“Veri koruma” yükümlülüklerinden Haberdar Mısınız?
Kişisel Verileri Koruma Kanunu’nun neleri kapsadığını biliyor musunuz ?
Kişisel verilerin işlenmesi faaliyetinin hukuki zemindeki izdüşümünü, bu bağlamda ne tür uygulamaları olduğunu ve daha fazlasını Alfa Veri Danışmanlık şirketinin uzman kadrosuna sorduk.
Alfa Veri Danışmanlık Şirketinden Avukat Nuray Baynazoğlu Çam, Ankara Life okuyucuları için kaleme aldı
Nuray Hanım bize yönetim kurulu başkanı olduğunuz Alfa Veri Danışmanlık Şirketi’nden bahseder misiniz?
Alfa Veri Danışmanlık Şirketi; gerek ulusal gerekse de uluslararası mevzuata hâkimiyeti ve çağımızın gereklerini yakalayan inovasyon kabiliyeti ile danışanlarına hukuki ve teknik çözümlerle kapsamlı bir hizmet vermeyi hedefler.
Şirketimiz bilişim hukuku alanında uzmanlaşmış ekip üyelerinden oluşmaktadır. Yönetim Kurulu Üyemiz Av.Salih AYDIN, Hacettepe Üniversitesi’nde Bilişim Hukuku alanında yüksek lisans yaparak veri koruma hukukunda profesyonel bir hizmet sunmayı hedeflemektedir. Ayrıca şirketimiz bünyesinde öğretim üyesi uzman danışmanlarımız ve Avrupa Birliği’nde uygulanmakta olan GDPR uyumunun sağlanması için Queen Mary Üniversitesi’nde de Bilişim Hukuku alanında yüksek lisans yapmış ve halen bu konuda çalışan avukat meslektaşlarımız da dahil olmak üzere bünyemizde avukat ve stajyer avukatların da olduğu geniş bir kadroya sahibiz. Bu sayede mevzuatın ve Kişisel Verileri Koruma Kurulu’nun vermiş olduğu kararların yorumlanarak uygulanmasında nitelikli danışmanlık hizmeti vermekteyiz. Bunun yanı sıra teknik çözümlerde çözüm ortağımızla şirketlere ve kamu kurumlarına bilgi güvenliği desteği sağlamaktayız.
Alfa Veri olarak profesyonel kadromuzla şirketlerin ve kamu kurumlarının bünyesinde tuttukları özlük dosyaları, kamera kayıtları, internet sitesinde, müşterilerden aldıkları, taşeron ve üçüncü kişilerle yaptıkları sözleşmeleri, kendi serverlarında bulunan ve çalışma alanlarına göre çeşitlilik gösteren kişisel verilerin kanuna uygun bir şekilde tutulmasını sağlamaktayız. Bu konuda şirketlere ve kamu kurumlarına danışmanlık hizmeti vererek Rekabet Kurumu gibi bağımsız idari otorite olan Kişisel Verileri Koruma Kurumu’nun denetleme işlemlerine karşı hazırlıklı olmalarını sağlamaktayız.
Ayrıca denetim sürecindeki şirketlerin soruşturma süreçlerini yürüterek en az zararla ve bir hak kaybı olmadan bu süreci tamamlamalarını sağlamaktayız.
Kişisel Verileri Koruma’ nedir? Neden ihtiyaç duyulmuştur?
Kişisel veri, bir kişiyi tanımlayan her türlü bilgiye denilmektedir. Ad, soyad, TC kimlik numarası, araç plakası, IP adresine kadar bütün bilgiler kişisel verilerimizdir. Günümüzde web teknolojisinin gelişmesiyle bu verilerin paylaşımı artmış, dijital dünyada işlem hızıyla birlikte paylaşılan bilgilerin sayısı da çoğalmıştır.
Bugün herkes telefonlarına gelen reklam ve tanıtım mesajlarından şikâyet etmekte. Bu şekilde bilgilerimizin hukuka aykırı paylaşımını engellemek amacıyla öncelikle Avrupa’da ve sonrasında ülkemizde yasal düzenlemeler yapılmıştır. Bu sayede kişisel verilerimizi iş yerlerimiz dahil olmak üzere üçüncü kişilerle paylaşırken bu verileri toplayanların uyması gereken kurallar belirlenmiştir.
