Bilindiği üzere 6698 sayılı Kişisel Verileri Koruma Kanunu “Kanun” ve diğer ilgili mevzuat belirli şartları taşıyan veri sorumlularının veri işleme süreçlerinin kurumsallaştırılabilmesi için Veri Sorumluları Bilgi Sistemi “VERBİS” ‘ne kayıt yükümlülüğü getirmiş ve bu yükümlülük için belirlenen son tarih de korona virüs salgını nedeniyle 31/12/2021 tarihine uzatılmıştı.
Kişisel Verileri Koruma Kurumu “Kurum” tarafından 31/12/2021 tarihinin uzatılmasına ilişkin bir başka açıklama ise yapılmamış yani VERBİS kaydı için verilen süre sona ermiştir. Bu nedenle, VERBİS’e kayıt yükümlülüğü bulunan ancak halen kaydını yapmamış olan şirketler için kısa bir bilgilendirme yapmanın fayda sağlayabileceği ve daha büyük mağduriyetleri önleyebileceği düşüncesiyle konuya kısaca değinmek isteriz.
ÇALIŞAN SAYISI 50 VEYA
YILLIK BİLANÇOSU 25 MİLYON TL’DEN FAZLA OLANLARIN KAYDI ZORUNLU
Bu kapsamda, yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den yüksek olan gerçek ve tüzel kişiler için Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) kaydı yapılması zorunludur.
Kişisel Verileri Koruma Kurumu yukarıda belirtmiş olduğumuz şartları sağlamasına rağmen VERBİS kaydını yapmamış olan şirketlere, 2021 yılı için 39.337,00 TL’den 1.966.862,00 TL’ye kadar idari para cezası uygulayabiliyor.
Ayrıca VERBİS kaydından sonraki süreçte Kişisel Verileri Koruma Kurumu tarafından kişisel veri işleme süreçlerine ilişkin idari para cezası uygulanmasının önüne geçebilmek adına, kişisel veri işleme, saklama ve imha süreçlerinin hukuka uygun bir şekilde yönetimi önem arz etmektedir.
Ancak sadece VERBİS kaydını yapmış olmak yeterli değil
Bu nedenle, kişisel veri işleme süreçleriyle ilgili veri sorumlularının aşağıda belirtmiş olduğumuz hususları faaliyetine devam ettiği süre boyunca göz önünde bulundurmasının elzem olduğu kanaatindeyiz.
Bu kapsamda temel olarak sizleri aşağıdaki gibi kısaca bilgilendirmek isteriz;
Şartlar sağlandıktan sonra 30 gün süreniz var
1. Şirketiniz yukarıda belirttiğimiz şartları şu an sağlamıyor ise; şirketin çalışan sayısının 50 kişiyi aşması yahut yıllık mali bilanço toplamının 25.000.000,00 TL’yi geçmesi durumunda; belirtmiş olduğumuz şartlardan birinin gerçekleşme tarihinden itibaren 30 gün içerisinde veri envanteri hazırlanması ve Veri Sorumluları Bilgi Sistemine (VERBİS) kayıt yaptırılması gerekmektedir.
İrtibat kişisi atanması gerek
2. Şirketle Kişisel Verileri Koruma Kurumu arasındaki iletişimin sağlanması ve veri sahipleri tarafından şirkete yöneltilebilecek taleplerin değerlendirilmesi için bir şirket çalışanının irtibat kişisi olarak atanması gerekmektedir.
Politika ve aydınlatma metinleri hazırlanmalı
3. Şirketin kişisel veri işleme, saklama ve imha süreçlerinin kurumsal bir zemine oturtulması ve veri işleme süreçlerinin hukuka uygun bir şekilde devamlılığı ile yönetiminin sağlanması amacıyla, Kişisel Veri Aydınlatma Metni, Kişisel Veri İşleme Politikası ile Kişisel Veri Saklama ve İmha Politikasının ayrı ayrı hazırlanıp Yönetim Kurulundan geçirilmesi, politikaların tüm çalışanlara tebliğ edilmesi ve politikaların güncelliğinin sağlanabilmesi amacıyla düzenli bir şekilde hukuki denetimden geçirilerek revize edilmesi gerekmektedir.
Çalışanlar aydınlatılmalı ve açık rızaları alınmalı
4. Şirket tüzel kişilik olarak çalışanlarının verilerini işlediği için; çalışan aydınlatma metni ile açık rıza metninin ayrı ayrı hazırlanarak şirket çalışanlarının tamamına tebliğ edilmesi gerekmektedir.
Güvenlik kamerası varsa buna ilişkin panolar asılmalı
5. Güvenlik nedeniyle yahut çalışanların performanslarının izlenmesi amacıyla eğer kamera kaydı yapılmaktaysa, kaydın yapıldığı hususunda ziyaretçileri ve çalışanları bilgilendirmek için iş yerinde rahatça görülecek şekilde “Bu iş yerinde güvenlik nedeniyle kamera kaydını gerçekleştirilmektedir.” Vb. gibi uyarı panoları asılmalıdır.
İmha süreçleri takip edilmeli
6. Şirket tarafından işlenen kişisel veriler, işlenme amacıyla ve ilgili mevzuatta bir süre belirlenmişse bu süreyle sınırlı olarak muhafaza edileceği için, işlenen kişisel verilerin periyodik aralıklarla imha edilmesi ve imha işleminin kurumsal ilkelere uygun olarak şeffaf ve yazılı bir şekilde gerçekleştirilmesi gerekmektedir.
Şirketinize başvuru yapıldı ise cevap vermek için 30 gün süreniz var
7. Veri sahipleri tarafından şirkete yapılacak başvuruların titizlikle değerlendirilerek başvuru tarihinden itibaren en geç 30 gün içerisinde hukuki görüş alınarak yanıtlanması gerekmektedir. Veri sahibi tarafından şirkete yapılacak başvuruların göz ardı edilmesi halinde Kişisel Verileri Koruma Kurumu tarafından idari para cezası uygulanabileceğini belirtmek isteriz.
Yurtdışına veri aktarımı varsa prosedür daha kapsamlı
8. Şirket tarafından yurt dışında yerleşik yabancı hissedar ve iş ortaklarına veri aktarımı yapılması ihtiyacı doğacak olursa; (yabancı ülkeye veri aktarım sürecinin yüksek riskli olması nedeniyle sürecin başlangıcından itibaren hukuki destek alınmasının fayda sağlayacağı kanaatindeyiz. ) verilerin aktarılacağı yabancı ülkenin Kişisel Verileri Koruma Kurumu tarafından yayımlanacak güvenli ülkeler listesinde yer alıp almadığı kontrol edilmeli, veri aktarımı yapılacak yabancı ülke güvenli ülkeler listesinde değilse Kişisel Verileri Koruma Kurumu’na başvuru yapılarak veri aktarımı için onay alınmalıdır.
*İş bu yazı yalnızca hukuki bilgilendirme niteliğinde olup, veri işleme süreçlerinin her bir şahıs/kurum bakımından özel olarak değerlendirilmesi gerektiğini belirtmek isteriz. Ayrıca detaylı bilgi için hukuk büromuza info@sahinpartners.com uzantılı mail adresimizden ulaşabilir, www.sahinpartners.com adresli web sitemizi ziyaret edebilirsiniz.