DIJITAL TEKNIK SUBAT 2021

işleme süreci veriyi aldığımız andan itibaren devreye giriyor.
Dolayısıyla bir şirketin veya şahsın size aktardığı kişisel verileri
aldığınız andan itibaren, o veriyi korumak ile yükümlüsünüz. Ya
da ilgili mevzuata uygun aydınlatmaları, bilgilendirmeleri ve eğer
gerekiyorsa açık rızasını alarak hareket etmek gibi belli yükümlülükleri
yerine getirmek zorundasınız. Bir veriyi aldıktan sonra
tedarikçinize aktaracağınız zamanlarda da veri sahibinden izin
almanız gerekiyor.
Evren Güldoğan: Sıklıkla cezalardan bahsettik. Belirlenen kurallara
uymadığımızda başımıza neler gelir, açabilir miyiz?
Başak Aydın Tantürkü: Cezalardaki en sıkıntılı bölüm hem şirketteki
çalışanların hem şirket yetkililerinin şahsen de cezalardan
sorumlu olması. Bu anlamda eğer kişisel veriler konusunda hukuka
aykırı olarak kayıt ediyorsanız dikkat etmelisiniz. Örneğin
almamanız gereken bir veriyi aldınız ve özlük dosyasının içine
attınız. Bunun 1 yıldan 3 yıla kadar hapis cezası var.
Evren Güldoğan: Sadece veriyi almış olmak yetiyor mu?
Başak Aydın Tantürkü: Ceza Kanunu’nda hukuka aykırı olarak kayıt
edildiği şeklinde geçer. Hukuka aykırı olarak yaydığınız da
düşünülürse 2 yıldan 4 yıla kadar hapis cezası söz konusu. Bir
de süresi geçmesine rağmen silmediyseniz 1 yıldan 2 yıla kadar
daha ceza eklenir. Burada bir parantez açmak gerekiyor. Bu cezalar
2 yıla kadar erteleniyor fakat ertelense de iptal edilmez. En
kritik noktası ise şikayete bağlı olmamaları. Yani ben o kişiyle anlaşırım,
şikayetini çeker ve ben bu hapis cezasından kurtulurum
diyemiyoruz maalesef. Bir çalışan bir veriyi aldıysa ve bir yere
aktardıysa şahıs olarak o da sorumlu fakat eğer şirket olarak siz
bu verileri koruma anlamında gerekli tedbirleri almazsanız, şirket
yetkilisi olarak da siz sorumlu oluyorsunuz. Bunun yanında
yüksek bedellerde idari para cezaları da var. Şirkete yalnızca
aydınlatma yükümlülüğünü yerine getirmediği için 9 bin küsürlerden
2 milyona kadar para cezası kesilebilir. Çalışan sayınızla
aynı oranda bu bedelin arttığını düşünürseniz çok fazla olduğunu
söylemek mümkün.
Evren Güldoğan: Cezaların alt ve üst limitleri oldukça geniş görünüyor.
Kurulun burada dikkate aldığı kriterler var mı, yoksa henüz
bilmiyor muyuz?
Başak Aydın Tantürkü: Burada net bir cevap verebilmek, örneğin
şirket cirosuna göre vb. demek isterdim fakat gerçekten bilemiyoruz.
Deneyimledikçe öğreniyoruz fakat bir avukat meslektaşımız
sırf bir veri ihlali yaptığı için 50 bin TL para cezasına maruz
kalmıştı. Yine tek başına çalışan bir eczacı, veriyi ihlal ettiği için
74 bin TL ceza ödemişti. Kurulun geniş bir yetki alanı var, bir anda
denetim için gelinebilir veya farklı bir şikayetten dolayı gelindiğinde
bu alanda da ceza kesilebilir.
Netice olarak bu konu oldukça dikkat istiyor. Tek kişi çalışmanız,
eğitmen, danışman, avukat, mali müşavir, gerçek bir kişi veya şirket
sahibi olmanız fark etmeksizin, herkesin kendi alanında alması
gereken, temel çerçevesini çizebileceği önlemler var.
Evren Güldoğan: ARED üyelerinin neredeyse hepsi işletme sahibi
insanlar. Bu tip konulara da öncelikle işletmeler açısından
bakıyoruz ama her birimiz de birer gerçek kişiyiz. Bizim de kişisel
verilerimiz başkaları tarafından işleniyor. Bunu engellemenin,
kişisel verilerimizi verdikten sonra da işlenmesini durdurmanın,
sildirmenin bir yöntemi var mıdır?
Başak Aydın Tantürkü: Evet var ve iyi ki bu imkan sunulmuş.
Çünkü herkes çok tedirgin.. Hem veri sahibi olarak karşımızdaki
şirkete ya da şahsa “benim verimi aldığında ne yaptın, nerde
sakladın, kimlere aktardın, ne şekilde işliyorsun” gibi soruları yöneltme,
hem de “artık benim verimi kullanma, açık rızamı senden
geri çekiyorum.” deme şansımız bulunuyor. Gün içinde verdiğiniz
açık rıza hakkını 1 dakika sonra geri alma hakkınız mevcut.
Tam olarak kişisel veriyle ilgili olmasa da İYS sistemi var artık
şirketlerin elektronik ticari ileti gönderebilmesi için. Vatandaş
olarak bizler de o sisteme girip verilerimizi kimlere verdiğimizi
görüntüleyip kapatabiliyoruz.
