KVKK için hazırlık gerekiyor

28 Ekim 2019

İki yıl önce Kişisel Verilerin Korunması Kanunu'nun (KVKK) yürürlüğe girmesiyle birlikte Türkiye'de bu konuda yeni bir dönem başladı. Özellikle şirketlerin bu sürece adapte olmak için önemli adımlar atması gerekiyor.





Ayşegül Sakarya Pehlivan
asakarya@ekonomist.com.tr





Kişiyi doğrudan veya dolaylı olarak tanımlanabilir kılan her türlü bilgi kişisel verilerimiz olarak sayılıyor. Kişisel veri, T.C. kimlik numarası, fotoğraf, cep telefonu numarası, e-posta adresi, sağlık ve finans bilgileri gibi çok geniş bir bilgi yelpazesini içinde barındırıyor.





Kişisel Verilerin Korunması Kanunu’nun (KVKK) 7 Nisan 2016 tarihinde yürürlüğe girmesiyle birlikte Türkiye’de bu konuda yeni bir dönem başladı. Özellikle şirketlerin bu sürece adapte olmak için önemli adımlar atması gerekiyor.





KVKK, herhangi bir sınırlama getirmeksizin her türlü şirketin iş akışında elde ettiği veriler konusunda düzenlemeler getiriyor ve bunlara aykırı davranılması halinde de ciddi yaptırımlar öngörüyor.





Şirketlerin bu sürece bir an önce hazırlanması gerektiğini söyleyen Kavlak Avukatlık Bürosu Kurucu Ortağı Fırat Kavlak’la KVKK’nın getirdiği yenilikleri ve yapılması gerekenleri konuştuk.





KVKK’yla birlikte Türkiye’de neler değişti?
Türkiye’de 2016’da KVKK çıktı. Avrupa’da 1995’ten beri yürürlükte olan bir kanunun aldık. İki senelik bir uyum süreci vardı, 2018’de bitti. KVKK hayatımızın her alanını her türden şirketi ilgilendiriyor. Mesela tüm restoranlarda kameralarla izleniyorsanız bunun yazdığı tabelalar olmalı. Şirketin buna uyum sağlaması ve bir politikası olması lazım.





Bu politikaları yazılı olarak kayda geçirmeli. Mesela elemanınıza cep telefonu veriyorsunuz içinde takip cihazı varsa bunu mutlaka belirtmeniz ve onayını almanız gerekli. İşverenler artık kafalarına göre hareket edemiyor. Mesela parmak iziyle girilen işyerlerinde biyometrik veriler gündeme geliyor. KVKK bu tarz konularda açık rıza alma zorunlu-ğu getiriyor.









Avrupa’da durum nedir?
Onlar bizden ileride. 25 Mayıs 2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Yönetmeliği’nin (GDPR) düzenlemelerine aykırı davranan şirketlere, 20 milyon Euro’ya varan veya daha yüksek bir miktar olması halinde bir önceki mali yılın toplam cirosunun yüzde 4’ü oranında cezalar verilebiliyor.





Türkiye’de ise KVKK ve alt mevzuatlara aykırı davranılması halinde 1 milyon TL’ye varan yaptırımlar uyguluyor. Ancak biz de Avrupa’nın yeni kanuna doğru geçiyoruz. Bu kanunda cezalar çok daha yüksek.





Türkiye’de cezalar nedir?
KVK kurumu 40 şirkete ceza kesti. 8 milyon TL’lik ceza kesildi. Cezalar genelde şikayet ve ihbar üzerine oluyor. Ya da şirket siber saldırıya uğradıysa kendisi bildiriyor. Şirketler bu konuda bildirim yapmak zorunda 72 saat içinde. Yoksa bilgi vermemenin de cezası var.





