Kişisel veriyi koruyamayana ceza yağacak

Kişisel veriyi koruyamayana ceza yağacak

DÜNYA 

Dijital müşteri bilgilerini koruma yasalarını ihlal eden şirketlere 20 bin-1 milyon lira arasında ceza kesilecek.

Şirketler iştahla büyük veriyi işleyip, pazarlama stratejilerini değiştirmek isterken, devletler de ‘kişi’nin korunması için yasaları ağırlaştırıyor. Türkiye’de 31 Aralık 2019’a kadar şirketler VERBİS’e kayıt olmak zorunda. Kayıt olmayan firmalara 1 milyon TL’ye kadar ceza kesilebilecek. Sisteme kayıtlı olan firmalar da veriyi korumazsa, yine büyük para cezalarına çarptırılabilecek.

Dünyanın yeni petrolü ‘veri’ hızla ticarileşirken, kişisel verilerin korunması için çıkarılan yasalar ağırlaşıyor. Dijital müşteri bilgilerini yani kişisel verileri korumada sisteme kaydolmayan firmalar 20 bin TL’den 1 milyon TL’ye kadar para cezasını da içeren idari yaptırımlarla karşı karşıya kalacak. Sisteme kayıtlı firmalar, veri ihlali halinde yine büyük para cezalarına çarptırılabilecek. Kanuna aykırı veri kaydeden ya da koruyamayan veri sorumluları ise 1 yıldan 4.5 yıla kadar hapis cezası alabilecek. Bu cezaların veri koruma kültürünü yerleştirmesi bekleniyor.

Kişisel Verileri Koruma Kanunu (KVKK), gelişen teknolojiye paralel olarak etki alanını genişletiyor. Avrupa’da kullanımı 1995’li yıllara dayanan ‘Veri Koruma Direktifi’ yaklaşımı baz alınan kanun, çağın ihtiyaçlarına uygun hale gelebilmek adına rotasını AB’de 2018’de hayata geçen Veri Koruma Tüzüğü’ne (GDPR) doğru yaklaştırıyor. Türkiye’de 3 yıldan fazla süredir yürürlükte olan KVKK, yapılan son güncellemelerle çok daha caydırıcı hale geliyor. Kişisel verileri işleme olarak adlandırılan Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) sistemine kaydolmak için 15 ay süre verilmişti.

Avrupa’da ceza 20 milyon eurodan başlıyor

Kavlak Avukatlık Bürosu Kurucu Ortağı Fırat Kavlak, “25 Mayıs 2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Yönetmeliği’nin (GDPR) düzenlemelerine aykırı davranan şirketlere, 20 milyon euroya varan veya bir önceki mali yılın toplam cirosunun yüzde 4’üne varan yaptırımlar uygulanıyor” dedi.

Veri depolayan ve yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan işletmelerin VERBİS kayıt olmaları için son tarih 31 Aralık oldu. Çalışan sayısı 50’den ve mali bilançosu 25 milyon TL’den az, ana faaliyeti özel nitelikli olanların ise 31 Mart 2020 tarihine kadar kayıt yaptırması gerekiyor. Ciro ve çalışan sayısının altında olmakla birlikte ana faaliyeti özel nitelikli olanlar, örneğin eczaneler, hastaneler, özel muayenehanesi olanların kayıt yükümlülüğü 31 Mart 2020’ye kadar kamu kurumları da 30 Haziran 2020 tarihine kadar kayıt yaptırabilecekler.

VERBİS, kişilerin verilerine değil nelerin kaydedildiğine bakacak

Adalet Bakanlığı’na bağlı olarak çalışan Kişisel Verileri Koruma Kurumu’nun Başkanı Prof. Dr. Faruk Bilir, kamuya açık olarak tutulan VERBİS’in şeffaflık ve hesap verilebilirlik ilkelerine dayandığını vurguladı. Bu sistemin hangi tür veriler ne amaçla işleniyor, veriler ne kadar süre saklanıyor, yurt içinde ve yurt dışında kimlere aktarılıyor gibi çeşitli kategorilerden oluştuğunu söyleyen Bilir, “Kişisel verileri işlenen gerçek kişiler, bu sistem üzerinden sorgulama yaparak veri sorumlusunun veri işleme faaliyetleri hakkında bilgi sahibi olabilecek ve iletişim bilgilerini görerek, gerektiğinde hangi adımlardan başvuru yapabileceğini öğrenebilecekler” dedi.

