19 Bin Veri Sorumlusuna 36 Bin ile 1 Milyon 800 Bin TL Arası Ceza Kapıda
Global Bilişim Derneği (BİDER) Başkanı Şenol Vatansever, Kişisel Verilerin Korunması Kanunu (KVKK) idari tedbirlere uyum çalışmalarının temelinin ‘Kişisel Veri İşleme Envanteri Hazırlanması’ olduğunu belirterek şunları söyledi:
“Envanter; beyana dayalı ve manuel olarak değil, çağımıza uygun biçimde ve yazılımlar ile otomatik olarak ortaya çıkarılmalı. Tüm sunuculardaki, tüm veri tabanlarındaki, tüm kullanıcı bilgisayarlarındaki kişisel veriler otomatik yöntemlerle taranmalı, raporlanmalı, kişisel veri içeren dokümanlar sınıflandırılmalı. Veri envanterinin yaşayan bir süreç olarak kurgulanması ve güncellemelerin Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) yansıtılması kritik öneme sahip. Kişisel verileri tarama operasyonu otomatik hale geleceği için veriler üzerinde tam kontrol sağlanabilir. Müşteri ya da Kişisel Verileri Koruma Kurulu taleplerine hızlı geri dönüş yapılabilir.”
Global Bilişim Derneği (BİDER) Başkanı Şenol Vatansever, KVKK’nın birçok açıdan üyelerini etkilediğini belirterek şu açıklamalarda bulundu;
“Kimi üyelerimiz veri sorumlusu olarak uyumluluk çalışmaları yaparken kimi üyelerimiz uyumluluk için hukuki danışmanlık ya da teknoloji çözümleri sağlıyor. Merkeze kişisel verilerin korunması hedefini koyuyoruz. Kamu kurumlarının ya da şirketlerin minimum maliyetlerle idari ve teknik tedbirlere uyum çalışmalarını yapmalarını hedeflerken, çözüm sağlayan şirketlerin de katma değerler yaratarak ve büyüyerek faaliyetlerini sürdürmelerini arzuluyoruz. COVID-19 küresel salgınının Dünya’yı ve Türkiye’yi sağlık ve ekonomi açısından olumsuz etkilediği dönemleri yaşıyoruz. Ekonomi ve istihdam tıpkı sağlık gibi zaman zaman kişisel verilerin korunması kaygılarının önüne geçebiliyor. Bunu normal karşılamakla beraber kapıda olan cezalar konusunda kamuoyunu bilgilendirme sorumluluğumuzu da yerine getiriyoruz.”
Vatansever; KVKK idari tedbirlere uyum kapsamında politikalar, sözleşmeler, taahhütnameler, denetimler, risk analizleri, kurumsal iletişim, eğitim ve farkındalık faaliyetlerinde eksiklikler ya da yanlışlıklar yapıldığını ve bu başlıklarla ilgili konularda düzenlenen cezalar olduğunu belirtti. Ek olarak kişisel veri işleme envanteri hazırlanması ve Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) bildirim süreçlerinde daha kritik ve karmaşık hatalar yapılmaya devam edildiğini vurguladı.
İdari Tedbirlere Uyum Çalışmalarının Temeli: ‘Kişisel Veri İşleme Envanteri Hazırlanması’
BİDER Başkanı Şenol Vatansever idari tedbirlere uyum çalışmalarının temelinin ‘Kişisel Veri İşleme Envanteri Hazırlanması’ olduğunu belirterek şunları söyledi;
“Temeli iyi atılmamış bir binanın ilk sarsıntıda hasar görmesi ya da çökmesi ne kadar yüksek ihtimal ise, gerçek durumu ortaya koymayan bir kişisel veri işleme envanterinin de telafisi mümkün olmayan zararlara zemin hazırlaması en az o kadar yüksek bir ihtimal. Envanter; beyana dayalı ve manuel olarak değil, çağımıza uygun biçimde ve yazılımlar ile otomatik olarak ortaya çıkarılmalı.
Tüm sunuculardaki, tüm veri tabanlarındaki, tüm kullanıcı bilgisayarlarındaki kişisel veriler otomatik yöntemlerle taranmalı, raporlanmalı, kişisel veri içeren dokümanlar sınıflandırılmalı. Kâğıt üzerinde kuralların belirlenmiş ve çalışanlara ilan edilmiş olması sistemin sağlıklı olarak işleyeceği anlamına gelmiyor.
