Bugüne kadar Kişisel Verileri Koruma Kanunu (KVKK) kapsamında yaklaşık 9 milyon TL'lik idari para cezası kesildi. Şirketlerin KVKK kapsamında tüm alanlarda dönüşüm gerçekleştirmeleri gerekiyor. Aksi takdirde ceza riski yüksek.
GÖZDE YENİOVA
gyeniova@ekonomist.com.tr
İş hayatının ve günlük hayatın büyük bir kısmının artık dijital ortamlara taşınmış olması, veri toplama ve işleme kapasitesinin artışı ile kişisel verilerin korunması zorunluğunu ortaya çıkardı.
Bunun için Türkiye'de 2016 yılında yürürlüğe giren Kişisel Verileri Koruma Kanunu (KVKK), geçen zaman içinde özellikle şirketler tarafından tam olarak uygulanamadı.
Şirketler için kritik önemde değişiklikler içeren KVKK, veri sorumlusu, veri işleyen, kişisel verilerin açık rıza ile işlenmemesi gibi pek çok kavram ve yükümlülüğü beraberinde getirdi. Şirketlerin Veri Sorumluları Sicil Bilgi Sistemi'ne (VER-BİS) de kayıt yapmaları gerekiyor.
CEZA YAPTIRIMI VAR
Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15 bin TL'den 1 milyon TL'ye kadar idari ceza uygulanabiliyor. 2020'de ise üst tutar 1,5 milyon TL'ye çıkacak.
Bugüne kadar yaklaşık 9 milyon TL'lik idari para cezası kesildiği ifade ediliyor. Deloitte Avukatlık Bürosu Ortağı Lerzan Nalbantoğlu, 26 adet veri ihlal bildirimi ile veri güvenliğinin sağlanamamasından dolayı yaklaşık 30 adet idari para cezası kararının alındığını söylüyor.
Nalbantoğlu, "Söz konusu kararların gerekçelerini incelediğimizde, veri güvenliğine ilişkin olarak 'uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınmamasından' kaynaklandığı görülüyor" diye konuşuyor.
EY Vergi Bölümü KS Avukatlık Ortaklığı Sorumlu Ortağı Ahmet Sağlı ise idari para cezalarının veri sorumlusu olan gerçek kişi veya şirketlere uygulandığını söylüyor. Sağlı, "Uygulamada genelde ceza süreci, kişisel veri sahibinin kuruma ihlal şikayeti ve bildirimiyle başlıyor.
İhlal bildirimi sonrasında kurum, ilgili veri sorumlusu veya veri işleyenin savunma ve beyanlarını aldıktan sonra gerekli incelemeyi yaparak karar veriyor" diyor.
VERBİS'E KAYIT ŞART!
Yıllık çalışan sayısı 50'den fazla veya yıllık mali bilanço toplamı 25 milyon TL'nin üzerinde olan işletmelerin VERBİS'e kaydolmaları için son tarih 31 Aralık 2019 olarak belirlenmişti.
Ancak Kişisel Verileri Koruma Kurumu, son dönemde VERBİS'e yapılan kayıt başvurularının büyük bir kısmında tespit edilen hatalar ve mevzuata aykırı başvurular nedeniyle kayıt başvurularını 30 Haziran 2020'ye kadar uzatma kararı aldı.
VERBİS, veri sorumlularının kayıt yaptırmak zorunda oldukları ve veri işleme faaliyetleriyle ilgili bilgileri beyan ettikleri bir kayıt sistemi.
VERBİS'e girilen bilgilerin doğru olmasının önemli olduğuna vurgu yapan Baysal Sezgin Hukuk Bürosu kurucusu Özlem Baysal Sezgin, bunun için de öncelikli olarak şirketlerin kişisel veri işleme faaliyetleri kapsamında A'dan Z'ye mevcut durumlarını bilmeleri ve bir veri envanteri hazırlaması gerektiğini söylüyor.
Sezgin, "VERBİS'e açıklanacak bilgiler de bu envantere dayalı olmalı. Aynı zamanda sicile kayıt yaptırmakla yükümlü olan veri sorumluları envantere uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlü" diyor.
129 VERİ İHLALİ OLDU
Kişisel Verileri Koruma Kurumu'nun verilerine göre, 2017 yılından 2019 yılı ekim ayına kadar KVKK'ya 129 veri ihlal bildirimi yapıldı ve yaklaşık 3 milyon kişi bundan etkilendi.
