Kişisel Verilerin Korunması Kanunu Kapsamında Kişisel Veriyi İzinsiz Paylaşan Şirket Yöneticileri Hakkında Cezalandırma Süreci
7 Nisan 2016 tarihinde yürürlüğe giren Kişisel Verilerin Korunması Kanunu’nda düzenlenen suç ve kabahatlere ilişkin hükümlerinin yürürlüğe girmesi yayım tarihinden altı ay sonrası olarak belirlenmiştir. Bu nedenle ilgili kanunun Resmi Gazete’de yayımlanmasından itibaren altı ay geçmiş olmakla birlikte 07.10.2016 tarihi itibariyle bu cezai hükümler yürürlüğe girmiş, kişisel verileri ilgilinin rızası dışında bulunduran tüzel kişiler hakkında cezalandırılma süreci başlamıştır.
Kanunda düzenlendiği şekliyle, kişisel verilere ilişkin suçlar bakımından ve kişisel verileri silmeyenler veya anonim hale getirmeyenler hakkında hapis cezasına hükmedilmesi kararlaştırılmışken; kabahatler bakımından ise gerekli yükümlülükler tüzel kişilerce yerine getirilmediği takdirde 5.000,00 TL’den 1.000.000 TL’ye kadar tüzel kişiler aleyhine idari para cezasına hükmedilmesi kararlaştırılmıştır.
İlgili kanun ile düzenlenen suç kapsamına kişisel verilerin kullanılması dışında aynı zamanda kişisel verinin, şirketin bünyesinde bulunması ihtiyacı ortadan kalktıktan sonra kişisel verilerin imha edilmemesi halinde, bu durum da suç teşkil ediyor. Bu nedenle veri tabanında yer alan verilerin kullanım amaçları sona erdiğinde bu veriler ya silinmeli ya da anonimleştirilmelidir.
Tüzel kişiliğin yöneticisinin, şirketindeki ilgili birimlere konu ile ilgili gerekli uyarıları yaptığını (e-mail yoluyla, yazılı talimatla) kanıtlayabildiği takdirde sorumluluktan kurtulabilmesi mümkün.
Kanunun uygulanması için; öncelikle kişisel verilerinin kullanıldığını düşünen kişi, ilgili şirkete başvuruyor, şirket başvuruyu incelemezse ya da kişi verilen cevaptan tatmin olmaz ise; Kişisel Verileri Koruma Kurulu’na başvurabiliyor. Kurul, 60 gün içinde başvuruyu değerlendirip ihlal bulunduğuna takdir etmesi halinde hukuka aykırılıkların giderilmesi kararını şirkete bildiriyor. Şirket, 30 gün içerisinde bu kararı yerine getirmek zorunda bulunuyor.