Ülkemizde de 2016 yılından itibaren yürürlükte olan Kişisel Verilerin Korunması Kanunu, bilgilerin korunması adına bütün şirketlerin uyması gereken düzenlemeleri içermektedir.
Kişisel Verileri Koruma kanunun yaptırımları nelerdir?
Kişisel Verileri Koruma Kanunu veri ihlallerine ilişkin idari para cezası kesme ve miktarlarını belirleme yetkisini Kişisel Verileri Koruma Kurumu’na vermiştir.
Kurumun her sene yeniden değerleme oranında güncellenen cezalar 2020 yılında aydınlatma yükümlülüğü, veri güvenliğine ilişkin yükümlülük, kurul kararlarını yerine getirmeme ve VERBİS kayıt yükümlülüğüne aykırı davranma olmak üzere bir ihlale ilişkin 5.500.000,00TL’ye kadar para cezası kesme yetkisi bulunmaktadır. Birden fazla ihlal halinde bu para cezasının üst sınırı belirtilmemiş ve tamamen Kurul’un insiyatifindedir. Şimdiye kadar PTT, Ziraat Bankası, Mimar Sinan Üniversitesi gibi kamu kurumlarıyla Facebook, Amazon, JW Marriott gibi dünyaca ünlü şirketlere ve avukatlar, sigorta şirketleri, bankalar, okullar, sanayi kuruluşları gibi meslek ve sektör ayırt etmeksizin tüm sorumlulara Kurul, idari para cezası ve yaptırımlarını uygulamaktan çekinmemiştir.
İdari para cezasının yanında Türk Ceza Kanunu md.135-140 arasında kişisel verilere ilişkin cezai yaptırımlar düzenlenmiştir. Burada sorumlular (şirket yönetim kurulu başkanı dahil olmak üzere) bir ihlal olması durumunda hapis cezasıyla karşılaşabilmektedir.
Bu yaptırımlar kimlere uygulanır ?
İdari para cezası, büyüklük fark etmeksizin tüm özel hukuk veri sorumlularına uygulanan bir yaptırım türüdür. Bunu açıklamak gerekirse veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Şirket, kamu kurumu, sendika, vakıf, dernek, avukat, özel muayenehanesi olan doktor ve eczane gibi veri sorumlularını örneklendirmek mümkündür. Ayrıca 50 çalışan veya 25 milyon TL yıllık mali bilanço (aktifler toplamı) sahibi şirketlerin 30.09.2020 tarihine kadar VERBİS sistemine kayıt olması gerekmektedir. Aksi halde veri sorumlularının ciddi bir para cezasıyla karşılaşma riski bulunduğunu söylemek zorundayız.
Para cezasının yanında Türk Ceza Kanunu bağlamında verileri hukuka aykırı olarak kaydetme, başkasına verme ve yok etmeme gibi suçlar ve bu suçlara karşılık 4,5 yıla kadar hapis cezası öngörülmektedir. Biz KVK dönüşümü yaptığımız şirketlerde verilerin kanunen tutulma sürelerini belirlemekte ve bu süre sonunda nasıl silineceğini de belirtmekteyiz. Dolayısıyla köklü şirketlerde veya perakende çalışan esnafta müşteri portföyü oluşturmak adına süresi belli olmaksızın tutulan veriler zamanla şikayet konusu olabilmekte, işletmenin sorumlusuna ciddi yaptırımlarla karşılama riski doğurmaktadır.
Veriler kimlerle/ neden paylaşılabilir?
Burada şunu söyleyelim ki konu hakkında detaylı bilgisi olmayan ve maalesef muhasebeci arkadaşlar vasıtasıyla süreci yönetmek isteyen şirket yöneticilerimiz bünyelerinde veri tutamayacaklarını, verileri hiçbir şekilde aktaramayacaklarını zannetmekteler. Biz kendilerine şunu anlatıyoruz kanuni şartları yerine getirdiğiniz sürece veri toplamanızda ve üçüncü kişilere aktarmanızda bir sorun yaşanmamaktadır.
Şirketler, esnaflar, kamu kurumları bünyesindeki vatandaş, müşteri veya çalışan bilgilerini servis, catering, hukuki danışmanlık, SGK kayıtlarının yapılması, kamu kurumlarına gerekli bildirimler gibi hizmetler için üçüncü kişilerle paylaşmaktadır. Burada kamu kurumlarına aktarılan bilgilerde de gerekli yasal uygunluğun sağlanması gerektiğini söylemek zorundayız.
