Veri Güvenliğine İlişkin Yükümlülüklerin İhlali
Kişisel Verilerin Korunması Kanununun 18.maddesinde kabahatler ile bu kabahatlere verilecek idari para cezaları düzenlenmiştir. Kanunun 18/1-b fıkrasında veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi kabahat olarak düzenlenmiştir.
Düzenlemeye göre veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.
Maddenin açıklamasına geçmeden önce içerikteki hukuki terimlerin tanımlarını yazmanın faydalı olacağı kanaatindeyiz.
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veri olarak kabul edilmektedir.
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi veri sorumlusu olarak tanımlanmaktadır.
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiye veri işleyen denilmektedir.
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi kişisel verilerin işlenmesi olarak tanımlıyoruz.
Veri Güvenliğine İlişkin Yükümlülükler
Veri sorumlusu;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
Veri sorumlusu, kendi kurum veya kuruluşunda, Kişisel Verilerin Korunması Kanunu hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri Kişisel Verilerin Korunması Kanunu hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
Yukarıda belirtilen yükümlülükleri yerine getirmeyenler hakkında Kişisel Verileri Koruma Kurulu şikâyet üzerine veya resen Kişisel Verilerin Korunması Kanunu 18/1-b hükmü gereğince idari para cezasına hükmeder.
Bayar Hukuk Bürosu kurucusu Avukat Hüseyin BAYAR, 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümleri çerçevesinde veri sorumlularının veri güvenliğine ilişkin yükümlülükleri yerine getirmemeleri kabahatine ilişkin, kanunda öngörülmüş yükümlülükleri de içerecek şekilde kaleme almıştır.