Facebook ve Marriot 1.5 milyon TL’nin üzerinde ihlal cezası aldı

Kişisel Verileri Koruma Kurumu’nun resmi internet sayfasında ihlal bildirimleri ve kurulun aldığı yaptırım kararları halka açık şekilde duyuruluyor. Kurum, veri ihlallerine etkilenen kişilere fazlalığına göre ağır idari para cezaları veriyor. Facebook, kurum tarafından 1 milyon 650 bin TL’lik cezaya çarptırılırken, Marriott International’a 1.5 milyon TL ceza uygulandı. Bunun yanında www.tuttur.com ise 30 bin TL, Clickbus’a 550 bin TL, Dubsmash’in, üzere toplam 730 bin TL, Cathay Pasifi şirketine 550 bin TL idari para cezası uygulandı.

Sistemle ilgili en önemli tartışma konularından birine açıklama getiren Bilir, VERBİS’te kişisel veri muhafaza edilmeyeceğinin altını çizerek, şunları anlattı: “Örneğin bir kamu kurumu, kurumu ziyarete gelen gerçek kişilere aydınlatma yükümlülüğünü yerine getirmek suretiyle ad-soyad, telefon numarası, TC kimlik numarası, plaka gibi bazı kişisel verilerini işlemekte ise, bu kurum tarafından VERBİS’e bilgi girişi yapılırken; bu gerçek kişilere ait kişisel verileri ve bunun yanı sıra ad-soyad, telefon numarası, TC Kimlik numarası, plaka numarası gibi daha genel kişisel veriler sisteme girilmeyecek. Sadece bunların üst kategorisi olan ve zaten VERBİS’te de seçimlik alan olarak yer alan ‘kimlik kategorisi’ ve ‘iletişim kategorisi’ işlediğine dair bilgi girişi yapılacak.”

Gerçek kişiler de sorumlu

Altıntaş KVKK Danışmanlık sahibi, MÜSİAD Ekonomik ve Sosyal Altyapı Üst Kurul Başkanı Arabulucu Avukat Kerim Altıntaş, kişisel verilerin korunmasına yönelik ihtiyacın birçok sistem açığından dolayı olduğunu vurgulayarak, kişilerin saklı tuttuğu, paylaşılmasında rızalarının bulunmadığı kimlik bilgileri, gelir durumları, iletişim bilgileri hatta kimi zaman dışlanmalarına, ayrıştırıcı muameleler görmelerine sebep olacak veriler haberleri olmadan, hukuka aykırı şekilde işlendiğini ve mağduriyetler doğurduğunu söyledi. Kanunun amacı cezalandırmak olmayıp farkındalık oluşturmak ve verilerin güvenliğini sağlamak olduğunun altını çizen Altıntaş, şunları anlattı: “Kanundan önce gerek kamu gerekse özel kurum ve kuruluşlar, kendi menfaatlerini gözetirken; verisini işledikleri ilgili kişilerin özel hayatın gizliliği hakkı başta olmak üzere haklarını ve menfaatlerini zedeleyebilecek birden fazla bilgiyi kendi sistemlerine kayıt edebilmekte ve bu bilgileri 3. şahıslar ile veri sahibinin bilgisi olmaksızın paylaşabilmekteydi.”

Kişisel verinin aslında gerçek kişilere ilişkin kimliği belirli ya da belirlenebilir kılan her türlü bilgi anlamına geldiğini hatırlatan Altıntaş, “Veri sorumlusu dediğimiz kişiler; her türlü veri hakkında bu verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiler. Bu açıdan ‘KVKK’ya baktığımızda kanundaki düzenlemelere göre hem gerçek kişiler hem de tüzel kişiler veri sorumlusu sıfatı ile yükümlü olsa da hayatın olağan akışı içinde değerlendirdiğimizde tabi ki şirket/kurumların işledikleri veriler çok çok daha fazla olduğundan asıl olarak sorumluluklar ve denetimler bu kişiler üzerinde doğacak. Fakat bu durum tabi ki gerçek kişilerin kanun kapsamında sorumlu olmadığı anlamına da gelmeyecek.”

Türkiye’de 2023’ te büyük veri işleme yatırımları 520 milyon $’a çıkacak

Pazar araştırma şirketi International Data Corporation’ın (IDC) açıkladığı son tahminlere göre, Türkiye’de büyük veri ve analitik yatırımları 2018 yılında 247 milyon dolar olarak gerçekleşti. 2023’e kadar pazarın yıllık yüzde 16 büyüyerek, 520 milyon dolara ulaşacağı öngörülüyor. Türkiye’deki kurumların yüzde 55’i şirket içi (on-prem) büyük veri işleme konusunda çalışmalarını sürdürüyor. Türkiye’deki her 10 kurumdan 8’i ‘makine öğrenmesi’ni, kurumu için anlamlı ve değerli görürken, her iki şirketten biri, yani katılımcıların yarısı, geçmiş verileri analiz etmek için çok sayıda veri kaynağını bir araya getirmekte zorlandığını belirtiyor. Türkiye’deki kurumların yüzde 98 önümüzdeki iki yılda, büyük veri işleme ve yönetme çözümlerine ayrılan bütçenin artmasını bekliyor. Araştırmaya katılan kurumların yüzde 15’i ise, yine bu bütçenin önümüzdeki iki yıl içinde yüzde 100’ün üzerinde artacağını tahmin ediyor.

