Özoğul&Yenigün Partners avukatları Evrim Uygur Yamaner ve Ömer Özer, denizcilik şirketlerinin Kişisel Verilerin Korunması Kanunu kapsamında dikkat etmesi gereken hususlar ve bu bağlamdaki yükümlülükleri değerlendirdiler
Bilişim teknolojisinin gelişmesi ve iletişim kanallarının çeşitlenmesi, bu gelişim karşısında oluşan bilgi akış ve veri hızının artması, bireylerin kişisel verilerinin ihlali olasılığını artırdığından kişisel verilerin hukuksal zeminde korunması zarureti hâsıl olmuş, kişisel veriler ile bu verilerin korunmasının temel insan haklarından olduğu görüşü baskın hale gelmiş, bu kapsamda kişisel verilerin korunması artık bireyler için hukuki temel bir hak olarak kabul edilmiştir.
Dünyada yaşanan teknolojik gelişmeler bu hususta gelişen teknolojiye uyum sağlayan yasal bir düzenleme yapılması gerekliliğini doğurmuştur, bu sebeple, 07.05.2010 tarihli 5982 Sayılı Kanun’un 2’nci Maddesiyle Anayasa’nın 20’nci Maddesine eklenen fıkra ile, herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkının anayasal bir hak olduğu teminat altına alınmıştır. Kişilerin temel hak ve özgürlüklerini korumak amacıyla, gerçek ve tüzel kişilere birtakım yükümlülükler getiren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 07.04.2016 tarihinde yürürlüğe girmiş ve Kanun’a uyum için tanınmış olan iki yıllık sürenin sona erdiği 07.04.2018 tarihi itibarıyla uygulanmaya başlanmıştır.
KVKK, veri sorumlularının verileri işlerken yerine getirmeleri gereken zorunlu hükümler içermekte, bunlara uyulmaması halinde uygulanması gereken yaptırımının ne olacağını tespit etmektedir. Kurul tarafından kanuni yükümlülüklerini yerine getirmeyen veya veri ihlaline neden olan veri sorumluları hakkında yüksek tutarlarda idari para cezalarına yaklaşık 10,000 Türk Lirası’ndan 2,000,000 Türk Lirası’na kadar cezalara hükmetmektedir.
Verbis’e kayıt yükümlülüğü bakımından istisna kapsamında olan şirketlerin sadece Verbis’e kayıt yükümlülüğünden muaf tutulduğunu fakat KVKK ve bağlı yasal mevzuatlar temelinde diğer tüm sorumluluklarının devam ettiğini ve olası bir ihlâl durumunda hem idari yaptırımlar hem de cezai müeyyide ile karşılaşabileceklerini önemle belirtiriz zira Veri Sorumluları Sicili (Verbis)’ne kayıt yükümlülüğü KVKK kapsamındaki yükümlülüklerden yalnızca bir tanesini oluşturmaktadır.
Bu noktada, veri sorumlusu niteliğini haiz denizcilik şirketlerinin KVKK ve bağlantılı mevzuat temelindeki yükümlülükleri, 07.04.2018 tarihinden beri devam etmektedir. Bu sebeple, hukuki tedbirlerin yanında veri güvenliği yükümlülüğü uyarınca alınması zaruri teknik ve idari tedbirlerin ertelenmemesi gerektiği hususu da oldukça önem arz etmektedir.
Denizcilik şirketleri ve tersaneler ticari faaliyetleri gereği çok sayıda kişisel veri toplamakta ve veri aktarımı yapmaktadırlar.
Gemi inşa sanayisinde ise; tersaneler, her cins ve boyda gemi ve su araçlarının inşası, bakım-onarım ve tadilatlarından biri veya birkaçının yapılmasına imkân sağlayan işyerleri olduğundan bu ticaret esnasında da veri aktarımı yapılmaktadır.
