KİŞİSEL VERİLERİN KORUNMASI İŞYERLERİNDE DE BAŞLIYOR

11 Ekim 2019

6698 sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihinde Resmi Gazetede yayımlanarak yürürlüğe girmiştir. Günümüzde bilgisayar, cep telefonları gibi iletişim araçlarının yardımıyla bireylere ait kişisel verilere kolayca erişim sağlanabilmekte ve bu veriler kişiler, şirketler ve hatta ülkeler arasında çok hızlı şekilde paylaşılabilmektedir. Kişisel Verilerin Korunması Kanunu da kişisel verilerin korunmasına yönelik düzenlemeler getirmiştir.

Kişisel veri, Kanun’da kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder” şeklinde tanımlanmıştır. Bu tanım çerçevesinde örneğin kişinin adı, adresi, doğum tarihi, medeni hali, tabiiyeti, mesleği, görüntüsü, kanaatleri, fotoğrafı, elektronik posta adresi, banka bilgileri, bilgisayarının IP adresi, kimlik, emeklilik, kurum sicili ve vergi numarası, parmak izi, eğitim bilgileri, sağlık verileri, telefon mesajları, telefon rehberi, mail, facebook, twitter gibi sosyal paylaşım sitelerinde yazdığı veya paylaştığı yazı, fotoğraf, ses ve görüntü kayıtları “kişisel verisi” olarak belirtilebilir.

Kanunun, “ilgilinin açık rızası olmaksızın işlenmesi yasak olan” özel nitelikli kişisel verileri de kapsamına almıştır. Özel nitelikli kişisel veri, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.

Şirketler de faaliyetleri sırasında kendi personelleri ve müşterilerine ait bir çok kişisel veriye erişmekte, işlemekte veya depolamaktadır. Veri işleme, bilgisayar gibi bilgi teknolojisi kullanan cihazların yanı sıra iş başvuru formu gibi kağıt ortamında bir amaç için kişilere ait bilgilerin saklanmasıdır.

Kişisel veri işleyen/işleyecek tüzel kişiler Veri sorumluları siciline (Verbis) kayıt olmak zorundadırlar. Bu kayıt zorunluluğunu yerine getirmeyen şirketler 20.000TL’den 1.000.000TL’ye kadar para cezasına mahkum edilecektir. Yine şirketler için Kanun’da ön görülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyen şirketlere de 15.000TL’den 1.000.000TL’ye kadar idari para cezası verilecektir. Ayrıca haklarında ceza davası da açılacaktır.

Peki şirketler ne yapmalıdır? Faaliyetleri sırasında toplanan kişisel verilerin belirlenmesi, toplanma amaçları, kullanma süreleri, ihtiyaç durumu, aktarılmışsa amaçlarının belirlenmesi, toplanırken kişilere verilen bilginin onay şeklinin ve zamanının belirlenmesi, kişisel verilerin korunması için alınan idari ve teknik tedbirlerin neler olduğunu tespit etmeli; gerekli idari ve teknik tedbirleri almalı, gerekli dokümanları hazırlamalı ve ilgililerine imzalatmalı, iş sözleşmeleri ve diğer sözleşmelerinin Kanun’a uyumlu hale getirmelidir.