Kısa bir süre önce VERBİS uygulaması gündeme geldi. VERBİS uygulaması hangi şirketler için geçerli?
KVKK, kişisel veri işleyen kurumlar için önemli bir dönüşümü beraberinde getiriyor. Bunlardan bir tanesi de hazırlanacak kişisel veri işleme envanteri uyarınca Veri Sorumluları Sicili’ne (VERBİS) kayıt olunması.





Buna göre sicile kayıt zorunluluğu şirketin personel sayısı ve/veya yıllık mali bilançosu gibi kriterler dâhilinde belirleniyor. 50 kişiden fazla veya 25 milyon TL cironuz varsa VER-BİS’e girmeniz gerekiyor.





VERBİS’le artık herkes girip hangi verileri tuttuğunu açıklamak zorunda. Mesela işçi verisi şu nedenle tutuyor demesi lazım. Politikasını açıklamak zorunda.





Veri ihlali nedir?
Mesela İspanya lig bir app yapıyor. Bu app aracılığıyla şirket cep telefonunun mikrofonuna erişiyor. Burada amaç bulunduğu yerde kaçak TV yayını var mı bunu tespit etmek. 250 bin Euro ceza aldı bu şirket. Bir işçinin yanlış e-postası bile veri ihlali sayılıyor. Mesela Türkiye’de bir İK şirketindeki bir sekreter olumsuz adaylara e-posta dört kişinin görebileceği şekilde atıyor. Adaylardan biri avukat ve dava açıyor. Bu şirket 200 bin lira ceza aldı.





Bu kanun sadece şirketleri mi kapsıyor?
Bu kanundan herkes sorumlu, apartman yönetici bile. Mesela artık apartmanlara şu kadar borcu var diye asılamayacak. Mesela Mimar Sinan Üniversitesi’ne uyarı geldi notları herkesin görebileceği bir yere astıkları için.





Kişisel verilerin korunması konusunda en dikkatli olması gereken sektörler hangileri?
En riskli bankacılık, sağlık, sigorta ve telekomünikasyon ve perakende olarak sıralanabilir. Çünkü çok fazla kişisel veri var. Bir fabrikada İK dışında çok veri yok. E-ticaret sektörü son dönemde öne çıkıyor. Doğru anlamak ve yapmak önemli. Siteye bir metin koymakla olmuyor bu sürecin iyi organize edilmesi gerekli.





2020’de yeni değişiklikler olacak mı?
Bu çok canlı, yaşayan ve yeni kararlarla belirlenen bir süreç. Pek çok karar yeni yeni ortaya çıkıyor. O yüzden iki ayda birkaç tane ceza kararını açıklıyor. KVKK.gov.tr’den bunları yayınlıyor. Veri ihlali olanları ifşa ediyor.





KOBİ'LER NE YAPMALI?
Şirketlerin bu işin farkında olmaları gerekli. Önce bilinç oluşturulmalı. Şirketteki çalışanlara eğitim verilmeli. Altı ayla iki sene arasında değişiyor şirketin büyüklüğüne göre. Üç fazdan oluşuyor.





Birinci fazda farkındalık aşaması. Çalışanları toplayıp 1.5 saat anlatıyoruz. Sonra sınav yapıyoruz. Ondan sonra şirkette bir komite kuruyoruz. Komitenin hukuki sorumluluğu yok.





Bir köprü görevi üstleniyor bizimle şirket arasında. Komiteyle bir araya gelip başlamadan şirketteki birimlerle birebir toplantı yapıyoruz. Amaç şirketteki kişisel verileri çıkartabilmek.





Tüm birimleri geziyoruz. 130 soruluk bir kitimiz var. Sistemlerin nasıl çalıştığını anlıyoruz. İşin en zor kısmı burası. Buradaki açığı takip edip anlamaya çalışıyoruz. Üçüncü aşamada artık işin politik prosedür kısmı geliyor. Her departmanın nasıl uygulayacağı belirleniyor. Bir sürü sektörle alakalı politikalar yazıp web sitelerine konuluyor.