Kanunen veri paylaşmak için kişiden açık rıza alınması zorunludur. Bunun çeşitli istisnaları bulunmaktadır. Bu hususları çalışma koşulları ve verilerin türlerine göre düzenlemekteyiz. Veri aktarımında profesyonel desteğe başvurulması önerilmektedir. Bu konuda Alfa Çözümler ile danışanlarımıza hukuki ve teknik destek vermekteyiz.
Kişisel verilerimizi korumak için alabileceğimiz tedbirler var mı?
Şunu söylemek gerekir ki; hukuki ve teknik tedbir almak tüm veri sorumluları için zorunludur. Bir çalışanı olan eczane de kurumsallaşmış bir şirket de bu konuda kanuni yükümlülüklerini bilmek, ilgili kişilere bilgilendirme yükümlülüğünü yerine getirmek ve açık rızalarını almak zorundadır. Tabii ki sadece bunlarla alınacak tedbirler sınırlı değildir. Alfa Hizmetler kapsamında otuzu aşkın belge ve şirket içi yetki matrisi, Log kayıtları gibi tüm hukuki ve teknik tedbirleri sunmaktayız. Bu konuda ihtiyaca göre çalışma yapmayı ve bu hizmeti KVK konusunda çalışmış, deneyimli hukukçulardan almanın önemini vurgulamamız gerekiyor. Konuyu günlük hayatta daha çok aşina olduğumuz iş sağlığı ve güvenliği hizmetine temas ederek somutlaştıracak olur isek; nasıl ki bir şirket iş sağlığı ve güvenliği hizmeti alarak risk değerlendirmeleri ışığında var olabilecek risk derecelerini, yüksek tehlikeler karşısında yıllarca minimize ediyorsa, KVK Dönüşümü de şirketlere “Kişisel Verilerin Korunması” bağlamında bu çok yönlü pratiği kazandırıp daha legal ve konforlu bir iş hayatının temin edilmesine olanak sağlıyor. Bu dönüşüm esnasında karşımıza çıkan ve Covid-19 dolayısıyla son kayıt tarihleri kamu kurum ve kuruluşları için 31.03.2021, yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan şirketler için 30.09.2020 şeklinde güncellenen VERBİS kayıtları süreleri ise sanılanın aksine KVK dönüşümünün küçük bir parçası. Dönüşümün hukuka uygun olarak yapılmaması dolayısıyla oluşacak bir veri ihlali halinde VERBİS kaydının var olmasının kurum veya şirket nezdinde tek başına bir önemi yok. Kuruma yapılan veri ihlali bildiriminde de esas incelenen firmaların ve kurumların bu dönüşümü yapıp yapmadıkları. Dolayısıyla KVKK hukuki dönüşüm şart. Aksi takdirde bu dönüşüme adapte olamayan şirketler, üst sınırı her yıl artarak değişmekte olan idari para cezalarıyla beraber şirketin iflasına varabilecek düzeyde ekonomik zararlara uğramakla kalmayacak, aynı zamanda Kurul’un internet sitesinde kamuoyuna yayımladığı ihlal bildirimleri dolayısıyla ticari itibarının zedelenmesine ve marka değerinin düşmesine de sebep olacaktır. Bu durum şirketin başına belki bir defa gelecek ancak bu tek seferlik darbe, yaptırımların yoğunluğu dolayısıyla şirketin ekonomik ve itibari olarak mahvına varacak düzeyde hasara uğramasına zemin hazırlayacaktır. Yalnızca bu dönüşümü yapmak ve VERBİS kaydını gerçekleştirmek değil özellikle e-ticaret gibi riskli ve veri yoğunluğu çok olan veri sorumlularının düzenli danışmanlık ve zaman zaman denetim hizmetlerini almaları gerekiyor. Bu konuda eğitim, sanayi, otomotiv, turizm, medya ve çeşitli kamu kurumları da dahil olmak üzere geniş portföyümüz olduğunu ve tecrübeli bir ekiple ihtiyaç duyulan hizmeti vermekten memnuniyet duyacağımızı belirtmek isteriz.
Yorumlar
0 yorumlar