Bilindiği üzere 6698 sayılı KİŞİSEL VERİLERİN KORUNMASI KANUNU veri sorumluları açısından bazı yükümlülükler öngörmüş bu yükümlülüklerin yerine getirilmemesi idari para cezası gibi müeyyidelere tabi tutmuştur.
Kanuna göre, gerçek kişilerin ad, soyad, doğum tarihi, TC Kimlik Numarası, cep telefonu numarası, e-posta adresi gibi veriler genel kişisel veri, ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel kişisel veri olarak kabul ediliyor.
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, kişisel verilerin işlenmesi olarak ifade ediliyor.
Buna göre hemen hemen her işveren en azından çalışanlarına ait özlük dosyaları için kişisel verilerin işlenmesi faaliyetinde bulunmakta olup, kanuna göre veri sorumlusu statüsündedir.
Dolayısıyla kişisel verilerin işlenmesi, korunması, saklanması, imhası ve veri sahiplerinin bilgilendirilmesi, konusunda uygulanacak ilkeleri ve alınacak önlemleri belirlemek amacıyla KİŞİSEL VERİLERİN KORUNMASI, SAKLANMASI VE İMHA POLİTİKASI hazırlaması gerekmektedir.
Yine veri sahibi kişileri aydınlatmak, bu bağlamda aydınlatma metni hazırlayarak, uygun yöntemlerle duyurmakla yükümlüdür.
Veri sorumlusu Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Son olarak veri sorumluları VERBİS olarak nitelendirilen Veri Sorumluları Siciline kaydolmakla yükümlüdür.
Kanuna göre
- aydınlatma yükümlülüğünü yerine getirmeyen veri sorumluları hakkında 5.000.TL den 100.000 TL ye kadar,
- veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000.TL den 1.000.000.TL ye kadar,
- VERBİS e kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000.TL den 1.000.000.TL ye kadar,
idari para cezası uygulanacaktır.
Esasen Veri Sorumlularının yukarıda ifade ettiğimiz yükümlülükleri yürürlükte olup, halihazırda Kişisel Verileri Koruma Kurulu şikayet üzerine idari para cezaları uygulamaktadır.
Yıllık çalışan sayısı 50’den veya yıllık mali bilançosu 25 milyon TL’den çok olan gerçek veya tüzel kişi veri sorumlularının 30.09.2019 tarihine kadar,
Yıllık çalışan sayısı 50’den ve yıllık mali bilançosu 25 milyon TL’den az olan ancak ana faaliyet konusu özel nitelikli veri işleme olan gerçek ve tüzel kişi veri sorumlularının ise 31.03.2020 tarihine kadar,
VERBİS e kayıt ve bildirim yükümlülüğünü yerine getirmesi gerekecektir. Aksi takdirde sadece bu nedenle 25.000.TL den 1.000.000.TL ye kadar para cezası ödeme yükümlülüğü ile karşı karşıya kalacaktır.
Kurul şu ana kadar şikayet üzerine inceleme ve soruşturma yapmakta ise de, resen de inceleme ve soruşturma yapma yetkisi bulunmaktadır. Özellikle VERBİS sisteminin tam olarak hayata geçmesinden sonra resen yapılacak denetlemelerin artacağı tahmin edilmektedir. Bu nedenle veri sorumlularının yukarıda yer alan tarihleri kaydetmesi, Kişisel Verilerle ilgili olarak hukuki destek alması gerek verilerin güvenliğini sağlamak gerekse cezai müeyyide ile karşı karşıya kalmamak için faydalı olacaktır.