Kişisel verilerin işlenmesi:KVKK

 KVKK, Kişisel Verilerin Korunması Kanunudur.KVKK kurumu bu kanunu işletebilmek ve süreçleri sürdürebilmek için hayatımıza girmiştir.

Av. BURCU KIRÇIL – Kırçıl Hukuk Bürosu ve Callact Kurucu ve Yöneticisi KVKK ve siber suçlar ile alakalı sorularımızı yanıtladı.

Siber suçların sürekli arttığı günlerde, iş ve iletişim dünyası, varlığını sürdüren işletmeler tarafından KVKK’nin önemi nedir? 

Tüm dünyada yaşanan pandemi ile e-ticaretten canlı yayın izlemeye, uzaktan eğitimden online toplantılara katılmaya kadar pek çok alanda kişisel verilerin tehlikeye girdiği süreçlere daha fazla dahil olduğumuz gerçeği ile KVKK’nın önemi de arttı. Günümüzde KVKK uyumunu henüz hayata geçiremeyen iş ve iletişim dünyasının siber suçlar için de verimli bir taban oluşturduğunu ve neticesinde siber suçlarda da büyük bir artış yaşandığını söyleyebiliriz.

İş dünyası göz önüne alındığında KVKK maddeleri, hangi faktörlere göre belirleniyor? 

Kişisel Verilerin Korunması Kanunu, kişisel verinin devreye girdiği her aşama ve departmanda teknik ve idari tedbirlerin alınmasını zorunlu kılarak, kişisel veriler ile özel nitelikli kişisel verilerin işlenmesi ve korunmasına yönelik anayasada belirtilen özel hayatın gizliliği ilkesi amacını gözeterek uyum sürecini tarifliyor ve bu noktalar esas alınarak belirleniyor.

Firmalar ve işletmeler için KVKK sürecinin başlaması ve bu işlemin adımlarından bahseder misiniz?

Öncelikle bu konuda farkındalığın gelişmesi gerekiyor. Bu süreçte büyük ölçekli firmalar bünyelerinde hukuk müşavirleri mali müşavir barındırdıkları için gündemdeki değişimlerden eş zamanlı haberdar olmuş ve gereğini yerine getirmişlerdir. Daha küçük kurumsal yapıyı hayata geçirememiş kobi ölçekli firmalar ile sağlık sektörünün paydaşları henüz konuya ilişkin bilgi sahibi olmadığından yükümlülüklerini gereğini gerçekleştirememişlerdir.

Firmanın bu enformasyona sahip olduğunu ve KVKK Uyumu için karar aldığını düşünürsek öncelikle konunun profesyonelleri ile çalışmak üzere bir birliktelik sağlamalı.

Firmada Veri işlenmesi korunması aktarılması silinmesi süreçlerinin sevk ve idaresini yürütecek bir sorumlu/ irtibat kişisi atanmalı.

Hukuki İdari ve teknik alanlarda hizmet alınacak danışman firma süreci zaten profesyonelce yönetecektir.

Danışman firma olarak siz ne yapıyorsunuz?

Bir toplantı ile her iki firmanın iletişim ağı departman sorumluları ve iş akış takvimi belirleniyor. Sonrasında firmanın veri  anlamında cehck -up’ı yapılıyor. Hangi veriler işleniyor neden işleniyor hukuksal dayanağı nedir vb gibi parametrelerle veri analizi gerçekleştiriliyor. Daha sonra firma işleyişinde kimin hangi veriye ihtiyaç duyduğunun haritası çıkarılıp departman ve iş pozisyonuna göre veri şifreleyip maskelenip gerekirse silinip yada anonimleştirilmesi üzerine modelleniyor.