Diğer yandan önemli bir tavsiye olarak web sitelerinizde kullandığımız
dökümanlar için kopyala yapıştır yapmamanız
gerektiğini söylemek isterim. Bu çok basit bir incelemeyle ortaya
çıkabilecek bir durum. Özellikle böyle internet sayfalarında
yayınladığınız KVKK metinleri, çerez politikaları, gizlilik metinleri
ya da birilerine gerçekten imzalattığımız metinlerde bu hususa
büyük önem vermenizi tavsiye ediyorum.
Evren Güldoğan: Sektör mensuplarımızın merak ettiği diğer bir
konu ise Verbis kayıtlarını yaptıktan ve uyumlaştırma çalışmalarını
gerçekleştirdikten sonra sürecin güncel tutulması gerekiyor
mu yoksa yükümlülüklerimiz sona mı eriyor?
Başak Aydın Tantürkü: Öncelikle bilmeyenler için Verbis, kurulun
halka açık, herkesin görebileceği veri sorumluları bilgi sistemi.
Verbis’e kayıt yükümlülüğü olan bir şirketseniz buraya kimin
kişisel verinizi aldığını girmezsiniz, daha genel bilgiler giriliyor.
Bunların kayıt yükümlülüğü süresince belli kriterleri olduğu gibi
yasal süreleri de var. Verbis kayıt yükümlülüğü kanunda sayılan
yükümlülüklerden sadece bir tanesi ve çok gündeme geldi. 31
Aralık’taki kayıt yükümlülüklerinin son gününe göre, 50 kişininin
üzerinde çalışanınız varsa ya da bir önceki yılın yıllık mali
bilançosunda aktifiniz 25 milyonun üzerindeyse şirket olarak
verbise kayıt yükümlülüğünüz vardı. Bu değişebilecek bir konu
ve takibinizde olmalı. O güne kadar üye olmayan, kayıt olmayan
şirketler oldu ve şuan kurul o şirketlere yazı gönderiyor. Yazı geldikten
sonra 3 gün içerisinde kaydı yapmak gerekiyor. Kaydı yapmak
için de bahsettiğimiz gibi baştan kişisel veri envanterinizi
çıkartmanız, oradan bir Verbis envanteri ayrıştırmanız ve bütün
bu idari teknik tedbirleri almanız gerekiyor. Dolayısıyla özenle
yapılmamış bir kaydınız bulunuyorsa ivedilikle gerekli hukuki
uyumlaştırmayı yaparak düzeltmenizi öneririm.
Evren Güldoğan: Diyelim ki bütün önlemleri aldık fakat sizin de
dediğiniz gibi hacklendik veya bir çalışanımızın kötü niyeti söz
konusu oldu. Bu tip bir durumda yine biz sorumlu muyuz?
Başak Aydın Tantürkü: Almanız gereken önlemleri aldıysanız sorumlu
değilsiniz. Diyelim ki verinin çalınmasına sebep oldunuz
ve kurul size idari para cezası kesti. Bu bedeller oldukça yüksek
olduğu için çalışandan almak da zor olacaktır. İşte bu noktada
farkındalık eğitimleri çok önemli. Çalışanın ben ne yaparsam yapayım
şirket sorumlu gibi bir anlayışa kapılmasını engellemelisiniz.
O çalışan, hapis cezası yükümlülüğünün kendinde olduğunu
bilmeli. Yani artık ben bu şirkette çalıştı çok güzel bir portföyüm
var, oradaki bilgileri aldım ve portföyümle başka bir şirkete gittim
devri kapandı. Bu nedenle çalışanın da şirket yetkililerinin de
farkındalığının artması ve eğitim almaları gerekiyor.
Evren Güldoğan: Çalışanlarımız bu durumun farkında olurlarsa
bu tip davranışlardan da uzak dururlar.
Başak Aydın Tantürkü: Bu durum şirketlere de daha rahat bir hareket
alanı sağlıyor, şirket yetkililerinin bu anlayışı özümsemesi
gerek. Sadece sonucunda bir ceza kesilebileceği için bu adımları
atmamak gerek. Bazı şirketler de uyumlaştırma süreci sonrasında
büyük bir veri çöplüğünden kurtulduklarını söyleyerek
rahatladıklarını belirtebiliyorlar. Artık kişisel veri çok kıymetli ve
mesleki yaklaşımımız haklarımızı korumak, şirketimizde düzeni
sağlamak olmalı.
Evren Güldoğan: Son sorumuz da sık aldığımız sorulardan birisi.
Biz yaptığımız işlerin fotoğrafını çekmeliyiz. Örneğin bir akaryakıt
istasyonuna giydirme işlemi yaptığımızda veya banka şubesinin
tabelasını taktığımızda bunun fotoğrafını çekip, internet
sitemizde veya sosyal medyamızda yayınlıyoruz. Bunun ayrı bir
boyutu olabilir ama KVKK açısından baktığımızda bu aktivite için
önceden izin almamız gerekiyor mu?
Başak Aydın Tantürkü: Özellikle fotoğraf çekip internette yayınlama
süreci apayrı bir durum. Bu faaliyetleri gerçekleştirmeden
önce gerekli aydınlatmayı ve izni alarak hareket etmeniz gerekir.
İlgili kişiye ulaşıp bu izni alamazsanız da bayiyle aranızda sözleşme
olmasa bile yazılı bir metin geçirmelisiniz. Hem sizlere o
veriyi veren şirket de uyumlaştırmasını bu bilgilerle sağlamalı.
96 Şubat 2021