“Veri işleme faaliyetleri bir tüzel kişi şirket tarafından gerçekleştiriliyorsa veri sorumlusu tüzel kişi şirketin kendisidir. Dolayısıyla yönetim kurulu üyelerinin sorumluluğu bulunmaktadır.”
Kişisel Verileri Koruma Kurulu’nun 02 Nisan 2020 tarihinde yayınladığı karara göre, müşterilerine ait kişisel verileri sosyal medya platformlarında müşterilerinden habersiz olarak ve reklam amacıyla paylaşan bir sigorta acentesinin Kanuna aykırı hareket ettiği kanaatine varılarak, 22.500 lira idari para cezasına çarptırılmasına karar verildi.
Malum olduğu üzere, 7 Nisan 2016 tarihli Resmi Gazetede yayımlanarak yürürlüğe giren “Kişisel Verilerin Korunması Kanunu”yla kişisel verilerin işlenmesi disiplin altına alınarak sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmaktadır. Bu amaçla, kişisel verilerin işlenmesine ilişkin denetim mekanizmaları oluşturularak, bu verilerin hukuka aykırı olarak işlenmesinin engellenmesi hedeflenmektedir.
Bu Kanun, kişisel veri işleyen her büyüklük ve sektördeki gerçek ve tüzel kişiler için geçerli olmakla birlikte bazı sektörlere daha fazla dokundu. Bu sektörlerden biri de oldukça fazla kişisel veri işleyen –üstelik bu veriler içerisinde sağlık verisi gibi özel nitelikli kişisel veriler de bulunan- sigorta sektörü.
Kişisel Verileri Koruma Kurulu’nun 2 Nisan 2020 tarihinde yayınladığı karar özeti de bir sigorta acentesinin müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak ve reklam amacıyla paylaşmasına ilişkin. Bu karar kapsamında Kurul sözkonusu acenteye, müşterilerine ait kişisel verileri, onların açık rızası olmaksızın paylaştığının anlaşılması ve bu çerçevede Kanun’un 12. maddesinde düzenlenen yükümlülüklerini yerine getirmediği kanaatine varıldığı hususlarından hareketle 22.500 TL idari para cezası uygulanmasına karar verdi.
1,8 milyon liraya kadar ceza verilebiliyor
Kanun, aykırılıkları suçlar ve kabahatler olarak ayırmakta olup, kişisel verilere ilişkin suçlar bakımından Türk Ceza Kanunu’nun 135 ila 140’ıncı maddelerine atıfta bulunmaktadır. İlgili maddeler kapsamında kişisel verilerin hukuka aykırı olarak kaydedilmesi, verilerin hukuka aykırı olarak verilmesi, yayılması veya ele geçirilmesi, kanunların belirlediği sürelerin geçmiş olmasına karşın yok edilmemesi durumunda bu suçu işleyen kişinin niteliğine ve suçun işleniş biçimine göre değişmekle birlikte 1 yıldan 6 yıla kadar hapis cezası öngörülmektedir. Aykırılığın kabahat olarak öngörüldüğü durumlarda ise 2020 senesi itibarıyla Kanun’un 18. maddesinde düzenlenen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 9 bin TL’den 180 bin TL’ye, veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 27 bin TL’den 1 milyon 800 bin TL’ye, Kurul tarafından verilen kararları yerine getirmeyenler hakkında 45 bin TL’den 1 milyon 800 bin TL’ye, veri sorumluları siciline kayıt ve bildirim yükümlülüğünü yerine getirmeyenler hakkında 36 bin TL’den 1 milyon 800 bin TL’ye kadar Kurul’un idari para cezası vermesi mümkün.
Burada belirtilmesi gereken önemli bir husus; veri işleme faaliyetleri bir tüzel kişi şirket tarafından gerçekleştiriliyorsa veri sorumlusu tüzel kişi şirketin kendisidir. Dolayısıyla yönetim kurulu üyelerinin sorumluluğu bulunmaktadır. Şirket içinde kişisel veri işleme faaliyetlerinden sorumlu kişi ya da kişiler görevlendirilse de bu görevlendirme tüzel kişiliğin veri sorumlusunun yükümlülüğünü ortadan kaldırmamakta ve görevlendirilen kişilerin veri sorumlusu olarak tanımlanmasını sağlamamaktadır.
“Veri Güvenliğine İlişkin Yükümlülükler” başlığını taşıyan 12. maddesinde veri sorumlularının, kendi kurum veya kuruluşlarında, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorunda olduğu da düzenlenmektedir. Kanun koyucu bu hükümle kanuna uyum çalışmasının kâğıt üzerinde kalmaması, yaşayan bir süreç bir kültür haline getirilmesi yönündeki iradesini de açıkça ortaya koymaktadır.
Sonuç olarak; cezaların oldukça yakın olduğundan hareketle istenmeyen sonuçlarla karşılaşmamak için Kanun hakkında bilgi sahibi olmak ve kişisel veri işleme faaliyetleriniz kapsamında Kanun’a uyumluluğa ilişkin gereklilikleri yerine getirmekte daha fazla geç kalmayın.