Firmanın müşteri segmentasyonu 3.kişilerle kurduğu sözleşme ve anlaşmalarda veriye yönelik hukuksal tedbirlerin alınması, firma  müşteri ve personelin iş akışı gereği barındırdığı verilere yönelik rıza bilgilendirme metinleri ve onaylarının düzenlenmesi de gerçekleştiriliyor. Firmanın kullandığı tüm dijital alanların güvenlik duvarları paylaşım kanalları kullanılan saklama alanları analizi ve hukuka uygun  güvenli veri saklama ve imha modellemesi gerçekleştiriliyor. İşletmenin fiziki koşulları, ortak kullanım alanları, iş akışları analiz edilerek idari konularda güvenli veri işleme koruma tedbirlerine yönelik modellemenin oluşturulması sağlanıyor. Veri ihlal ve ihlallerini onu ne geçecek farkındalık eğitimleri de veriliyor.

KVKK için VERBİS kaydını oluşturan firmalar ve işletmeler için süreç tamamlanmıştır  diyebilir miyiz? 

Mevcut durumda Türkiye’de 55 bin firmanın VERBİS’e kayıt yaptırmasının öngörüldüğünü söyleyebiliriz. Ancak şu anda VERBİS kaydını tamamlayan sadece 25 bin firma var. Firmalar tarafından yanlış anlaşılan konulardan bir tanesi VERBİS kaydını gerçekleştirip, aydınlatma metnini yayımlayarak sürecin tamamladığını düşünüyorlar. Oysa maalesef süreç sadece aydınlatma metninin yayına alınmasından ibaret değildir.

Kanuna uymayan işletmeler için, cezai yaptırımların oranları nedir?

Kanuna aykırılık durumunda uygulanan cezai yaptırımların her yıl yeniden değerleme oranına göre değişiklik gösterdiğini de belirterek,

* Aydınlatma yükümlülüğünü yerine getirmeme cezası 9 bin TL-180 bin TL arası

* Kurul tarafından verilen kararları yerine getirmeme 45 bin TL – 1 milyon 800 bin TL arası

* Veri güvenliğine ilişkin yükümlülükleri yerine getirmeme 27 bin TL – 1 milyon 800 bin TL arası

* Veri Sorumluları Siciline (VERBİS) kayıt ve bildirim yükümlülüğüne aykırı hareket etme 35 bin TL – 1 milyon 800 bin TL arası olduğunu,

Hapis cezası öngörülen Kanuna aykırılıklar ise:

* Kişisel verilerin hukuka aykırı olarak kaydedilmesi 1-3 yıl hapis cezası

* Kişisel verileri hukuka aykırı olarak bir başkasına verme, yayma veya ele geçirme 2-4 yıl hapis cezası

* Sürelerin geçmiş olmasına karşın verileri yok edilmemesi 1-2 yıl hapis cezası

* Özel nitelikli kişisel verilerin hukuka aykırı olarak kaydedilmesi 1,5-4,5 yıl hapis cezası uygulandığını söyleyebilirim.

İşletmeciler açısından KVKK uyum sürecinde sürdürülebilirliğin sağlanması adına neler yapılabilir?

Kanuna uyum sürecini ve sürdürülebilirliğini sağlayabilmenin koronavirüs salgın hastalığı ile birlikte ekonomik daralmanın olduğu bir dönemde, bu tür uyum çalışmalarına ayrılabilen takvim ya da bütçelerin kısıtlı olması uyum sürecini sekteye uğrattı. Her kurumun, bilhassa hukuki ve teknik konularda yetkin kişi ve oluşumlardan danışmanlık alarak uyum süreçlerinde detaylı şekilde “Kişisel Veri İşleme Envanteri” hazırlaması ve VERBİS kaydını bu envanterdeki verilere göre gerçekleştirerek idari ve teknik konularda gerekli tedbirleri yerine getirmesi gerektiği ve KVKK uyum sürecinin sürdürülebilirliğinin sağlanması adına çalışanlara yönelik “KVKK Farkındalık Eğitimleri” organize edilmesi gerekli olduğunu söyleyebilirim.

RÖPORTAJ:GİZEM YARALI

KOBİLIFE

Diğer Makaleler

İlginizi Çekebilir