Doğru yazılımlarla denetim mekanizmalarının da işletilmesi gerekiyor. Silinmesi gereken dosyalar KVKK’ya uygun olarak silinebilmeli. Mahkemelerde delil olarak kullanabilmesi için yapılan tüm işlemlerin imzalı olarak zaman damgasıyla saklanması sağlanmalı. İçinde kişisel veri olan veri tabanı alanları KVKK’ya uygun olarak anonim hale getirilebilmeli.”
Kişisel veri işleme envanteri diye bölümlerle haftalar hatta aylar süren görüşmeler sonucunda beyana dayalı ve manuel olarak oluşturulan dokümanların sadece kenarda durduğunu belirten Vatansever;
“Çünkü bu dokümanlar maalesef ne mevcut durumu sağlıklı olarak gösteriyor ne de gelecek için bir anlam ifade ediyor. Çalışanların bilinçli ya da bilinçsiz olarak söylemediği bilgiler, çalışan bilgisayarlarındaki kişisel verilerin yansıtılmadığı raporlar KVKK açısından aslında hiçbir anlam ifade etmiyor. Veri envanterinin yaşayan bir süreç olarak kurgulanması ve güncellemelerin VERBİS’e yansıtılması kritik öneme sahip. Kişisel verileri tarama operasyonu otomatik hale geleceği için veriler üzerinde tam kontrol sağlanabilir.”
diyerek ancak bu şekilde müşteri ya da Kişisel Verileri Koruma Kurulu taleplerine hızlı geri dönüş yapılabileceğini açıkladı.
VERBİS’e Bildirim Yapmayanlara ya da Yanlış Bildirim Yapanlara Ne Kadar Ceza Verilecek?
BİDER Başkanı Şenol Vatansever, KVKK İdari Tedbirlere uyum çalışmalarında VERBİS’e bildirim süreçlerinde kritik ve karmaşık hatalar yapıldığını ifade ederek açıklamalarına devam etti:
“Bunu sadece biz ifade etmiyoruz, Kurum da daha önce erteleme gerekçesinde ifade etmişti. Kişisel Verileri Koruma Kurumu, VERBİS’e yapılan kayıt başvurularının büyük bir kısmında tespit edilen hatalar ve mevzuata aykırı başvurular nedeniyle kayıt başvurularında uzatma kararı almıştı.
Kurum web sitesinde konuyla ilgili yaptığı açıklamada, ‘VERBİS’e iletilen bildirimler incelendiğinde, birçok bildirimde kişisel veriler ile işleme amaçları, alıcı ve alıcı grupları, veri konusu kişi grupları, alınan teknik ve idari tedbirler, yeterli önlemler, yurtdışına veri aktarımı ve saklama sürelerinin örtüşmediği, bu konuda ciddi yanlışlıklar ve mevzuata aykırılıklar olduğunun görüldüğünün’ altını çizmişti.
VERBİS’e beyan edilen bilgilerin doğru ve güncel olması gerektiğini, bu bilgilerden ilgili veri sorumlusunun sorumlu olduğunu, sürecin sağlıklı işlemesi adına kayıt başvuru sürelerinin uzatıldığını belirtmişti. Bu durumun maalesef hala geçerli olduğunu düşünüyoruz.”
Vatansever; VERBİS’e kayıt başvurularının daha önce 3 defa uzatıldığını hatırlatarak;
“4. defa uzatılmadı ve kapsamda olup kaydolmayan yaklaşık 12.000 veri sorumlusuna 30 gün içerisinde kaydolmaları için mektup gönderildi. Kayıt yaptırıp kaydını tamamlamamış yaklaşık 7.000 veri sorumlusuna da e-posta gönderildi. Gerçek kişi veya şirketlerin VERBİS üzerinden sicile kayıt yaptırmamaları durumunda Kişisel Verileri Koruma Kanunu’nun 18’inci maddesinin birinci fıkrasının ç bendine göre güncellenen rakamlarla yuvarlak hesapla 36.000 Türk lirasından 1.800.000 Türk lirasına kadar idari para cezası verilecek.” açıklamalarında bulundu.
İstisna olmadığı halde kayıt yaptırmayan veri sorumlularına bu yaptırımın uygulanacağının altını çizdi.