KVKK Kurumu, Verbis’e kayıt zorunluluğu getirdi
ŞİRKETLERİN doğru güvenlik altyapılarını oluşturmaması, olası bir siber saldırı ile büyük veri ihlallerini de beraberinde getiriyor. Sadece siber saldırılar değil, kişisel veriler firmalar tarafından da herhangi bir çıkar için istismar edilebiliyor. Kişisel Verilerin Korunması Kanunu (KVKK), verilerin korunması ve verileri işleyen sorumluların kayıt altın alınarak takibinin yapılmasını amaçlıyor.
SON TARİH YAKLAŞIYOR
KVKK’ya göre yıllık çalışan sayısı 50’den fazla, yıllık mali bilançosu 25 milyon TL’den çok olan veri sorumluları için Verbis’e (Veri Sorumluları Sicil Bilgi Sistemi) kayıt işlemleri 2020’de tamamlanmıştı. Sıra daha küçük ölçekli firmalarda. Çalışan sayısı 50’den az, yıllık mali bilançosu 25 milyon TL’den daha düşük olan veri sorumlularının 31 Mart 2021 tarihine kadar Verbis’e kaydolmaları gerekiyor. KVKK Kurumu, Verbis’e kayıt zorunluluğunu yerine getirmeyen sorumlulara 9 bin 834 TL’den 1 milyon 966 bin TL’ye varan idari para cezaları uygulayacak.
Tüm işyerlerinin çalışan sayısından bağımsız olarak KVKK süreçlerini hazırlamaya zorunlu olduğunu ifade eden Global KVKK CEO’su Ümit Gediman, “Kişisel veri, kişilerin adı, soyadı, kan grubu, yaş, cinsiyet, adres, fotoğraf gibi ayırt edici özelliklerini tanımlayan bilgilerdir. KVKK ise kişisel verilerin işlenme şartlarını, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerinin korunmasını ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenliyor. KVKK ile kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası, amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanıyor.
Verbis, kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. Bu sistem ile firmalar işledikleri kişisel verileri ne amaçla ve ne kadar süre sakladığı, kimlerle paylaştığı, yurtdışına aktarım yapılıp yapılmadığı ve bu verilerin güvenliğini ne şekilde sağladığını kuruma bildirmekle yükümlüdür” dedi.
100 BİN KİŞİ ETKİLENDİ
Siberasist Genel Müdürü Serap Günal’ın verdiği bilgilere göre KVKK’ya 2020’de 27 veri ihlali bildirimi yapıldı ve bu ihlallerden 100 binden fazla vatandaş etkilendi. özellikle teknoloji, sağlık, bankacılık ve otomotiv sektörlerinden gelen veri ihlalleri dikkat çekti. Türkiye’de yaşanan veri ihlallerinin temelinde tedbirsizlik olduğunu vurgulayan Günal, “Operasyonel değişiklikler yaşayan şirketlere yönelik veri ihlali bildirimlerinin 2021’de artacağını, bu nedenle şirketlerin veri ihlallerine karşı siber güvenlik uzmanları ve avukatlar ile birlikte çalışmasının gerekli olduğunu düşünüyorum” diye konuştu. Şirketlerin dijital dünyaya yönelik çeşitli düzenlemelere ihtiyaç duyduğunu ifade eden Günal şu bilgileri aktardı: “Pandemi yönetimi, iş gücü analitiğini ve öngörülerini iyileştirmeye yönelik artan arzunun yanı sıra, şirketleri daha fazla çalışan verisini iştahla toplamaya yönlendirecek.
Önümüzdeki 12 ay içinde düzenleyici ve yasal faaliyetlerin, çalışan verilerine özenli bir yaklaşım benimsemeyen şirketleri köşeye sıkıştıracağını göreceğiz. Şirketler, çalışanlarının kişisel verilerinin toplanmasını, işlenmesini ve paylaşılmasını gerektiren girişimlerine yönelik bir gizlilik yaklaşımı geliştirmeli. Başta yönetmelikler ve şirketlerin hareket alanları üzerinde yapılan değişikliklerle başlayan kişisel veriler konusundaki hassasiyet, her geçen gün meydana gelen ihlallerin de etkisiyle, görünürdeki açıkları kapatabilmek adına yeni düzenlemeleri de beraberinde getirecek, özellikle yetersiz teknik altyapıya sahip olan ve siber güvenlik alanında ciddi bilinç düzeyine sahip olmayan KOBİ’ler, hacker’lar için ulaşması kolay kaynak.”
KAPSAMINDA NELER VAR?
Global Bilişim Derneği BlDER Başkanı Şenol Vatansever’in aktardıklarına göre, KVKK kapsamına kişisel verisi işlenen gerçek kişiler, yani vatandaşlar olarak her birimiz giriyoruz. Kanun gerçek kişilerin verilerinin korunmasını isterken, tüzel kişilere ait verileri kapsam dışında tutuyor. Tüzel kişiye ait verilerin gerçek kişiyi belirlemesi ya da belirlenebilir kılması durumu da kanun kapsamına giriyor ve bu verilerin de korunması gerekiyor. KVKK veriyi işleme amaçlarını ve vasıtalarım belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişileri veri sorumlusu olarak kabul ediyor. Kanun verinin elde edilmesi noktasından başlayarak açık rızanın varlığını arıyor. Rıza alınırken vatandaşın aydınlatılmış olması şart. Irk, etnik köken, cinsiyet, siyasi görüş, inanç gibi açıklanması durumunda ilgili kişinin ayrımcılığa veya zarara uğraması muhtemel verileri özellikli kişisel veri sayıyor ve bunların işlenmesini gerektiren her işlemde ayrıca rıza isteniyor.
