6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK veya Kanun”), 7 Nisan 2016 tarihli Resmî Gazete’de yayımlanarak yürürlüğe girmiş olup, bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
Kanun’un amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Bu amacını gerçekleştirebilmek ve Türkiye’de çok yeni bir kavram olan “kişisel verilerin korunması”nı sağlayabilmek adına oldukça yüksek idari para cezaları ve hapis cezaları öngörülmüştür. Bu yaptırımların uygulanmasına karar veren makam Kişisel Verilerin Korunması Kurulu (“Kurul”)’dur. Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapabilir.
Kurul tarafından yayımlanan 2018 faaliyet raporuna göre;
Yapılan başvuru ve şikayetlerin %27’si ilgili kişilerin taleplerinin yerine getirilmemesi,
%24’ü kişisel verilerin üçüncü kişilere hukuka aykırı aktarımı,
Kalan %49’u ise genel olarak hukuka aykırı işleme faaliyetlerinden kaynaklı olup, 2018 yılında sonuçlandırılan başvuru ve şikayetlerin %7’sinde idari yaptırım uygulanmış (870.000 TL), %4’ünde uyarı verilmiştir.
Kurul, 2019 yılında ise toplamda en az 8 milyon TL tutarında idari para cezası uygulamıştır.
Görüldüğü üzere, Veri Sorumluları Sicil Bilgi Sistemi (“VERBİS”) kaydına uyum sağlanmasına ilişkin, son teslim tarihi geçmediğinden, kesilen bir ceza bulunmamakta, bu cezalar Kanun’da öngörülen VERBİS yükümlülüğü dışındaki diğer yükümlülüklere ilişkindir. İhlal nitelikleri ve güncel yaptırımları aşağıdaki tabloda bulabilirsiniz:
Kanun’da sayılan yükümlülüklerden biri de VERBİS kaydıdır. Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 25 milyon TL'den çok olan gerçek ve tüzel kişi veri sorumluları 01.10.2018 tarihi itibariyle VERBİS sistemine kayıt olmak zorundadır. Bu zorunluluğun yerine getirilmesine ilişkin son tarih 30.06.2020 olup, bu tarihe kadar uygun bir kayıt yapılmamasının yukarıda yer alan tabloda da görüleceği üzere çok yüksek yaptırımları bulunmaktadır. Ancak önemle belirtmek gerekir ki, şirketin VERBİS kayıt şartlarını sağlayıp sağlamamasına bakılmaksızın Kanun’da belirtilen yükümlülüklerin (gerekli hukuki metinlerin hazırlanması, teknik ve idari tedbirlerin alınması gibi), oluşturulacak kişisel veri envanteri çerçevesinde yerine getirilmesi gerekmektedir. Aksi takdirde, yukarıda yer verilen istatistiklerde görüleceği üzere VERBİS’e kayıt dışında diğer tüm yükümlülüklerin yerine getirilmemesi durumu da kişisel veri işleyen gerçek ve tüzel kişilikler için risk teşkil etmektedir.