DPC Kişisel Veri Güvenliği Yönetim Kurulu Başkanı Av. Sefa Karcıoğlu, kanun kapsamında belediyelerden meslek odalarına, eczacılardan avukatlara, bakkallardan onlarca işletmeyi bünyesinde bulunduran holdinglere kadar tüm gerçek ve tüzel kişiler ile kamu kurum ve kuruluşlarının KVKK hükümlerini yerine getirmek ve uyum sürecini tamamlamak zorunda olduğunu, uyum sürecinin ise birkaç yazılım veya üç beş belge düzenlemekten ibaret olmadığını, kanuna uyumun bir süreç olduğun, buna ek olarak gerekli şartları sağlayan veri sorumlularının ise 31 Aralık’a kadar ayrıca VERBİS’e kayıt olmakla yükümlü olduğunu söyledi.
VERBİS’e kayıt olmaz zorunda olanlar şunlar:
“- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları.
– Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları,
– Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumluları 31.12.2021 tarihine kadar VERBİS’e kayıt olmakla yükümlüdür”
KVKK uyum süreçleri hakkında ise Karcıoğlu, “Kişisel Verilerin Korunması Kurulu teknik ve idari tedbirler alınmadığı için 2018 yılından itibaren veri sorumlularına 60 milyon TL’ye yakın idari para cezası uygulanmıştır. İş bu cezaların hiç birisi VERBİS’e kayıt yükümlülüğü ile ilgili değildir. Kurul’un yayınlamış olduğu kararlar dikkate alındığında, cezaların sadece büyük şirketlere uygulanmadığını aksine, kanuna gereği gibi uyum sağlamayan ve kanunun gereklerini yerine getirmeyen eczacı, doktor, avukat gibi gerçek kişiler ile çalışan sayısı çok az veya sermayesi çok düşük onlarca firmaya dahi yüzbinlerce liralık idari yaptırım uygulandığı anlaşılmaktadır. İdari yaptırım uygulanan şirketlerin savunmaları incelendiğinde, Kanun hakkında yeterli bilgi sahibi olmadıkları, uyum sürecinin sadece VERBİS’e kayıt olmakla sınırlı olarak bilindiği, konusunda uzman olmayan kişilerden aldıkları hukuki ve teknik desteğin yanlış ve yetersiz olduğu dolayısı ile işletmelerin aslında kanuna uymak için bir takım işlemler yapmış olsa da, kanunu eksik ve hatalı yorumladıkları için yüzbinlerce liralık ceza aldıkları anlaşılmaktadır. Oysa kanuna uyum bir süreçtir, zaman alır. Konusunda uzman kişilerce yürütülmemesi halinde idari yaptırım kaçılmazdır. Birkaç yazılım veya üç beş belge ile kanuna uyum sağlamak mümkün değildir. Kurul yayınlamış olduğu rehberde, veri sorumlularına 17 adet teknik ve 10 adet idari tedbirin birlikte alınmasını zorunlu kılmıştır. VERBİS kaydı ise, 10 idari tedbirden sadece bir tanesidir. Uyum sürecini henüz başlatmayan işletmelerin konusunda uzman kişilerden destek almasını, süreci tamamladığını düşünen işletmelerin ise 2,6 milyon TL’yi aşan idari yaptırım ile karşılaşmamaları için uzmanlardan yardım alarak iç denetim yaptırmalarını tavsiye ederiz” dedi.
Kişisel Verilerin Korunması Kanunu’na muhalefet eden veri sorumlularına uygulanacak idari para cezaları hakkında bilgi veren Karcıoğlu, “27.11.2021 tarihli ve 31672 sayılı Resmî Gazete’de yeniden değerleme oranı 2021 yılı için yüzde 36,20 olarak açıklandı. Buna göre, Kanun’un yükümlülüklerini yerine getirmeyen veri sorumlularına uygulanacak idari yaptırım tutarı, en düşük 13.393 TL en yüksek ise 2 milyon 678 bin TL olarak güncellendi” ifadelerini kullandı.
İHA