+90 212 465 08 48 +90 212 465 08 70 info@gulelhukuk.com
Gülel Hukuk Yazılım
  1. Anasayfa
  2. Bloglar
  3. 6698 sayılı KVKK kapsamında Çalışanların Düzenli Aralıklarla Eğitilmesi

6698 sayılı KVKK kapsamında Çalışanların Düzenli Aralıklarla Eğitilmesi

 

28 Nisan 2022

 
 
     Konu :6698 sayılı “Kişisel Verilerin Korunması Kanunu” Kapsamında Veri İşleme ve Saklama Süreçleri Bakımından Düzenli Aralıklarla Çalışanların Eğitilmesi ve Farkındalık Çalışmaları Yapılmasının Önemi
 
     Giriş 

     7 Nisan 2016 tarihinde resmi gazetede yayınlanarak yürürlüğe girmiş olan 6698 sayılı “Kişisel Verilerin Korunması Kanunu” (“Kanun”) uyarınca kişisel veri, kimliği belirli ve belirlenebilir gerçek kişiye ait her türlü veri olarak tanımlanmıştır. Kişisel veri güvenliğini ihlal etmeye yönelik saldırıların yanı sıra, kişisel verilerin hukuka aykırı olarak açıklanması ya da paylaşılması gibi konular başlıca kişisel veri güvenliği ihlallerindendir. Bu kapsamda kabul edilebilecek her türlü veri için Kanun ile tüzel kişilere veri işleme ve saklama süreçlerinde birtakım yükümlülükler getirilmiş ve bu yükümlülükler yerine getirilmediği takdirde uygulanacak yaptırımlar düzenlenmiştir.

     1. Kanunla Getirilen Yükümlülükler ve Cezalar

     Buna göre gerçek ve özel hukuk tüzel kişileri bakımından idari para cezası; kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları açısından ilgili kamu kurum ve kuruluşlarında görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin soruşturması öngörülmüştür. Kanununun 12. maddesine göre Veri Sorumlusu Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. ”Bu yükümlülüğü yerine getirmeyen veri sorumluları hakkında Kanunun 18. maddesinde 40.179.-TL ila 2.678.863.-TL (2022 yılı için) arasında idari para cezası öngörülmüştür. Kurul, şikayet başvuruları üzerine verdiği kararlarda da eğitim almamış olan yeni çalışanların sebep olduğu veri ihlalleri ile Kişisel Veri Güvenliğinin Korunmasına ilişkin güncel ve yeterli bilgiye sahip olmayan çalışanların sebep olduğu veri ihlallerinde ilgili Veri Sorumluları hakkında İdari Para Cezalarına hükmetmiştir.

     2. “Kişisel Veri Güvenliğinin Korunması ”Hakkında Verilmesi Gereken Eğitimler ve Eğitimlerin Düzenli Aralıklarla Devam Ettirilmesi

     Kişisel Verileri Koruma Kurumunun (“Kurum”) yayımladığı rehberlerde ve Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından verilen kararlarda Kanunda öngörülen yükümlülüğün sınırları çizilmekte, veri sorumluları almaları gereken tedbirlerin kapsamı hakkında bilgilendirilmektedir. Ancak çalışanlara “Kişisel Veri Güvenliğinin Korunması” hususunda bilgilendirilme yapılmamakta ya da yeterli derecede eğitim verilmemektedir. Kurul Kararlarında da sıklıkla görüldüğü üzere yaşanan veri ihlalleri genellikle çalışanların bu hususta yeterli eğitim ve bilinç düzeyine sahip olmamalarından kaynaklanmaktadır. Kurul, “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili 31.01.2018 tarih ve 2018/10 sayılı İlke Kararında “Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik Kanun ve buna bağlı yönetmelikler ile bu konuda düzenli olarak eğitimler verilmesi” gerektiğini belirtmiştir. Buna göre veri sorumlusunun, çalışanlarına “Kişisel Veri Güvenliğinin Korunması” konusunda düzenli eğitimler aldırması ve farkındalık çalışmalarıyla bilinç düzeyini üst seviyelerde tutması alınması gereken “İdari Tedbirler” arasında önemli yer tutmaktadır. Kişisel Verileri Koruma Kurumu, Veri Sorumlusunun alması gereken Teknik ve İdari Tedbirlere ilişkin Ocak 2018 tarihinde yayımladığı “Kişisel Veri Güvenliği Rehberinde Çalışanların Eğitilmesi ve Farkındalık Çalışmaları” adı altında ayrı bir başlık açmıştır. Bu  bölümde Kurum çalışanların düzenli şekilde eğitilmesinin önemini şu şekilde açıklamıştır; “Kişisel veri güvenliğini zedeleyecek saldırılar ile siber güvenliğe ilişkin, çalışanların sınırlı bilgileri olsa dahi ilk müdahaleyi yapmaları, kişisel veri güvenliğinin sağlanması konusunda büyük önem taşımaktadır.” Bu sebeple kişisel veri güvenliğine ilişkin politika ve prosedürlerde önemli değişikliklerin meydana gelmesi halinde; yapılacak yeni eğitimlerle bu değişikliklerin, çalışanların bilgisine sunulması ve kişisel veri güvenliğine ilişkin tehditler hakkındaki bilgilerinin güncel tutulması sağlanmalıdır. Bu açıklamalar Kurumun, çalışanların eğitimini ve bu eğitimlerin düzenli olarak tekrarlanmasını Kanunun 12. Maddesi kapsamında alınması gereken idari tedbirler arasında gördüğünü ve özel bir önem atfettiğini açıkça ortaya koymaktadır.

     Sonuç

     Yukarıda açıklanan nedenlerle çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması kişisel veri güvenliğinin sağlanması bakımından oldukça önemlidir. Veri sorumlusu nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmeli ve çalışanların bu konudaki rol ve sorumluluğunun farkında olması sağlanmalıdır. Bu kapsamda tüm Veri Sorumlularının işe yeni başlayan her çalışanı için Kişisel Veri Güvenliğinin Korunması Eğitimi aldırması gerekmektedir. Ayrıca yaşanan gelişmeler ve değişen prosedürler hakkında çalışanları güncel tutmak ve farkındalığı en üst seviyeye taşımak açısından da Tamamlayıcı Eğitimler aldırılması gerekmektedir. Bu eğitimlerin yılda 2 kez tekrarlanması önerilmektedir.
 
 
 

Yazar : GülelHukuk

Doğrulama hatası oluştu. Lütfen alanları girin ve tekrar gönderin.
Teşekkür ederiz ! Epostanız ulaştı.