Kişisel Verileri Koruma Kurumu, “Kişisel Verilerin Korunması ile İlgili Doğru Bilinen Yanlışlar” başlıklı bir kılavuz yayınladı. Bu kılavuzda, şirketlerin uyumluluk sürecinde sıkça sorduğu sorulara gayet açıklayıcı yanıtlar sunulmuş. Kanunda açıkça belirtilmemiş ve uyumluluk sürecinde danışmanların ve avukatların belli bir noktada birleşemediği konuların bazılarının da aydınlatıldığı bir kılavuz olmuş.

Bizim de sıkça karşılaştığımız soru ve cevapları da şu şekilde yer alıyor kılavuzda;

Avukatlar Sicile kayıt yükümlülüğünden istisna olduğu için Kanundan da istisna sayılır mı?

• Sicile kayıt yükümlülüğünden istisna olmak Kanundan da istisna olunacağı anlamına gelmemektedir. Kanunun 16. maddesi ile Kurula verilmiş olan yetki çerçevesinde, Kurul tarafından alınan 2018/85 sayılı Karar gereği Avukatlık Kanununa göre yetki almış avukatlar, sadece Sicile kayıt yükümlülüğünden istisna tutulmuştur. Dolayısıyla Kanun avukatlar için, diğer hükümleriyle uygulanmaya devam edecektir.

Burada da belirtildiği gibi Verbis’e kayıt yükümlülüğünün olmaması Kanun’a uyumlu olmamayı kapsamıyor. Tüm KVKK danışmanlık süreçlerinde de belirttiğimiz gibi; Veri Sorumlusu, kişisel verileri avukatlarıyla paylaşıyor olsa dahi ne şekilde saklandığını, hangi amaçla işlendiğini ve hangi güvenlik tedbirleriyle korunduğunu kontrol etmek zorundadır. Dolayısıyla paylaşılan tarafların değişmesi Veri Sorumlularının yetkilerini ve sorumluluklarını değiştirmiyor.

Bütün veri sorumluları, kişisel veri işleme envanteri hazırlamak zorunda mıdır?

• Bütün veri sorumluları, kişisel veri işleme envanteri hazırlamak zorunda değildir. Veri Sorumluları Sicili Hakkında Yönetmeliğin 5. maddesi uyarınca kişisel veri işleme envanteri hazırlanması, Sicile kayıt olmakla yükümlü veri sorumlularının yerine getirmesi gereken bir yükümlülüktür. Dolayısıyla Sicile kayıt yükümlülüğünden istisna olan veri sorumlularının kişisel veri işleme envanteri hazırlama zorunluluğu bulunmamaktadır. Bununla birlikte, Sicile kayıttan istisna olan veri sorumlularının da kişisel veri işleme envanteri hazırlamaları önerilmektedir.

Yine Kanun’da da belirtildiği gibi Veri Sorumluları Siciline kayıt yükümlülüğüne sahip şirketler dışında kalan veri sorumlularının veri işleme envanteri hazırlamakla yükümlü olmadığını görüyoruz. Fakat yine üstüne basılarak belirtilen konu şu ki tüm veri sorumluları Kanun’a uyumlu olmak zorundadır. Kapsamına göre veri güvenliği tedbirlerini de almakla yükümlüdür. Herhangi bir veri ihlali yaşanması halinde para veya idari cezalarla karşılaşma ihtimalleri vardır. Bu konuların göz ardı edilmemesi gerektiğine inanmaktayız.

İstisna kapsamında olmadığı halde Sicile kayıt yükümlülüğünü yerine getirmeyenler hakkında işlem tesis edilecek midir?

• Sicile kayıt yükümlülüğünden istisna kapsamında olmadığı halde, Sicile kayıt yükümlülüğünü yerine getirmeyen veri sorumlularının tespiti Kurum tarafından yapılacak ve haklarında Kanun kapsamında işlem tesis edilecektir.

Burada da yine sıkça karşılaştığımız bir soruya yanıt verilmiş. Sicile Kayıt Yükümlülüğü yerine getirilmediği takdirde Kanun’a aykırı hareket edildiği için Kurum tarafından gerekli işlemler başlatılacaktır. Yani VERBİS’e kayıt yükümlülüğü olup da yapmayanlar hakkında idari para cezaları uygulanması kaçınılmaz gibi görünüyor.

Aşağıda linkini de paylaştığımız Kılavuz’da bunlar gibi 70 adet soru ve cevaplarına ulaşabilirsiniz. Sağlıkla ve güvenle kalın.

Kılavuz linki: https://kvkk.gov.tr/SharedFolderServer/CMSFiles/28d8adba-2b41-41b2-bf36-d0ff0d845666.pdf

---