6698 sayılı Kişisel Verilerin Korunması Hakkında Kanunun 07.04.2016 tarihinde yürürlüğe girmiş olsa da birçok şirketin hukuki ve cezai sorumluluğunu etkileyecek olan 8, 9, 11, 13, 14, 15, 16, 17 ve 18. maddeleri yayımı tarihinden altı ay sonra yani 07 Nisan 2016 dan 6 ay sonra 07 Ekim 2016 tarihinden itibaren yürürlüğe girmiştir.
6698 Sayılı Kişisel Verilerin Korunması Kanunu; Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektedir.
Anılan kanun uyarınca; veri sorumlusu (Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi) kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Veri sorumlusu, kendi kurum veya kuruluşunda bu kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
Kanunun emredici düzenlemesine aykırı hareket eden veri sorumluları, ilgili kişinin (Kişisel verisi işlenen gerçek kişi) başvuru ve/veya şikayeti üzerine cezalandırılabilecektir. Veri sorumlusunun bu sorumluluktan kurtulabilmesi ve cezai yaptırımlarla karşı karşıya kalmaması için kanuna uyum çalışması başlatmış olması ve kişisel verilerin korunması hususunun hassasiyetle ele alınarak iş birimlerinin uyarılarak gerekli tedbirlerin alındığını ispatlaması gerekmektedir. Zira cezai yaptırım ‘kanuna aykırılığın kasten işlendiği’ durumlarda söz konusu olacaktır.
Mevcut düzenleme karşısında; veri sorumlusu tüzel kişi (örneğin şirketin) işçileri ile iş sözleşmelerinde de gerekli düzenlemeleri yapması gerektiği gibi işçiyi 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun kapsamında bilgilendirmeli ve bilgilendirdiğini ispatlayabilmelidir.
Bununla birlikte; veri sorumlusu, tüzel kişi ise kişisel verilerin muhafazası, ilgili kişilerin bilgilendirilmesi konusunda çalışacak bir kurul oluşturmalıdır. Bunun içinde gerekli hukuki düzenlemelerin de şirket içinde yapılması gerekmektedir.
Veri sorumlusu, ticari iş ilişkisi içerisinde bulunduğu ilgililer(diğer şirket ve kurumlar) hakkında da aynı kanun kapsamında gerekli bilgilendirmeleri yapmalı ve gerektiği takdirde bu hususu imzalayacakları sözleşmeye eklemelidir.
Kanun maddelerinin yürürlüğü çok yakın bir tarih olduğundan henüz uygulamanın nasıl olacağı tam bilinmemekle birlikte; veri sorumlusu olan tüzel veya gerçek kişilerin cezai yaptırımlara maruz kalmamaları için gerekli önlemleri almaları gerekmektedir.
Av. Şebnem Tuğçe ATASOY