Öncelikle şirketinizin tüm departmanlarıyla görüşülüp adeta şirketinizin x-ray inin çekilmesi gerekmektedir. Böylece şirketiniz hangi kişisel verileri işliyor, hangi özel nitelikli kişisel verilere temas ediyor, bu verileri kimlerle paylaşıyor, saklama işlemi yapılıyorsa bunun süresi gibi bilgilerin tüm departmanlarda bilgi girişi yapan çalışanlarla tespit edilip veri envanterinin çıkarılması gerekmektedir. Sonrasında ise bu veri envanteriyle birlikte VERBİS Veri Siciline tescil işlemi kolaylıkla yapılabilecektir.
Şirket, çalışanlarının kişisel verileri işlerken hukuka aykırılığın söz konusu olması durumunda sorumludur. Zira 6098 Sayılı Borçlar Kanunu’ nun 66. Maddesinde adam çalıştıranın sorumluluğu müessesesi düzenlenmiş ve burada şirket bakımından kusursuz sorumluluk öngörülmüştür. İlgili kişilerin şirkete herhangi bir talep yöneltmesi neticesinde şirket bu talepleri karşılamak zorundadır. ( İspat olunduğu ölçüde ) Bu aşamadan sonrasında ise şirket, ilgili çalışanına rücu edebilir.
Sosyal medyada dahi kişisel verisi hukuka aykırı olarak ele geçirilen veya 3. Kişilerce yayılan ilgili kimse Cumhuriyet Savcılığına başvuru yapması durumunda bu ihlali meydana getiren kişilere hapis cezaları verilmektedir. Türk Ceza Kanunu 136. Maddesinde hapis cezaları ayrıntılı olarak düzenlenmiştir.
6102 Sayılı Türk Ticaret Kanunu’ nun 553. Maddesinde şirket yönetim kurulu üyelerinin sorumluluğu düzenlenmiştir. Buna göre yönetim kurulu üyeleri kanun ve şirket sözleşmesindeki yükümlülüklerini ihlal ettikleri takdirde uğranılan zararlardan sorumlu olacaktır. Buna karşın Aynı kanunun 367. Maddesi uyarınca çıkarılacak bir İç Yönerge ile şirket yönetim kurulu üyelerinin 6698 Sayılı Kişisel Verilerin Korunması Kanunundaki sorumlulukları 3. Kişiye devredilebilir. Böylece Yönetim Kurulu üyeleri sorumluluktan kurtulur.
Kişisel Verilerin Korunması Kanunu’ na uyum sağlamayan şirketlerin herhangi bir şikayet sonucu ya da Kişisel Verileri Koruma Kurulu tarafından yapılacak inceleme sonucunda karşılaşacağı müeyyideler ( yaptırımlar ) oldukça ağırdır. Bu müeyyidelerden ilki şirket yönetim kurulu üyelerinin hapis cezasıyla karşılaşabilecek olmasıdır. Bu müeyyide şirket yönetim kurulu üyeleri bakımından büyük bir risk taşımaktadır. Bununla birlikte 6698 Sayılı Kişisel Verilerin Korunması Kanunu’ na uyum çalışması yapmamış olan şirketlere uygulanacak para cezası 1.000.000 TL’ dir. ( Bir Milyon Türk Lirası ) Ayrıca kanuna uyum sağlamamış ve ihlal neticesinde şikayet edilen kurum ruhsatla işletilen bir kurumsa ruhsat iptali müeyyidesiyle de karşılaşma riski oldukça büyüktür.
6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında veri sorumluları, çalışanlarını bazı seminerlerle ve özel eğitimlerle bilgilendirmeli, hak sahiplerinin kişisel verileriyle ilgili taleplerde bulunmasında hangi aşamaları yerine getirmesi gerektiğine ilişkin bir yol haritası hazırlamalıdır. Bununla birlikte periyodik zamanlarda çalışma masasında bulunan bilgisayarlara pop-up şeklinde soru ve cevaplar gönderilmelidir. Ayrıca çalışanlara e-mailler ile uyarı ve bilgilendirme notları gönderip farkındalığı oldukça yüksek seviyede tutması gerekmektedir.
Öncelikle şirket, çalışanlarıyla olan iş sözleşmelerini revize etmelidir. Mevcut işçilerle de Kişisel Verilerin Korunması Kanunu’ na uygun hükümler içeren ek protokoller yapılmalıdır. Şirket ayrıca hukuki ilişki içerisinde olduğu tüm firmalara da ek protokoller yapmalıdır. İlaveten, yeni imzalanacak tüm sözleşmelere Kişisel Verilerin Korunması Kanunu’ na yönelik hükümler eklemelidir.
Şirketlerin bu konuda oldukça sorun yaşadığı bilinen bir gerçektir. Şirketlerin hukuki ilişki içerisinde oldukları 3. Kişilere ait bilgileri ilgili kanun hükümlerine göre zamanaşımı süreleri kapsamında bünyelerinde tutmasında herhangi bir problem yoktur. Ancak ilgili kanunların zamanaşımı sürelerinin geçmesi durumunda herhangi bir denetim söz konusu olursa burada ihlal ortaya çıkacaktır. Dolayısıyla Türkiye Cumhuriyeti Kanunlarında yer alan zamanaşımı süreleri geçtikten sonra şirket bu bilgileri yok etmeli, silmeli ya da anonimleştirmelidir.
Bu sorunun cevabı kesinlikle hayırdır. Zira her şirkette veri segmentasyonu yapılmalıdır. Her departman kendi departmanında tutulan bilgilere erişim sağlayabilmelidir. Aksi takdirde Kişisel Verilerin Korunması Kanununda mevcut ilkelere aykırılık riski daha da artacaktır. Zira erişim yetkisi olmayan kimseler veriye erişme şansına sahip olacaktır.
Şirketin websitesinde bazı düzenlemeler yapması gerekir. Yasal bilgilendirmeler başlığı altında Kişisel Verilerin Korunması Kanununa ilişkin Veri Politikasını ve Aydınlatma metnini paylaşmalıdır. Bununla birlikte bilgi talep formu oluşturulması gereklidir. Böylece ilgili kişiler kanun kapsamındaki haklarını kullanmak istediklerine şirket ile iletişim kurabilecekler ve şirket de bu talepleri karşılama ortamı yaratmış olacaktır.