Kişisel Verilerin Korunması Kanunu kapsamında veri sorumluları, veri işleme faaliyetleri ile ilgili bilgiler için VERBİS’e kayıtlarını oluşturup, işledikleri kişisel verileri burada beyan etmek zorundadır. Eğer bir istisna durumu söz konusu değilse bu zorunluluk tüm veri sorumlularını kapsamaktadır. KVKK uyum süreci kapsamında VERBİS kaydını tamamlamayan şirketler için ise önemli tarih 30 Eylül 2020. Uyum sürecini tamamlamayan ve veri ihlali yaşayan şirketleri 1,8 milyon TL’ye kadar para cezası bekliyor.
2016 yılında yayımlanan Kişisel Verilerin Korunması Kanunu’na (KVKK) göre şirketlerin ticari olarak kullandığı kişisel verileri kayıt altına alma zorunluluğu getirilmişti. Çalışan sayısı 50’den fazla veya yıllık mali bilanço toplamı 25 Milyon TL’nin üzerinde olan şirketlerin 30 Eylül 2020 tarihine kadar, çalışan sayısı 50’den veya yıllık mali bilanço toplamı 25 Milyon TL’den az olan şirketlerin ise 30 Mart 2021 tarihine kadar Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt olmaları gerekiyor. VERBİS’e kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 36 bin TL’den 1,8 milyon liraya kadar idari para cezası kesilebilecek.
Cezalar 1,8 milyon liraya ulaşabiliyor
Kişisel Verilerin Korunması Kanunu’na uyum süreçlerini tamamlamayan şirketlerin, olası bir veri ihlali durumunda ceza yaptırımına maruz kalacaklar. KVKK uyum sürecini tamamlayamayan şirketler olası bir veri ihlali durumunda hapis ya da para cezası ile karşılaşabilirler. 9 bin 13 TL’den başlayan cezalar, 1 milyon 802 bin 636 TL’ye kadar çıkabiliyor. Ayrıca şirketler, itibar ve güven kaybı ile de karşı karşıya kalabiliyor.
Sadece VERBİS kaydı yeterli değil
VERBİS kaydının tamamlanması süreci Kişisel Verilerin Korunması Kanunu’na uyum sürecinde sadece bir adım. VERBİS kaydını tamamlamış şirketler, KVKK uyum sürecinin yalnızca bir aşamasını tamamlamış oluyor. KVKK uyum sürecinin geri kalan kısmı, VERBİS kaydı yapılmasından çok daha detaylı çalışılması gereken konuları barındırıyor. Bunun yanında istisnai durum sebebiyle VERBİS kaydı yaptırmalarına gerek olmayan, kayıttan muaf olan organizasyonların da KVKK uyum sürecini yerine getirmeleri gerekiyor.
Veri ihlalinin organizasyonlara gerçek maliyeti cezalardan çok daha fazla
Kişisel Verilerin Korunması Kanunu’na uyum süreci hukuki yükümlülüklerin yanı sıra kişisel veri güvenliğine dair her türlü teknolojik tedbirlerin alınmasını da kapsıyor. Hukuka uygun, hesap verilebilirlik ilkesini gözeterek alınan güvenlik önlemlerinin ve tedbirlerinin sürdürebilirliği şirketlerin prestiji açısından çok kıymetli. Uyum süreçlerini tamamlamayan şirketler, cezaların yanı sıra itibar ve güven kaybı ile karşı karşıya kalabilirler. Yani, veri ihlalinin organizasyonlara gerçek maliyeti cezalardan çok daha fazla.