koruma Kanunu kapsamında yasaklanmıştı. Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15 bin liradan 1 milyon liraya kadar idari ceza uygulanacak. Konuyla ilgili açıklamalarda bulunan Avukat Atila Tatar 50’den fazla çalışanı olan ve 25 milyon lira cirosu bulunan şirketlerin Veri Sorumluları Sicili’ne (VERBİS) kayıt olmak zorunda olduğunu belirterek şunları söyledi; “Artık şirketler kişisel veriler olmadan ticaretlerini yapamıyorlar. Bütün işletmeler için bu söz konusu. Hem ticaret anlamında hem de kendi iç bünyelerinde varlıklarını sürdürmek anlamında kişisel verileri bulundurmak zorundalar. Bunun için kişisel verilerin korunmasıyla ilgili yasal düzenleme yürürlüğe girdi. Bu yasal düzenleme kapsamında da kişisel verileri koruma kurulu kuruldu. Bu yasal düzenlemenin, uygulanmasından, işleyişinden ve cezai müeyyidenin tahakkuk ettirilmesinden de bu kurul sorumlu.”

En düşük ceza 5 bin lira

Kurulunun ceza uygulama yetkisi olduğunu da vurgulayan Tatar, “Kişisel veri toplayan kurumlar,  tüzel kişiler, şirketler, verileri hangi amaçla, ne kadar süre, kimlerle paylaşacaklar ve nasıl saklayıp ne şekilde yok edecekleri konusunda verisini aldıkları kişiyi aydınlatmak zorundalar. Aydınlatma yükümlülüğünü şirketlerin ihlal etmesi durumunda yasaya göre 5 bin lira ile 100 bin lira arasında ceza alabiliyorlar. Bunun yanında veri güvenliğine ilişkin yeterli önlemlerin alınmaması yani, bir şirketin çalışanlarının verilerinin herhangi bir sebeple başka bir kişi veya kurum eline geçmesi ya da başka bir kurum ya da kişi tarafından paylaşılması ihlali söz konusu olduğunda şirket 15 bin ile 1 milyon lira arasında para cezasına ödemek zorunda kalabiliyor. Ayrıca kişisel verileri koruma kurulunun web sayfasında vergi sistemine kayıt bölümü var. Vergi sorumlularının buraya kayıt olmaları gerekiyor.  Kimlerin kişisel verilerini hangi amaçla alıyorsunuz, kimlerle paylaşıyorsunuz, ne kadar süre verileri bünyenizde tutuyorsunuz, hangi koşullarda saklıyorsunuz ve verileri saklama şartlarınız ortadan kalktıktan sonra kişisel verileri ile ilgili yok etme standartlarınız nedir? Sisteme bunların girişini yapıyorsunuz. Vergi sisteminde 50 kişi çalışan 25 milyon bilanço şartları olsa bile bu standartlara uymayan herhangi bir şirket, kişi ticari işletme gibi kişisel verileri kullanan herkes tabiidir. Eğer kurulun verdiği kararlara uymazsanız 25 bin ile 1 milyon lira idari para cezasıyla karşı karşıya kalabilirsiniz.”dedi.

Devlet kurumları para cezasından muaf

Para cezasının yanında hapis cezası da uygulanabileceğini aktaran Tatar, “Kişisel verileri hukuka aykırı kayıt altına alınması durumunda 1 ile 3 yıl, verileri izinsiz yaymanız durumunda 2 ile 4 yıl, verileri eğer yok etmeniz gereken zamanda etmezseniz de 1 yıldan 2 yıla kadar cezaya çarptırılabiliyorsunuz. Eğer bunu yapan bunu devlet memuru ise cezalar yarı oranda artırılıyor.” diye konuştu. Tatar, ayrıca veri ihlalini bir devlet kurumu yapmışsa para cezası değil disiplin cezası uygulandığını söyledi.

Şirketler dikkatli olmalı! Bir çalışan ticari hayatınızı bitirebilir

Kişisel verilerimizin istenmesi durumunda ne yapmamız gerektiğine de açıklık getiren Tatar, “Bununla ilgili de biz kişisel verilerimizi bunlarla paylaşıyoruz. Sözleşme kapsamında talep edilmesi normal. Vermelisiniz o yasal düzenleme zaten. Sözleşmeye bağlı olarak sizin o kişisel verileriniz alınıyor. Buradaki ayrık durum diyelim ki siz bir bankadan kredi çekmek için bilgilerinizi verdiniz. Daha sonra banka çalışanı sizin bilgilerinizi alıp daha sonra çalışmaya başladığı başka bankaya verdi ve siz bu yeni banka tarafından aranmaya başladınız. İşte bu veri ihlali. Çünkü bilgiler sizin rızanız dışında paylaşılmış. Burada şirketler çok dikkat etmeli çünkü herhangi bir çalışanı bu yasayı ihlal etse bile, şirketler doğrudan sorumlu oluyorlar. Bununla ilgili yaşanmış bir olayda Türkiye’de ünlü bir teknik direktör bir maç sırasında seyirci tarafından atılan bir madde ile yaralanıyor. Özel bir hastaneye kaldırılıyor. O özel hastanenin doktorları, teknik direktörün tedavi bilgilerini ve görüntülerini sosyal medyada paylaşıyorlar ve özel hastaneye 1 milyon 450 bin lira idari para cezası kesiliyor. Kurulun şöyle bir yetkisi de var. Sadece şikayet olması durumunda değil, kendi yaptığı incelemelerle de ceza verebiliyor. Kişisel verisi ihlal edilen kişiler önce veri sorumlusuna kişisel verilerinizi ne şekilde elde ettiği ve neye göre kullandığı konusunda bir açıklama getirmesini istiyorsunuz. Veri sorumlusunu eğer 30 gün içerisinde cevap vermezse ya da sizi tatmin eden bir cevap vermezse, 30 gün içerisinde kurula başvurup  şikayet talebinizi iletebiliyorsunuz. Burada dikkat edilmesi gereken konu önce veri sorumlusuna yani kişisel verilerinizi ihlal eden kuruma yapacağınız başvuru ön şartı. O yerine getirildikten sonra kurula başvurabiliyorsunuz. Kurul yetkileri kapsamında meseleyi inceliyor ve ona göre karar veriyor.” ifadelerini kullandı. KARADENİZ EKONOMİ