Bir denizcilik şirketinin, gerek bir tüzel kişi ile bağıtlayacağı ticari bir sözleşmesi gerekse de çalışanlarıyla akdedeceği iş sözleşmesi ve bu sözleşme devamında uygulanacak tüm prosedürleri KVKK’ya uygun değilse hukuka uygun bulunmayacaktır.
Kurul’un kararlarına baktığımızda, ihlallere yönelik hızlı karar verdiğini ve yüksek tutarlarda idari para cezalarına hükmettiğini görmemiz mümkündür. Esasen bu sebeplerle, KVKK uyum sürecini ve bu süreçte yapılması gerekenleri geniş yorumlamak gerekmekte ve salt Verbis kaydının gerçekleştirilmesi ile sorumluluklarının yerine getirildiği düşüncesinin değişmesi gerekmektedir. Bu kapsamda KVKK uyum süreci ve danışmanlığı tüm veri işleyen kurumlar için elzemdir.
Denizcilik sektörü gibi birçok verinin işlendiği, yurtiçi-yurtdışı veri aktarımının yoğun bir şekilde yapıldığı, adli sicil kayıtları ve sağlık bilgisi gibi özel nitelikli kişisel verilerin sıklıkla işlendiği yapılarda KVKK bakımından risklerin titizlikle incelenmesi ve Kurul kararlarının periyodik olarak düzenli bir şekilde takibinin yapılması oldukça önemlidir.
Bu kapsamda denizcilik sektörünün dünya ticaretinde çok ciddi bir konuma sahip olduğu değerlendirildiğinde son yıllarda bu sektöre doğru yoğun siber saldırıların olduğu bilinmektedir. Bu saldırıların altında yatan en önemli temel sebep ise saldırganların haksız ticari kazanç elde etme talepleridir. Bu artan saldırıların sonucu olarak özellikle denizcilik alanında faaliyet gösteren işletmelerin bilgi güvenliği standartları ışığında teknik ve idari tedbirler alması önem arz edecektir. Bu saldırılar, denizcilik alanında faaliyet gösteren gemilerin GPS ve AIS sistemleri üzerinden yapılacak saldırılar ile geminin rotasını saptırarak kötü amaçlı kişilerin eline geçmesine sebep verilmesi olabileceği gibi içeriden yapılan siber saldırılar ile ele geçirilmesi şeklinde de olabilecektir.
KVKK bağlamında veri sorumlarının, mevzuata uyumluluğunu tüm iş süreçlerinde sağlamaları, şirketler temelinde buna yönelik eğitimlerin verilmesi, envanterlerin her bir departman özelinde çıkartılması, çalışanlar, tedarikçiler, müşteriler, iş ortakları ve benzeri 3’üncü taraflarla düzenlenen sözleşmelerin gözden geçirilip KVKK mevzuatına uyumlu hale getirilmeleri (sözleşmenin tarafının şirket ya da gerçek kişi olduğu önem arz etmeksizin), ilgili kişilerin veri işleme faaliyetlerine yönelik aydınlatılması, açık rızalarının alınması ve bağlantılı taahhütlerin imzalanması ve veri güvenliğine ilişkin önlemlerin alınması oldukça önemlidir.
Verbis kaydının yapılmasının uyumluluk sürecinin küçük bir parçası olduğu unutulmadan, salt Verbis kaydının yapılmış olması ile KVKK’dan kaynaklanan yükümlülüklerin yerine getirilmiş olduğu ve Verbis yükümlülüğünün ertelenmesinin KVKK zeminindeki yükümlülüklerin ertelenmesi anlamına geleceği yanılgısına düşülmeden, şirketin varlığını devam ettirdiği süre boyunca KVKK uyumu için ilgili hukuki, teknik ve idari tedbirlere riayet edilmesi gerekmektedir.
Bu haberin/makalenin tamamı ya da bir kısmı kaynak gösterilmeden yayımlanamaz. Kaynak gösterilse dahi aktif link verilerek kullanılabilir. Kaynak göstermeden ve aktif link vermeden yayımlayanlar hakkında yasal işlem başlatılır.