Veri ihlali bildirimi yapan şirketler arasında bankacılık, turizm, havacılık, konaklama, e-ticaret ve sağlık gibi oldukça fazla sayıda kişisel verinin işlendiği sektörlerde faaliyet gösterenler bulunuyor.
Bu yıl kişisel verilere daha dikkatli yaklaşılacağını söyleyen Siberasist Genel Müdürü Serap Günal, "Bununla birlikte, idari otoritenin uyguladığı cezalar da artış gösterecek.
Şirketlerin ceza mağdurlarından olmamak için KVKK'ya uyum sürecini tamamlaması ve hukuken gerekli tüm düzenlemeleri ve teknik hazırlıkları avukatlar ve siber güvenlik uzmanları vasıtasıyla yapması gerekiyor" diyor.
İK'DA DÖNÜŞÜM
KVKK'nın kurumlarda yol açtığı dönüşüm, insan kaynakları (İK) departmanlarına da birtakım değişiklikler getiriyor. Şirketlerin İK departmanlarının elinde bulunan çalışan verileri, hatta başvuru esnasında alınan CV'ler de KVKK kapsamında. Ayrıca şirketler, bir veri sorumlusu bulundurmak zorunda.
Bunun da şirketlerde yeni bir istihdam alanı yaratması bekleniyor. PERYÖN Yönetim Kurulu Başkanı Berna Öztınaz, kanun dahilinde veri güvenliği uzmanlarına olan ihtiyacın artacağını söylüyor.
Ayrıca, Öztınaz, KVKK süreçlerini doğru yönetmeleri için şirketlere veri güvenliği konusunda danışmanlık hizmeti veren kurumlarla olan işbirliklerinin de artacağını öngörüyor.
FARUK BİLİR
KİŞİSEL VERİLERİ KORUMA KURUMU BAŞKANI
"ESKİ ALIŞKANLIKLAR DEĞİŞMELİ"
"VERBİS sistemi, hangi tür veriler ne amaçla işleniyor, veriler ne kadar süre saklanıyor, yurtiçinde ve yurtdışında kimlere aktarılıyor, hangi veri güvenliği tedbirleri alınıyor gibi çeşitli kategorilerden oluşuyor.
Şirketlerde kişisel veri işleme süreçlerinde yer alan tüm departmanların işleyişi kanunla uyumlu hale getirilmeli ve buna bağlı olarak eski alışkanlıklar da artık değişmeli. Çalışanlar, kişisel verilerin korunması konusunda eğitilmeli ve farkındalık çalışmaları yapılmalı.
Çünkü veri güvenliğinde parola farkındalıktır. Öte yandan şirket politikaları sürdürülebilir veri koruma ve uyum politikaları ile güncellenmeli. Bu anlamda veri sorumluları, ilgili kişilere karşı şeffaflığa dayalı bir anlayışı benimsemeli."
KURUMLAR HAZIRLIK YAPARKEN NELERE DİKKAT ETMELİ?
Kurumlara danışmanlık hizmeti veren PEAKUP, şirketlere KVKK'ya uygun çalışmak için dokuz maddelik liste hazırladı.
1- İş başvurusu yapan adayın kişisel bilgilerinin yer aldığı CV'lerin ne kadar süreyle şirket veri tabanında tutulacağı ve kimlerin paylaşımda olacağı, ne zaman imha edileceği veya anonimleştirileceği ayrıntılı olarak aday ile paylaşılmalı.
2- CV'lerin saklanma koşullarının herhangi bir ofis kazası veya siber saldırıya karşı korunaklı olması gerekiyor.
3- Referans bilgisi bulunan CV'lerde adayın da referans aldığı kişiden rıza almasının şart olduğu anımsatılmalı.
4- Özel nitelikli kişisel verilere giren sağlık bilgileri veya sabıka kaydının muhafaza koşullarının KVKK süreçlerine uygun olması gerekiyor.
5- Çalışan sözleşmelerine haklarını bildiren KVKK maddesi eklenmeli.
6- Çalışanların fotoğraflarını paylaşmadan önce onay alınmalı.
7- Güvenlik kameralarının açıları, çalışanın özel hayatına müdahale etmeyecek şekilde konumlandırılmalı.
8- Güvenlik çözümlerinde parmak izi veya retina taramasını tercih etmemeye özen gösterilmeli.
9- Bilgi işlem departmanlarında iç ve dış siber saldırılara uğramamak için risk analizi yaptırılmalı.