Veri İşleyen Herkese Uygulanır
Kişisel Verilerin Korunması Kanunu kapsamında herhangi bir ayrıma gidilmemiş ve kanunun kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacağı belirtilmiştir. Buna göre, gerçek kişilerin verilerini işleyen özel hukuk tüzel kişileri (şirketler, vakıflar, dernekler, kooperatifler vs.) veya gerçek kişiler, yurt içinde veya yurt dışında yerleşik olup olmadıklarına bakılmaksızın, Kişisel Verilerin Korunması Kanunu‘na tabi olacaklardır. Benzer şekilde, kişisel verileri işleyen kamu kurum ve kuruluşları Kişisel Verilerin Korunması Kanunu kapsamında veri sorumlusudur ve kişisel verilerin korunması ile ilgili yükümlülüklere uymakla yükümlüdür.
Çok Önemli Yeni Sorumluluk Alanları Ortaya Çıkarmıştır
Kişisel Verilerin Korunması Kanunu ile birlikte, kişisel verileri işleyen kişiler veri sorumlusu olarak tanımlanmış ve veri sorumlularına belirli yükümlülükler getirilmiştir. Bu yükümlülüklerden bir tanesi aydınlatma yükümlülüğüdür. Buna göre; veri sorumluları, veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel verilerin hangi yöntemle toplanacağı ve hukuki sebebi ile birlikte, ilgili kişinin hakları ile ilgili olarak ilgili kişilere bilgi vermekle yükümlüdür.
Veri sorumluları, ayrıca Kişisel Verileri Koruma Kurulu tarafında VERBİS adı altında tutulan veri sorumluları siciline kaydolmak ve Kişisel Verileri Koruma Kurulu tarafından verilen kararlara riayet etmek zorundadır. Veri sorumlularına yüklenen bir diğer yükümlülük ise, Kişisel Verilerin Korunması Kanunu uyarınca ilgili kişi tarafından kendisine iletilen talepleri değerlendirmek, bunları kabul etmek veya gerekçeleri ile birlikte reddetmektir.
İdari ve Teknik Tedbirlerin Alınmasını Gerektirir
Veri sorumluları, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Veri sorumlusu, hem kişisel verilerin bulunduğu basılı evrakların; hırsızlık, yangın, sel gibi olaylara karşı güvenliğini sağlamalı hem de güvenlik duvarı, antivirüs yazılımı, şifreleme, anahtar yönetimi, kullanıcı yönetimi gibi yöntemlerle, bilişim sistemlerinde yer alan verilerin güvenliğini sağlamalıdır. Ayrıca, veri sorumluları tarafından çalışanlarına kişisel verilerin korunması ile ilgili eğitimler verilmeli ve başta veri envanteri olmak üzere, imha politikası, erişim politikası, çerez politikası gibi kişisel verilerin korunması ile ilgili kurumsal dokümanlar mevzuata uygun bir şekilde hazırlanmalıdır.
Kişisel Verilerin Korunması Kanunu Kapsamında Caydırıcı Cezalara Yer Verilmiştir
Kişisel Verilerin Korunması Kanunu kapsamındaki yükümlülüklerini yerine getirmeyen veri sorumluları hakkında çok ağır idari para cezaları düzenlenmiştir. Buna göre, aydınlatma yükümlülüğünü yerine getirmeyen veri sorumluları hakkında 47.303 Türk lirasından 946.308 Türk lirasına, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek ve bu verilere erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla gerekli her türlü teknik ve idari tedbirleri almayarak veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyen veri sorumluları hakkında 141.934 Türk lirasından 9.463.213 Türk lirasına, Kişisel Verileri Koruma Kurulu tarafından verilen kararları yerine getirmeyenler hakkında 236.557 Türk lirasından 9.463.213 Türk lirasına ve Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 189.245 Türk lirasından 9.463.213 Türk lirasına kadar idari para cezası uygulanmaktadır.
İdari para cezaları hem gerçek hem de tüzel kişiler hakkında uygulanır. Kişisel Verilerin Korunması Kanunu kapsamında düzenlenen kabahatlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi durumunda, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve bu işlemlerin sonucu Kişisel Verileri Koruma Kurulu’na bildirilir.
Gizlilik ve Güvenlik Kültürünün Oluşmasını Zorunlu Kılar
Kişisel Verilerin Korunması Kanunu, veri sorumluları için getirdiği yükümlülükler ve kişisel verileri işlenen kişilere sağladığı haklar ile birlikte gizlilik ve güvenlik kültürünün oluşmasını zorunlu kılmaktadır. Veri sorumlularının, kişisel verilerin gizliliği ve korunması ile ilgili tedbirler almak zorunda olması; veri sorumluları, çalışanları, veri işleyenleri ve hizmet aldıkları diğer üçüncü kişiler için kişisel verilerin korunması konusunda bir farkındalık yaratmaktadır. Ayrıca, Türk Ceza Kanunu kapsamında düzenlenen suçlar ve Kişisel Verilerin Korunması Kanunu kapsamında düzenlenen kabahatler, kişisel verilerin işlenmesi ile ilgili olarak daha dikkatli olunmasını sağlamaktadır.
İlgili kişiler, aydınlatma yükümlülüğü vasıtası ile, veri sorumlularının kimliğini, kişisel verilerinin hangi amaçla işlendiğini, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceğini, kişisel veri toplamanın yöntemi ile hukuki sebebini ve haklarını öğrenmektedir. Kişisel Verilerin Korunması Kanunu kapsamında düzenlenen başvuru ve şikâyet yolları ise hem veri sorumluları hem de ilgili kişiler bakımından gizlilik ve güvenlik kültürünün oluşmasına yardımcı olmaktadır.