Kişisel verileri işlemede son tarih 3 ay uzatıldı. Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan işletmelerin Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kaydolmaları için son tarih 31 Aralık.

Belirtilen kriterlere sahip işletmeler, VERBİS’e kayıt olmazlarsa 20 bin TL’den 1 milyon TL’ye kadar para cezasını da içeren idari yaptırımlarla karşı karşıya kalacak. Ancak buradaki asıl amacın kişisel veri koruma kültürünün yerleşmesi olduğu belirtiliyor.

RÖPORTAJ: ŞEREF KILIÇLI

Veri ekonomisiyle birlikte kişisel verilerin korunması ve bu kapsamda yapılan düzenlemeler de gündelik hayatımıza girdi. Gelişmiş ülkelerle beraber Türkiye de bu konuda hukuki altyapıya yönelik adımlar attı. Kişisel Verilerin Korunması Kanunu’nun, 7 Nisan 2016 yılında yürürlüğe girmesi ile düzenleyici ve denetleyici bir kurum olarak Kişisel Verileri Koruma Kurumu’nun (KVKK) oluşturulması kuşkusuz bu adımların en önemlisi oldu. KVKK Başkanı Prof. Dr. Faruk Bilir, kişisel verilerin korunması hakkında merak edilenleri İstanbul Ticaret okurları için anlattı.

Kişisel verileri koruma kültüründen başlayalım. Neden böyle bir ihtiyaç var ve KVKK’nın bu konuda üstlendiği misyon nedir?

Bu zamana kadar günlük hayatta veya internet üzerinde kişisel verilerimizi gelişigüzel bir şekilde paylaşmaya alıştık veya alıştırıldık. Artık alışkanlıklarımızı değiştirmeliyiz. Bu da veri koruma kültürünün benimsenmesi ile mümkün. Kişisel verilerini düşünmeden, sorgulamadan, sonunun nereye varacağını hesaplamadan her an ve her yerde paylaşan bir kişiden ziyade, ‘farkında’ ve ‘bilinçli’ bir şekilde paylaşan veya gerektiğinde paylaşmayan bireyler hayal ediyoruz. Bu konuda sadece bugünlerimizi değil, yarınlarımızı da düşünmeliyiz. Özellikle çocuklarımızın ve gençlerimizin veri koruma kültürüyle yetişmesi gelecek nesillerin veri güvenliğinin tesis edilmesi açısından kritik bir öneme sahip. Kişisel verilerin korunması ciddi bir iştir. Veri koruma kültürü ise bu işi günlük yaşantımızla buluşturacak olan ve kolaylaştıracak olan kavramın adıdır. Elbette Kanunu bileceğiz, haklarımız nelerdir, veri sorumlusuna nasıl başvurulur bileceğiz ancak bunları uygulayabilmemiz için evvela ‘farkındalık’ kazanmamız gerekir. Farkındalığı da eğitimle, veri koruma kültürünün gelişmesiyle, hayatımıza yerleşmesiyle kazanabiliriz. Bu açıdan son derece önem verdiğimiz bir kavramdır veri koruma kültürü. Verdiğimiz önemin sonucu olarak bu kültürün oluşmasını kendimize misyon edinerek bu yönde çeşitli faaliyetler yürütüyoruz.

VERİ SORUMLULARININ YÜKÜMLÜLÜKLERİ

İşletmeler, kişisel verilerin korunması için hangi yükümlülükleri yerine getirmeliler, neler yapmalılar?

İşletmeler, Kanunun deyimiyle veri sorumluları her şeyden önce Kanunun yürürlüğe girmesinden önce işlemiş oldukları kişisel verileri mümkün olan en kısa sürede Kanuna uygun hale getirmeli. Normalde bu uyum sürecinin Kanunun yayım tarihinden itibaren iki yıl içerisinde, yani 7 Nisan 2018 tarihine kadar tamamlanmış olması gerekiyordu. Ancak yine de hatırlatmakta yarar görüyorum. Bununla birlikte kişisel veri işleme faaliyetleri Kanunun temel ilkelerine uygun olmalı. Veri sorumlusu, kişisel verileri hangi işleme şartına dayalı olarak işleyebilir bunu tespit etmeli. Eğer Kanuna uygun bir şekilde özel nitelikli kişisel veri işleyecekse Kurulun belirlediği yeterli önlemleri almalı. İşlemeyi gerektirecek sebeplerin ortadan kalkması halinde kişisel verileri imha yoluna gitmeli. En önemli hususlardan biri de “aydınlatma yükümlülüğünün” yerine getirilmesi ve bu kapsamda kişisel verileri işlenen ilgili kişilere 6698 sayılı Kanunda belirtilen haklarının hatırlatılmasıdır. Öte yandan Kanun kapsamındaki bütün veri sorumluları kişisel verilerin; hukuka aykırı olarak işlenmesini önlemek, hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

