Kişisel Verilerin Korunması Kanunu’nda İşveren Sorumluluğu : “KVKK Farkındalık Eğitimi”

Rasyotek İnsan Kaynakları Bilişim A.Ş. Yönetim Kurulu Başkanı Haldun Pak ile Kişisel Verilerin Korunması Kanunu ve işverenlerin sorumluluklarından biri olan “KVKK Farkındalık Eğitimi” üzerine konuştuk.

“Kişisel Verilerin Korunması Kanunu”, “Aydınlatma Metinleri”, “VERBİS Kaydı” terimleri son yıllarda hepimizin sıklıkla duyduğu, öğrenmeye başladığı terimler. Bunların dışında özellikle son zamanlarda karşımıza çıkan “KVKK Farkındalık Eğitimi” konusu var. Peki nedir bu “KVKK Farkındalık Eğitimi”? Bizim için konuyu biraz açar mısınız?
KVKK Farkındalık Eğitimi, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda geçen idari ve teknik tedbirlerin iş dünyası profesyonellerince kavranmasını, içselleştirilmesini ve bu tedbirlere harfiyen uyulmasını, konu ile ilgili farkındalığa ulaşılmasını sağlamak amacı ile KVKK için işveren sorumluluğunda görülen bir eğitimdir. Kanun’a göre gerek kamu kurum ve kuruluşları gerekse özel sektördeki her işletme, hali hazırda çalışanlara periyodik olarak bu eğitimi aldırmalı ve işe giriş yapan her yeni personele de oryantasyon sürecinde bu eğitimi tamamlatmalıdır.

“KVKK Farkındalık Eğitiminin” içeriği hakkında da bizi bilgilendirir misiniz?
İdari ve teknik tedbirler başlıklarındaki her madde eğitimin içeriğinde yer bulmaktadır. Eğitimdeki temel amaç, çalışanların iş hayatında sebep olabilecekleri ihlallerin önüne geçmek olsa da eğitim kişilerin sosyal hayatlarını daha güvenli bir şekilde geçirmelerini sağlamak açısından da büyük önem taşımaktadır. Eğitim içeriği oluşturulurken hem idari hem teknik konuları kapsaması, aynı zamanda da günlük hayattan örnekler içermesi gerekmektedir. İş dünyasında her kademedeki çalışanın bu eğitimi alması gerektiği için anlatımın açık ve anlaşılır olması da üzerinde hassasiyetle durulması gereken başka bir konudur.

İşverenlerin çalışanlarına “KVKK Farkındalık Eğitimi” aldırması neden bu kadar önemlidir?
Kişisel veri işleme ve veri paylaşımı, ticari hayatın devamı için oldukça gereklidir ancak bu süreçlerin güvenli ve kanuna uygun şekilde yürütülmesi de zorunluluktur. Bu da işverenin sorumluluğundadır. Bu sorumluluk yerine getirilmediği takdirde işverenler, cezai işlemlerle yüz yüze kalmaktadır.

Bununla ilgili bir örnek vermemiz gerekirse yakın zamanda bir şirketin ödemek durumunda kaldığı 450 bin TL’lik cezadan bahsedebiliriz. Şirket çalışanlarından yalnızca bir kısmının “KVKK Farkındalık Eğitimi” aldığı, bir kısmına eğitimin denetim sonrası verildiği ve bazı çalışanların da eğitim aldığı halde veri güvenliği konularında hassasiyetten uzak davrandığı tespit edilmiştir. Tüm bu sebeplerden de bahsi geçen şirket 450 bin TL para cezasına çarptırılmıştır.

Son olarak bahsettiğiniz bu cezai işlemleri biraz daha açabilir misiniz?
Çalışan kaynaklı herhangi bir veri ihlalinin ardından yapılacak denetimlerde yetkililerin ilk kontrol edeceği hususlardan biri de çalışanlara “KVKK Farkındalık Eğitimi” verilip verilmediğidir. Bu noktada periyodik eğitimlerinde eksikler görülen işletmeler, 2.000.000 TL’ye varan cezalar ile karşı karşıya kalmaktadır. İdari para cezalarının yanı sıra 1 yıldan başlayıp 6 yıl 9 aya kadar çıkabilen hapis cezaları da söz konusudur. 2017 yılından beri, Kişisel Verileri Koruma Kurumu tarafından örnek teşkil eden kurul kararları ve veri ihlali yapan kurumlara ait duyurular, KVKK internet sitesi üzerinden paylaşılmaktadır.