Veri sorumlusu ne yapmalı?

Altıntaş’a göre veri sorumlusu, kişisel verileri işlerken öncelikle işleme faaliyetini dayandıracağı işleme şartını tespit etmeli. Özel nitelikli kişisel veri denilen kişilerin öğrenilmesi halinde ayrımcı muameleye maruz kalmasına veya mağduriyetine sebep olacak verilerin işlenmesi halinde kanunda belirlenen işlenme şartlarının bulunmasına özen göstermeli ve kurulun belirlediği önlemleri alarak verileri koruması, muhafaza etmesi gerekiyor. Veri sorumlusu, verileri işleme şartının ortadan kalkması halinde verileri imha etmeli, kişisel veri sahibi yani ilgili kişiye kanun kapsamındaki haklarını bildirmeli, bu haklarına ilişkin başvurularını değerlendirip cevap vermeli ve en önemlisi veri işleme faaliyetinden önce aydınlatma yükümlülüğünü ve açık rıza yükümlülüğünü yerine getirmeli. Ayrıca kanun kapsamındaki bütün veri sorumluları kişisel verilerin; hukuka aykırı olarak işlenmesini önlemek, hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda.

Veri ihlali 72 saatte bildirmeli

Sebebi ne olursa olsun, kullanıcı verileri bir şekilde ihlale uğrayan veri sorumlusu şirketin, durumu en geç 72 saat içinde KVKK’yı, akabinde etkisinin yüksek olduğu durumlarda veri ihlalinden etkilenen veri sahiplerini de bilgilendirmesi gerekiyor. Cezası 1 milyon TL’yi aşan bu düzenleme, güvenliğin firmalar için ne kadar önemli olduğunu gözler önüne seriyor.

Teleperformance Türkiye DPO’su ve Bilgi Güvenliği Direktörü Ercüment Arı, “KVKK uyumluluğunun uzun bir maraton. Şirketlerin kullanıcı kişisel verilerini işleme konusunda çok daha titiz davranması gerek. VERBİS ile organizasyonları adeta kamuya açık bir vitrine çıkıyor. Bilgilerde şeffaflık sağlatarak, bireylere ve ilgili taraflara, kendi verilerini kontrol etme kabiliyeti sağlanıyor” diye konuştu.

VERBİS NEDİR?

6698 sayılı Kişisel Verilerin Korunması Kanununun 16. maddesine göre kişisel veri işleyen gerçek ve tüzel kişi veri sorumlularının kişisel veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolması gerekiyor. Bu kapsamda kayıt için Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) hazırlandı. VERBİS; kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir kayıt sistemi… Veri sorumlularının, kurulun gözetiminde başkanlık tarafından tutulmakta olan Veri Sorumluları Siciline kayıt olmaları ise zorunlu oldu.

“Şirketler uzmanlardan destek alarak riski azaltır”

Herkesin bir an evvel sistemlerini ve veri akışlarını KVKK’ya uyumlu hale getirmeleri gerektiğini vurgulayan Likya Hukuk ve Danışmanlık’tan Avukat Gül İlayda Toker, şunları anlattı: “Getirilen yeni sistem ile kişilerin kontrolü dışında dolaşımda bulunan kişisel verilerinin yasa ile güvence altına alınması amaçlandığı için KVKK ile getirilen yükümlülük ve sorumlulukların sadece VERBİS’e kayıt ile sınırlı olduğunu düşünmek, yasanın amacına ve ruhuna aykırı olacak. Bu nedenle, kişisel verilere ulaşımı olan ve bu verileri işleyen tüm gerçek ve tüzel kişilerin, sicile kayıt yükümlüsü olsalar da olmasalar da, bir an evvel sistemlerini ve veri akışlarını KVKK’ya uyumlu hale getirmeleri gerektiğini önemle vurguluyorum. Hatta gerekirse bu konuda uzman kuruluşlardan profesyonel danışmanlık hizmeti almalarını öneriyorum. Böylelikle ortaya çıkabilecek uygulama sorunları ve risk kat sayısı mümkün olduğunca düşük seviyede kalacak.”