Farkındalık Eğitiminin Tamamlatılmaması Halinde Öngörülen Yaptırımlar

6698 Sayılı Kişisel Verileri Korunması Kanunu’nun 12. Maddesi ile veri sorumlularının;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu hüküm altına alınmıştır.

Bu kapsamda idari tedbirler kapsamında sayılan “farkındalık eğitimi” temini çok önemli ve kanun kapsamında gerçekleştirilmesi zorunlu bir idari tedbirdir.

Bu yükümlülüğün ihlali halinde gerçek kişiler ile özel hukuk tüzel kişileri için 2022 yılı için 40.183-TL-2.678,866-TL idari para cezası öngörülmüştür. İhlalin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılıp, sonucu Kurala bildirilecektir.

Kurulun 20.04.2021 tarih, 2021/407 Karar sayılı kararıyla çalışanlarına farkındalık eğitimi aldırmayan ve veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyen veri sorulusu hakkında toplam 600.000-TL idari para cezasına hükmedilmiştir :

İlgili kararda: “İhlal ile ilgili olan çalışanların, sağlık verileri ve genetik veriler de dahil olmak üzere özel nitelikli çok sayıda kişisel verinin işlenme sürecinde yer aldığı göz önünde bulundurulduğunda; veri sorumlusu tarafından çalışanlara tanımlanan kişisel verilerin korunması eğitiminin tamamlanmasının sağlanmadığı, Kuruma gönderilen belgelerde yer alan bilgilerin incelenmesi neticesinde; münhasıran kişisel verilerin korunmasına yönelik eğitimin; sadece 3 çalışan tarafından alınmış olduğu, kişisel verilerin korunması eğitiminin diğer çalışanlara tanımlanmış olmasına rağmen söz konusu çalışanların eğitimlere hiç başlamadıkları ve bu hususta hastane tarafından bir aksiyon alınmadığı, 3 çalışanın kişisel verilerin korunması eğitimi aldıkları ifadesinin “Kalite Müdürlüğü Eğitimi” başlığı altında yer alan konulardan biri arasında kişisel verilerin korunmasının yer almasına istinaden yapıldığı, 2 çalışana ihlalin başlangıç tarihinden sonra eğitim verilmiş olduğu, eğitim tanımlanan 1 çalışanın ise kişisel verilerin korunması ile ilgili hiçbir eğitim almamış olduğu, eski çalışanın kişisel verilerin korunması ile ilgili eğitim almış olmasına rağmen arşiv odasındaki belgelerin taşınmasına yardım ettiğinin anlaşıldığı, bu durumun ise çalışanlara kişisel verilerin korunmasına yönelik yeterli eğitimin verilmediğinin göstergesi olduğu

Gerekçesiyle Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 450.000 TL, …bildirim yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 150.000 TL olmak üzere toplam 600.000 TL idari para cezası uygulanmasına, karar verilmiştir.” İfadelerine yer verilmiştir.

Kişisel Verileri Koruma Kurumunun da ifade ettiği üzere; Kişisel veri güvenliğini zedeleyecek saldırılar ile siber güvenliğe ilişkin, çalışanların sınırlı bilgileri olsa dahi ilk müdahaleyi yapmaları, kişisel veri güvenliğinin sağlanması konusunda büyük önem taşımaktadır.

Veri Sorumlusuna Çağrı Merkezi Üzerinden Yapılan Başvuru Kabul Edilebilir mi? Veri Sorumlusuna Çağrı Merkezi Üzerinden Yapılan Başvuru Kabul Edilebilir mi?

Kişisel veri güvenliğini ihlal etmeye yönelik saldırıların yanı sıra, kişisel verilerin hukuka aykırı olarak açıklanması ya da paylaşılması gibi konular başlıca kişisel veri güvenliği ihlallerindendir. Bu ihlaller, kullanıcıların dikkatsizlik, dalgınlık veya tecrübesizlik gibi zayıf yönlerinin kullanılması suretiyle kötü amaçlı yazılım içeren elektronik posta ekinin açılması veya elektronik postanın yanlış alıcıya gönderilerek kişisel verilerin üçüncü kişilerin erişimine açılması şeklinde de ortaya çıkabilmektedir.

Bu nedenle çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması kişisel veri güvenliğinin sağlanması bakımından çok önemlidir.

Veri sorumlusu nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmeli ve çalışanların bu konudaki rol ve sorumluluğunun farkında olması sağlanmalıdır. Ayrıca kişisel veri içeren ortamlara erişim hakkı verilirken veya bu konuda kurum kültürü oluşturulurken “Yasaklanmadıkça Her Şey Serbesttir” prensibi değil, “İzin Verilmedikçe Her Şey Yasaktır” prensibine uygun hareket edilmesine dikkat edilmelidir.

İşbu sebeple tüm veri sorumlularının kanuna tam uyumu sağlamak ve Kişisel Verilerin Korunması Kanunu kapsamındaki yaptırımlarla karşılaşmamak adına ivedi bir şekilde çalışanların farkındalık eğitimlerini tamamlatmaları gerekmektedir.