VERBİS’E KAYIT ZORUNLU

Bununla birlikte çalışanların kişisel veri güvenliği konusunda eğitilmesi ve farkındalık kazanmaları son derece kritik bir öneme sahip. Çünkü kurumsal güvenliğin sağlanmasında insan faktörü çok önemlidir. Son küresel araştırmalardan çıkan sonuçlar çalışanlarını yeterince eğitmeyen, bilinç düzeylerini güncel tutmayan ve bünyesinde gerekli denetimleri yapmayan veya yaptırmayan veri sorumlularının, veri güvenliği konusunda sorun yaşamamasının neredeyse imkansız olduğunu ortaya koyuyor. Bu açıdan sadece büyük işletmelerin değil, küçük ve orta ölçekli işletmelerin de bu konu üzerinde önemle durması gerekiyor. Bir diğer başlık da kısa adıyla VERBİS olan Veri Sorumluları Sicil Bilgi Sistemi konusu. Gerekli kriterleri taşıyan veri sorumlularının VERBİS’e kayıt olmaları kanuni bir yükümlülük. Bütün bunların dışında Kurulun almış olduğu ilke kararları var. Bu ilke kararlarının uygulanması noktasında gerekli adımlar gecikmeksizin atılmalı ve Kanuna uyum konusunda varsa aksaklıklar, eksiklikler tespit edilerek hızlı bir şekilde giderilmelidir.

VERBİS’İN İŞLEYİŞİ

VERBİS konusunu biraz açabilir miyiz?

Kişisel veri işlemekte olan gerçek ve tüzel kişiler VERBİS’e kayıt olmak zorunda. VERBİS’te kişisel veriler yer almamaktadır. Sadece kategorik bazda bilgi girişi sağlanan bir sistemdir. Bu sistem kamuya açık olarak tutulacağından, dileyen herkes, veri sorumlularının işlediği kişisel veri kategorileriyle ilgili bilgileri buradan sorgulayabilecektir. Bunun sonucu olarak da, kişisel verisi işlenen kişilerin dolaylı olarak denetim yapması mümkün olacağından, veri sorumlularının gelişigüzel veri işlemesi engellenecektir. Kurul tarafından, Sicile kayıt yükümlülüğünün yerine getirilmesi için belirlenen tarihler Resmi Gazetede yayımlanarak ilan edildi. Buna göre; örneğin mali bilanço toplamı veya çalışan sayısı belli rakamların üzerinde olan şirketlerin (yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları ile yurtdışında yerleşik tüm veri sorumluları) VERBİS’e kaydolması için tanınmış olan süre 31 Aralık 2019 tarihinde sona erecek. Bu tarih itibariyle kayıt yükümlülüğünü yerine getirmeyenler hakkında idari yaptırım uygulanacak. Ayrıca VERBİS ile ilgili tüm sorular için kvkk.gov.tr adresinde bulunan ‘’Sorularla VERBİS’’ dokümanı incelenip detaylı bilgi edinilebilir.

1 MİLYON TL’YE KADAR PARA CEZASI VERİLEBİLİYOR

İşletmeler Kişisel Verileri Koruma mevzuatına uymadıklarında ne gibi yaptırımlarla karşı karşıya kalıyorlar?

Kişisel verilere ilişkin kabahatler, Kanunun 18. maddesinde düzenlendi. Buna göre 5 bin TL’den başlayan ve 1 milyon TL’ye varan idari yaptırımlar mevcut. Örneğin, Veri Sorumluları Sicili’ne (VERBİS) kayıt ve bildirim yükümlülüğüne aykırı hareket eden gerçek ve tüzel kişi veri sorumluları hakkında 20 bin TL’den 1 milyon TL’ye kadar idari para cezası verilir. Bu işin bir de itibar yönü var. Dolayısıyla Kişisel Verilerin Korunması Kanunu’na sadece teknik açıdan yaklaşmak doğru değildir. Tüzel ya da gerçek kişi farketmez, bir veri sorumlusunun Kanuna uyum göstermesi aynı zamanda o veri sorumlusunun kurumsal imajına olumlu bir katkı sağlayacaktır.

AMAÇ CEZA DEĞİL ‘FARKINDALIK’

KVKK, Facebook’a verilen cezadan sonra daha çok gündeme geldi. Ardından uluslararası bir otel zincirine verilen ceza da yine gündem oldu. Bugüne kadar ne kadar ihlal bildirimi yapıldı ve ne kadar ceza kesildi?

Açıkçası Kurum olarak uyguladığımız idari para cezalarından ziyade, yaptığımız farkındalık çalışmalarıyla gündeme gelmeyi tercih ederiz. Bununla birlikte, bugüne kadar Kuruma 116 veri ihlal bildirimi yapıldı ve 9 milyon 26 bin TL tutarında da idari para cezası uygulandı. Veri ihlalinin ilgili kişiler üzerinde oluşturabileceği mağduriyetin boyutu da önemli. Teknolojinin gelişmesi etkili güvenlik önlemlerinin alınmasına olumlu katkılar sağladı. Fakat siber saldırıların da boyutu ve niteliği değişti. Bu da günümüzde veri güvenliğinin konvansiyonel önlemlerle sağlanamayacağını bizlere göstermektedir. Sonuç olarak her veri sorumlusu kendi özelliklerini, niteliklerini göz önünde bulundurarak hareket etmelidir.

 

Kaynak : https://www.itohaber.com/haber/roportaj/210680/kisisel_veri_kaydinda_kritik_tarih_31_aralik.html