19 Bin Veri Sorumlusuna 36 Bin ile 1 Milyon 800 Bin TL Arası Ceza Kapıda

19 Bin Veri Sorumlusuna 36 Bin ile 1 Milyon 800 Bin TL Arası Ceza Kapıda

Global Bilişim Derneği (BİDER) Başkanı Şenol Vatansever, Kişisel Verilerin Korunması Kanunu (KVKK) idari tedbirlere uyum çalışmalarının temelinin ‘Kişisel Veri İşleme Envanteri Hazırlanması’ olduğunu belirterek şunları söyledi: “Envanter; beyana dayalı ve manuel olarak değil, çağımıza uygun biçimde ve yazılımlar ile otomatik olarak ortaya çıkarılmalı. Tüm sunuculardaki, tüm veri tabanlarındaki, tüm kullanıcı bilgisayarlarındaki kişisel veriler otomatik yöntemlerle taranmalı, raporlanmalı, kişisel veri içeren dokümanlar sınıflandırılmalı. Veri envanterinin yaşayan bir süreç olarak kurgulanması ve güncellemelerin Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) yansıtılması kritik öneme sahip. Kişisel verileri tarama operasyonu otomatik hale geleceği için veriler üzerinde tam kontrol sağlanabilir. Müşteri ya da Kişisel Verileri Koruma Kurulu taleplerine hızlı geri dönüş yapılabilir.”

Global Bilişim Derneği (BİDER) Başkanı Şenol Vatansever,

KVKK’nın birçok açıdan üyelerini etkilediğini belirterek şu açıklamalarda bulundu: “Kimi üyelerimiz veri sorumlusu olarak uyumluluk çalışmaları yaparken kimi üyelerimiz uyumluluk için hukuki danışmanlık ya da teknoloji çözümleri sağlıyor. Merkeze kişisel verilerin korunması hedefini koyuyoruz. Kamu kurumlarının ya da şirketlerin minimum maliyetlerle idari ve teknik tedbirlere uyum çalışmalarını yapmalarını hedeflerken, çözüm sağlayan şirketlerin de katma değerler yaratarak ve büyüyerek faaliyetlerini sürdürmelerini arzuluyoruz. COVID-19 küresel salgınının Dünya’yı ve Türkiye’yi sağlık ve ekonomi açısından olumsuz etkilediği dönemleri yaşıyoruz. Ekonomi ve istihdam tıpkı sağlık gibi zaman zaman kişisel verilerin korunması kaygılarının önüne geçebiliyor. Bunu normal karşılamakla beraber kapıda olan cezalar konusunda kamuoyunu bilgilendirme sorumluluğumuzu da yerine getiriyoruz.”

Vatansever; KVKK idari tedbirlere uyum kapsamında politikalar, sözleşmeler, taahhütnameler, denetimler, risk analizleri, kurumsal iletişim, eğitim ve farkındalık faaliyetlerinde eksiklikler ya da yanlışlıklar yapıldığını ve bu başlıklarla ilgili konularda düzenlenen cezalar olduğunu belirtti. Ek olarak kişisel veri işleme envanteri hazırlanması ve Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) bildirim süreçlerinde daha kritik ve karmaşık hatalar yapılmaya devam edildiğini vurguladı.

İdari Tedbirlere Uyum Çalışmalarının Temeli: ‘Kişisel Veri İşleme Envanteri Hazırlanması’

BİDER Başkanı Şenol Vatansever idari tedbirlere uyum çalışmalarının temelinin ‘Kişisel Veri İşleme Envanteri Hazırlanması’ olduğunu belirterek şunları söyledi: “Temeli iyi atılmamış bir binanın ilk sarsıntıda hasar görmesi ya da çökmesi ne kadar yüksek ihtimal ise, gerçek durumu ortaya koymayan bir kişisel veri işleme envanterinin de telafisi mümkün olmayan zararlara zemin hazırlaması en az o kadar yüksek bir ihtimal. Envanter; beyana dayalı ve manuel olarak değil, çağımıza uygun biçimde ve yazılımlar ile otomatik olarak ortaya çıkarılmalı. Tüm sunuculardaki, tüm veri tabanlarındaki, tüm kullanıcı bilgisayarlarındaki kişisel veriler otomatik yöntemlerle taranmalı, raporlanmalı, kişisel veri içeren dokümanlar sınıflandırılmalı. Kâğıt üzerinde kuralların belirlenmiş ve çalışanlara ilan edilmiş olması sistemin sağlıklı olarak işleyeceği anlamına gelmiyor. Doğru yazılımlarla denetim mekanizmalarının da işletilmesi gerekiyor. Silinmesi gereken dosyalar KVKK’ya uygun olarak silinebilmeli. Mahkemelerde delil olarak kullanabilmesi için yapılan tüm işlemlerin imzalı olarak zaman damgasıyla saklanması sağlanmalı. İçinde kişisel veri olan veri tabanı alanları KVKK’ya uygun olarak anonim hale getirilebilmeli.”

Kişisel veri işleme envanteri diye bölümlerle haftalar hatta aylar süren görüşmeler sonucunda beyana dayalı ve manuel olarak oluşturulan dokümanların sadece kenarda durduğunu belirten Vatansever, “Çünkü bu dokümanlar maalesef ne mevcut durumu sağlıklı olarak gösteriyor ne de gelecek için bir anlam ifade ediyor. Çalışanların söylemediği bilgiler, çalışan bilgisayarlarındaki kişisel verilerin yansıtılmadığı raporlar KVKK açısından aslında hiçbir anlam ifade etmiyor. Veri envanterinin yaşayan bir süreç olarak kurgulanması ve güncellemelerin VERBİS’e yansıtılması kritik öneme sahip. Kişisel verileri tarama operasyonu otomatik hale geleceği için verileri tam kontrol sağlanabilir.” Ancak bu şekilde müşteri ya da Kişisel Verileri Koruma Kurulu taleplerine hızlı geri dönüş yapılabileceğini açıkladı.

VERBİS’e Bildirim Yapmayanlara ya da Yanlış Bildirim Yapanlara Ne Kadar Ceza Verilecek?

BİDER Başkanı Şenol Vatansever, KVKK İdari Tedbirlere uyum çalışmalarında VERBİS’e bildirim süreçlerinde kritik ve karmaşık hatalar yapıldığını ifade ederek açıklamalarına devam etti: “Bunu sadece biz ifade etmiyoruz, Kurum da daha önce erteleme gerekçesinde ifade etmişti. Kişisel Verileri Koruma Kurumu, VERBİS’e yapılan kayıt başvurularının büyük bir kısmında tespit edilen hatalar ve mevzuata aykırı başvurular nedeniyle kayıt başvurularında uzatma kararı almıştı.

Kurum web sitesinde konuyla ilgili yaptığı açıklamada, ‘VERBİS’e iletilen bildirimler incelendiğinde, birçok bildirimde kişisel veriler ile işleme amaçları, alıcı ve alıcı grupları, veri konusu kişi grupları, alınan teknik ve idari tedbirler, yeterli önlemler, yurtdışına veri aktarımı ve saklama sürelerinin örtüşmediği, bu konuda ciddi yanlışlıklar ve mevzuata aykırılıklar olduğunun görüldüğünün’ altını çizmişti. VERBİS’e beyan edilen bilgilerin doğru olması gerektiğini, bu bilgilerden veri sorumlusunun sorumlu olduğunu, sürecin işlemesi adına başvuru sürelerinin uzatıldığını belirtmişti. Bu durumun maalesef hala geçerli olduğunu düşünüyoruz.”

Google+ Linkedin