KVKK ile ilgili olarak kurum ve kuruluşlara önemli uyarı: Büyük cezalar ödeyebilirsiniz!

Kişisel Verileri Koruma Kurulu geçtiğimiz günlerde aldığı karar ile VERBİS “Veri Sorumluları Sicili”ne kayıt süresinin tüm kurum ve kuruluşlar için geçerli olmak üzere 31.12.2021 tarihine kadar uzatıldığını açıkladı. Uzmanlar bu açıklamanın kamuoyunda “Kanun’un yürürlüğe girmesinin ertelenmesi” olarak yanlış algılandığını ve bu durumun uyumluluk çalışmalarını tamamlamayan kurum ve kuruluşların çok büyük cezalara muhatap olmasına neden olabileceğini dile getirdiler. Konu hakkında uyarıda bulunan Kişisel Verilerin Korunması danışmanı ve siber güvenlik uzmanı Av. Volkan Yolcu, ertelenen kısmın sadece sicile kayıt yükümlülüğü olduğunu, Kanun’un diğer tüm yükümlülükler açısından yürürlükte olduğunu söyleyerek kurum ve kuruluşların büyük cezalar ödeyebileceğini söyledi.

“Kişisel Verileri Koruma Kanunu, kurum ve kuruluşlara yerine getirmeleri gereken onlarca yükümlülük yüklemektedir. 2016 yılından bu yana bu yükümlülüklere uymadıkları için çok sayıda kurum ve kuruluş 1.000.000 TL’ye varan para cezalarına muhatap oldu. Yani kanun 2016 yılından beri yürürlükte, şu anda da, 31.12.2021 tarihine kadar da, bu tarihten sonra da yürürlükte ve uygulamada olacak.

Uzatılan, bu yükümlülüklerden sadece bir tanesi olan “Veri Sorumluları Sicili”ne kayıt süresi. 31.12.2021’e kadar, bugün dahi, aydınlatma metniniz bulunmadığı, çerez politikanız yayınlanmadığı, kişisel verilere ilişkin politika ve prosedürleriniz olmadığı, ilgili kişi başvuru formunuz bulunmadığı, DLP uygulamanız olmadığı, silmeniz gereken kişisel verileri silmemeniz gibi onlarca yükümlülükten birinin bile eksik olması nedeniyle ceza verilebilir.

Kurum ve kuruluşlara tavsiyemiz, sicil kaydını yapmayı 31.12.2021’ye kadar erteleyecek olsalar bile diğer yükümlülüklerini bir an evvel tamamlamalarıdır”

Kanun hakkında bir başka yanlış bilginin ise Kişisel Verileri Koruma Kanunu’nun sadece kişisel bir veriyi paylaşma konusunda düzenlemeler içerdiğinin sanılması olduğunu söyleyen Av. Volkan Yolcu, bu önemli noktanın altını çizerek şöyle devam etti:

“Bir kişinin açık rıza beyanı olmadan ve aydınlatma metni sunulmadan bilgilerinin sadece alınması (kaydedilmesi) veya silinmesi gereken bir kişisel verinin silinmemesi dahi hem para hem de şikâyet durumunda hapis cezası gerektirir. Yani Kanun kamuoyunda yanlış bilindiği üzere sadece kişisel verilerin izinsiz paylaşılmasını düzenlememektedir”

“Son olarak belirtmek gerekir ki, Kanun’un sadece 50’den fazla çalışanı olan ve 25 milyon ve üstü bilanço büyüklüğü olan firmaları kapsadığı bilgisi de yanlış bilinen bir başka konu. Tüm kurum ve kuruluşlar Kişisel Verilerin Korunması Kanunu kapsamında uyumluluklarını tamamlamak zorundadır. 50 çalışandan az ve 25 milyondan az bilanço büyüklüğü olan firmalar da bu kapsamdadır, onlarca uyumluluğu ve yükümlülüğü tamamlamalıdırlar. Bu firmalar sadece sicile kayıt şartından muaftırlar. Yani 10 çalışanı olan ve bilanço büyüklüğü 2 milyon TL olan bir firma da sicile kayıt dışındaki diğer şartları yerine getirmediği için para ve hapis cezalarına muhatap olabilir”.