FİRMALAR TAZMİNAT ÖDEYEBİLİR
Verisi işlenen her vatandaşın, ilgili kamu kurumunun ya da özel sektör firmasının veri sorumlusuna başvurarak, kişisel verilerinin işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurtiçinde veya dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, kişisel verilerin silinmesini veya yok edilmesini isteme, yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme haklarına sahip olduğuna işaret eden Vatansever, “Ek olarak işlenen verilerin otomatik sistemler vasıtasıyla analiz edilmesiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme gibi geniş haklara sahip. Vatandaş hakkını aramak için öncelikle ilgili şirketin ya da kurumun veri sorumlusuna yazılı olarak başvuru yapmalı. Veri sorumlusu başvurudaki talepleri, niteliğine göre en geç 30 gün içinde ücretsiz olarak sonuçlandırmak zorunda. 30 günün sonunda ilgili firmadan cevap alamazsa, Kişisel Verileri Koruma Kurumu’na şikayet. kvkk.gov.tr adresinden şikayette bulunabilir. Böylece inceleme süreci başlar. Kuruma ait olan KVKK Bilgi Danışma Hattı ALO 198’den de görüş alınabilir, ihbarda bulunulabilir. Veri sorumlusuna karşı doğrudan yargı yoluna giderek tazminat talebinde bulunabiliyor” dedi.
VERİ İŞLEME ENVANTERİ
Veri sorumlusu firmalar açısından idari tedbirlere uyum çalışmalarının temelinin, ‘Kişisel Veri İşleme Envanteri Hazırlanması’ olduğunu da belirten Vatansever, “Gerçek durumu ortaya koymayan bir kişisel veri işleme envanterinin telafisi mümkün olmayan zararlara zemin hazırlaması çok yüksek bir ihtimal. Envanter, beyana dayalı ve manuel olarak değil, çağımıza uygun biçimde ve yazılımlar ile otomatik olarak ortaya çıkarılmalı. Tüm sunuculardaki, tüm veri tabanlarındaki, tüm kullanıcı bilgisayarlarındaki kişisel veriler otomatik yöntemlerle taranmalı, raporlanmalı, kişisel veri içeren dokümanlar sınıflandırılmalı. Kağıt üzerinde kuralların belirlenmiş ve çalışanlara ilan edilmiş olması sistemin sağlıklı olarak işleyeceği anlamına gelmiyor. Doğru yazılımlarla denetim mekanizmaları da işletilmeli. Silinmesi gereken dosyalar KVKK’ya uygun olarak silinebilmeli. Mahkemelerde delil olarak kullanabilmesi için tüm işlemler imzalı olarak zaman damgasıyla saklanmalı. İçinde kişisel veri olan veri tabam alanları KVKK’ya uygun olarak anonim hale getirilebilmen.”
Cenk ÇİĞDEMLİ / TOBB E-ticaret Meclis Üyesi, Ticimax E-ticaret Sistemleri Kurucusu
“Vatandaş yasal haklarının farkında olmalı”
Vatandaş, iletişim adresleri ve telefon numaraları gibi kişisel verilerine ilişkin yasal haklarının farkında olmalı. Ticaret Bakanlığı’mn, tüketicilerin istenmeyen SMS, e-posta ve sesli aramalar gibi iletilerle ilgili maruz kaldığı rahatsızlıkların ortadan kaldırılması amacıyla oluşturduğu “Ticari Elektronik İleti Yönetim Sistemi {İYS)” Ocak 2021’de hizmete açıldı. Vatandaşlar ticari elektronik iletilere ilişkin onaylarını 16 Şubat 2021 tarihine kadar www.iys.org.tr adresinden kontrol edebilecek ve onay tercihlerini değiştirebilecek. İleti Yönetim Sistemi ile onaysız ticari elektronik iletilerin gönderilmeden engellenmesi, istenmeyen mesaj, mail ve telefon trafiğinin azaltılması amaçlanıyor.
Vatandaş bu sistem üzerinden aslında sadece 16 Şubat’a kadar değil, istediği zaman istediği markaya, firmaya onay veya ret verme hakkına sahip. 16 Şubat’a kadar da şikayetçi olduğu markaları bildirebilecek. Örneğin izniniz dışında veya hiç müşterisi olmadığınız halde sizi devamlı arayıp mesaj attığı için şikayetçi olduğunuz, sizi bezdirmiş bir firma varsa 16 Şubat’a kadar şikayetçi olabiliyorsunuz. Şikayetiniz devlet tarafından incelenerek gerekirse firmaya cezai yaptırım uygulanabiliyor. Belirlenen sürelerde vatandaşlar tarafından ret hakkının kullanılmaması halinde, hizmet sağlayıcılar tarafından İYS’ye aktarılan veriler onaylı sayılacak. Söz konusu süre mevcut onayların kontrolüne ilişkin, bu tarihlerden sonra da tüketiciler diledikleri tarihte İYS üzerinden ticari elektronik ileti tercihlerini değiştirebilirler.
ÜRÜN DİRİER