Gerek kamu, gerekse özel sektörün KVKK kapsamında birçok yükümlülüğü bulunmaktadır. Kişisel veri işleme envanterinin oluşturulması, kurumsal politika prosedürlerinin oluşturulması ve bunların uygulamaya dökülmesi, irtibat durumundaki diğer kurumlarla gizlilik sözleşmesi ve taahhütnameler imzalanması, aydınlatma metni hazırlanması, açık rıza alınması, alınan açık rızaların fiziksel ya da elektronik ortamda dökümante edilmesi, risk analizi yapılması, farkındalık eğitimleri ve sürecin sonunda yapılacak VERBİS kayıt aşaması kişisel verilerin korunması kapsamında yapılacak belli başlı iş ve işlemlerdir.
Yukarıda özet şekilde ifade ettiğimiz iş ve işlemler, kurumların KVKK uyum süreci ile alakalıdır. Bir diğer önemli aşama ise kişisel verilerin korunmasına ilişkin idari ve teknik tedbirlerin alınmasına yöneliktir. Kurumlar kişisel veri güvenliğinin sağlanması amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik her türlü tedbiri almalıdır. Veri sorumluları sistemsel açıkların önüne geçmeli, veri sızıntısının önüne geçmek için gerekli tüm önlemleri özenle uygulamalıdır.
Somut olayda veri sorumlusu, müşterisinin kişisel verilerinin yer aldığı bir belgeyi aynı isimde başka bir şahısa yollamıştır. Veri sorumlusuna bağlı görev yapan bir çalışan, herhangi bir talep olmamasına rağmen müşterinin (ilgili kişi) kişisel verilerini, kendisine yetki tanımlaması yapılan sistemler aracılığıyla kişisel amaçlar için sorgulamıştır.
Kişisel Verileri Koruma Kurulu bu durumla alakalı veri sorumlusuna, kişisel verilerin hukuka aykırı işlenmesini önlemek konusunda gerekli idari ve teknik tedbirleri almadığı gerekçesiyle idari yaptırımda bulunmuştur. İşlemi tesis eden şirket tüzel kişiliği (veri sorumlusu) hakkında KVKK 12 nci maddesi gereği 15.000 Türk lirası ile 1.000.000 Türk lirası arasında para cezası uygulanmıştır. Tüm kurum ve kuruluşlar bu hususa dikkat etmelidir. Kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla her türlü idari ve teknik tedbirler alınmalıdır.
İlgili karar metni aşağıdaki şekildedir,
Kişisel Veri Güvenliğinin Sağlanması Amacıyla Uygun Güvenlik Düzeyini Temin Etmeye Yönelik Gerekli İdari ve Teknik Tedbirlerin Alınmaması
a) Veri sorumlusu tarafından müşterisinin (ilgili kişi) kişisel verilerinin yer aldığı bir belgenin, aynı isme sahip başka bir kişiye gönderilmesinin;
Veri sorumlusu açısından sistemsel bir açığa işaret ettiği dikkate alınarak, Kurul tarafından Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğinin sağlanması hususunda gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.
b) Veri sorumlusunun bir çalışanının, talebi olmamasına rağmen müşterisinin (ilgili kişi) kişisel verilerini, kendisine yetki tanımlaması yapılan sistemler aracılığıyla kişisel amaçları için sorgulaması nedeniyle,
Kurul tarafından Kanunun 12 nci maddesinin (1) numaralı fıkrası gereğince veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari işlem tesis edilmesine karar verilmiştir.
