Faaliyetleri kapsamında Türkiye'de kişisel veri işlemekte olan tüm gerçek ve tüzel kişiler için bir takım yükümlülükler getiren 6698 sayılı Kişisel Verilerin Korunması Kanunu, 07.04.2016 tarihli ve 29677 sayılı Resmi Gazete'de yayımlanarak yürürlüğe girmiştir. Kanunla veri sorumlularına; kişisel verileri Kanuna uygun olarak işlemek (elde etmek, depolamak, muhafaza etmek, değiştirmek, anonimleştirmek, aktarmak, imha etmek vb.), kişisel verilerin korunmasına ilişkin teknik ve idari tedbirleri almak gibi bir dizi yükümlülük getirilmiştir.

Ayrıca, KVKK mevzuatı, bazı şartları taşıyan veri sorumlularına söz konusu kişisel verilerin işlenmesi ve korunmasına ilişkin olarak politika ve envanter hazırlamak, Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kaydolmak, aydınlatma yükümlülüğünü yerine getirmek, verileri işlenen kişilerin başvurularını yanıtlamak ve taleplerini yerine getirmek gibi ek yükümlülükler de getirmiştir.

Odamız tarafından hem KVKK hem de GDPR yönünden uyumluluk çalışmaları başlatılmış olup gerekli inceleme ve çalışmalar danışmanlarımız ile birlikte sürdürülmektedir. Bu kapsamda 6698 sayılı kanunun genel gereklerinin yanı sıra, üyelerimizden aşağıda belirtilen şartları haiz olanların, yine aşağıda belirtilen tarihlere kadar VERBİS'e kayıt yaptırma yükümlülüğü de bulunmaktadır:

1. Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 25 milyon TL'den çok olan gerçek ve tüzel kişi veri sorumluları 31.12.2019,
2. Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları 31.12.2019,
3. Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 25 milyon TL'den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları 31.03.2020,
4. Kamu kurum ve kuruluşu veri sorumluları ise 30.06.2020 tarihine kadar VERBİS'e kayıt yaptırmakla yükümlüdür.

6698 sayılı Kanunun 18. maddesi gereği;

20. a) Belirtilen tarihlere kadar VERBİS'e kayıt olmayarak sicile kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 TL'den 1.000.000 TL'ye kadar,
21. b) Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 TL'den 100.000 TL'ye kadar,
22. c) Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 TL'den 1.000.000 TL'ye kadar,
23. d) Kişisel Verileri Koruma Kurulu tarafından verilen kararları yerine getirmeyenler hakkında 25.000 TL'den 1.000.000 TL'ye kadar idari para cezası tatbik edileceği ifade olunmuştur.

Bu çerçevede, Kişisel Verileri Koruma Kurulu Başkanlığı, başta Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt yükümlülüğü olmak üzere, kişisel veri işleme envanteri hazırlanması, kişisel veri saklama ve imha politikası hazırlanması, aydınlatma yükümlülüğünün yerine getirilmesi ve ilgili kişilerin başvurularına cevap verilmesi gibi konularda rehber olması maksadıyla bir kılavuz hazırlamıştır. Üyelerimizin konu hakkında bilgi edinmesi ve önlem alması için, KVKK Başkanlığı tarafından hazırlanan İş Dünyası İçin Kişisel Verilerin Korunması Kanununa Uyum Kılavuzu, Odamız internet sitesinde yayınlanmış olup (https://www.denizticaretodasi.org.tr/media/SharedDocuments/KVKK.pdf) üyelerimizin erişimine sunulmuştur.

Diğer taraftan 6698 sayılı Kişisel Verilerin Korunması Hakkındaki Kanun ile aynı dönemde, Avrupa Birliği Komisyonu tarafından Avrupa Veri Koruma Tüzüğü (General Data Protection Regulation –GDPR) yürürlüğe konulmuştur. Bu tüzük, Avrupa vatandaşlarına ve Avrupa yerleşik kişilere ait kişisel verilerin işleyen kişi ve kurumlara bu kişisel verilerin işlenmesine yönelik olarak uluslararası ilişikler çerçevesinde belirli sorumluluk ve yükümlükler getirmiştir.

Faaliyetleri itibariyle Avrupa vatandaşları ile Avrupa yerleşik kişilere ait verileri işleyen üyelerimizin GDPR açısından da durumlarını inceleyerek, GDPR mevzuatına yönelik tedbirleri almaları da gerekebilir.

GDPR, veri sorumlusuna veri işleme süreçlerinin kayıt altına alınması ile de bazı yükümlülükler getirmektedir. Ayrıca GDPR mevzuatına göre, veri ihlallerine 20 Milyon € (Avro)'ya veya bir önceki mali yılın toplam cirosunun %4'üne kadar idari para cezası uygulanması da söz konusudur.

GDPR; özellikle özel nitelikli kişisel verilerin işlenmesi durumunda;

1. "Veri Sorumlu Temsilcisi" atanması,
2. "Veri Koruma Etki Analizi"nin yapılması ve
3. "Ön İstişare" yapılmasını zorunlu kılmaktadır.

Bu işlemlerin yapılmaması veya eksik yapılması durumunda ise 10 Milyon € (Avro)'ya veya toplam cirosunun %2'sine kadar idari para cezası uygulanması söz konusudur. GDPR, ayrıca veri akışını kesme yetkisine de sahiptir.

Bu nedenlerle, üyelerimizin olası bir ticari ve itibar kaybına yol açabilecek bu durumu da göz önünde bulundurmaları gerekmektedir.

Bilgilerinize arz ve rica ederim.

Saygılarımla,                

İsmet SALİHOĞLU            

Genel Sekreter