Kişisel Verilerin Korunması Uyum Süreci

 

NELER YAPILMALI?

Kişisel Verileri Koruma Kurumu, Kişisel Verileri Koruma Kanunu, düzenli olarak yayınlanan Kurul kararları ve ilgili diğer mevzuat gereği kişisel verileri işleyen gerçek ve tüzel kişilerin veri işlemeye başlamadan önce uyması gereken birtakım zorunlu kurallar koymuştur. Bunlardan en temel olanları kişisel verisi işlenecek ilgili kişileri aydınlatmak, gerekiyorsa açık rızalarını almak, veri kaybını önlemek için gerekli idari ve teknik tedbirleri almak ve Veri Sorumluları Siciline kaydolmak olarak sıralanabilir.

İstisnasız şekilde, kişisel verisi işlenecek her ilgili kişinin, veri işleme işleminden önce aydınlatılması gerekmektedir. Bu aydınlatmanın nasıl yapılacağı, olmazsa olmaz unsurları ve yine mevzuat ve Kurul kararları kapsamındaki açık rıza sürecinin doğru işletilmesi, veri sorumlusu açsından büyük önem taşımaktadır.

Yine kural olarak, tüm veri sorumlularının bir Veri Envanteri oluşturması ve akabinde Veri Sorumluları Sicili’ne (VERBİS) kaydolmaları gerekmektedir. Söz konusu kayıt işleminin, veri işleme faaliyetlerine başlamadan önce tamamlanması gerekir. Bu yükümlülüğün kapsamı ve istisnaları Kurul tarafından düzenlenmiştir.

Bu kapsamda ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları VERBİS’e kayıt olmak zorundadır. Dolayısı ile, sağlık verileri de Kanun kapsamında sayılan özel nitelikli kişisel verilerden olduğundan Diş Hekimlerinin de veri sorumlusu olarak VERBİS’e kayıt yükümlülükleri bulunmaktadır. (Sicile kayıt yükümlülüğü EN GEÇ 31.12.2021 tarihinde tamamlanmış olmalı idi.)

Özel nitelikli kişisel veriler, öğrenilmesi halinde ilgili kişinin mağdur olmasına ya da ayrımcılığa maruz kalmasına neden olabileceği için Kanun, bu verilere özel bir önem atfetmekte ve bu verilerle ilgili farklı bir düzenleme getirmektedir. KVKK, özel nitelikli kişisel veri işleyenlerin alması gerekli tedbirleri ayrı olarak incelemiş ve tüzel ya da gerçek kişi bünyesinde uygulanabilecek özel işlemleri sıralamıştır. Bunlardan bazıları, yukarıda sayılan temel zorunluluklara ilaveten, veri güvenliğine ilişkin politikalar/prosedürler oluşturmak, çalışanlara eğitim verilmesi ve gizlilik sözleşmeleri imzalanması, verilerin saklandığı elektronik ortamlardaki tedbirlerin sağlanması, belgelerin derecelendirilmesi gibi teknik ve idari tedbirler olabilir.

İlaveten, kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin belirlenmesi, bu sürelerin kişisel veri işleme envanterinde belirtilen bilgilerle uyumu ve azami sürenin aşılıp aşılmadığının takibi, bu doğrultuda kişisel veri saklama ve imha politikasının hazırlanması gibi Kurum’un çok önem verdiği hususlarda da detaylı hizmet almak gerekir.

YAPTIRIMLAR

Özel nitelikli kişisel veri işleyen diş hekimleri, doktorlar, psikologlar, her türlü sağlık kuruluşu, kozmetik şirketleri, tanı araştırma merkezleri gibi veri sorumlularının veri ihlalinde bulunmaları ya da yukarıda sayılan yükümlülüklere aykırılıklarının şikayet üzerine ya da resen tespiti halinde, bu kişiler hakkındaki kararlar internet sitesinde yayımlanarak tüm kamuoyu ile paylaşılmakta ve ilaveten kişisel veri işleme faaliyeti kapsamında mevzuat ve Kurul kararlarıyla düzenlenen emirlere uymayanlar hakkında idari ve cezai yaptırımlar uygulanmaktadır.

2023 yılındaki idari para cezaları aşağıdaki tabloda sunulmaktadır.

Cezai yaptırımlar ise Türk Ceza Kanunu’nda özel hayatın gizliliğinin ihlali, kişisel verilerin hukuka aykırı olarak kaydedilmesi, ele geçirilmesi, istek üzerine yok edilmemesi gibi suçlara istinaden düzenlenen hapis cezalarıdır.

Tüm bu nedenlerle kişisel verilerin korunması uyum sürecinin, alanında profesyonel danışmanlık hizmeti veren avukatlarla takip edilmesi önerilmektedir.