Kişisel Verilerin Korunması Konusunda Uzmanlar Uyarıyor
06/01/2020Kahramanmaraşlı Bilişim Uzmanı Ferhat Gönen’in KVK ile ilgili değerlendirmesinden satır başları:
KİŞİSEL VERİLERİN KORUNMASI KANUNUNUN AMACI VE KAPSAMI NEDİR ?
6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Kanun koyucunun yeni misyonlarından biri olan “mülkiyet kavramının genişletilmesi” akımı ile ortaya çıkmış kanunlardan biridir. Bu kanunlardan bir diğeri de Fikri ve Sinai Haklar Kanunudur. Kişisel Verilerin Korunması Kanunu, Anayasal Hukuk devletinin “mülkiyetin korunması” genel ilkesinde; bir bireyin verilerinin de, bireyin mülkiyeti dahilinde olduğu ve bu sebeple korunması gerektiği düşüncesiyle olgunlaşmıştır. Sonuç olarak, bir kişinin mal varlığının “emtia” yani eşya ile sınırlı olmayacağı düşüncesi bu kanunun temel yapıtaşlarını oluşturmaktadır. Kişisel Verilerin Korunması Kanunu, kişinin; üzerinde sahipliğini(zilyetliğini) tesis etmesi çok zor olan, kişisel verileri ve bu kişisel verilerin taraflarını kapsamaktadır. Genel itibariyle kişisel verinin tanımını, taraflarını, tarafların yükümlülüklerini ve haklarını içeren bu kanun 7 Nisan 2016 tarihi itibariyle yayınlanıp, 7 Ekim 2016’da yürürlüğe girmiştir.
KİŞİSEL VERİ NEDİR ? SOMUT ÖRNEKLERİ NELERDİR ?
Teknik tanımları bir kenara bıraktığımızda, kişisel veri; bir bireyin, her türlü bilgisi anlamına gelmektedir. Bu veriler, isim Soy isim, telefon numarası, banka bilgileri, adres bilgileri, kimlik bilgileri, kıyafet bedeni, sağlık bilgileri, dini, dili, ırkı, mezhebi, cinsiyeti, cinsel eğilimleri, adli bilgileri gibi saymakla bitmeyen ve her geçen gün genişleyen tüm bilgilerdir. Bu verilerin bir kısmı ise özel nitelikli veri kapsamında olup kanunda ekstra koruma önlemleri dahilinde kabul edilerek, alınması saklanması ve kullanılması daha da ince ve hassas bir iş haline getirilmiştir. Özel nitelikli kişisel verilere ise; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri şeklinde sayılabilmektedir.
KİŞİSEL VERİLERİN KORUNMASI KANUNU VATANDAŞLARIN KİŞİSEL VERİLERİNİ NASIL KORUMAKTA, NE TÜR ÖNLEMLER ALMAKTADIR ?
Bu kanunun yürürlüğe girmesiyle birlikte Kişisel Verilerin Korunması Kurulu da yavaş yavaş aktif olmaya başlayıp, eksik üyelerin tamamlanmasının ardından 30 Ocak 2017 tarihinde Yargıtay Birinci Başkanlık Kurulu huzurunda yemin ederek tam anlamıyla göreve başlamıştır. Kişisel Verilerin Korunması Kanununun ve Kişisel Verilerin Korunması Kurulunun temel çalışma prensibi; verinin sahibi olmayan ama veriyi bir şekilde elinde bulunduran; teknik anlamda veri işleyen ve veri sorumlusu kişilere, yükümlülükler getirmek suretiyle kişisel verileri koruma yönündedir. Bu yükümlülüklerin en önemlileri, veri sahibini aydınlatma yükümlülüğü, ilgili kişiden açık rıza alma yükümlülüğü, veri güvenliği için her türlü önlemi alma yükümlülüğü, verilerin izinsiz şekilde üçüncü kişilere aktarılması yasağı ve gündemin en sıcak maddesi olan VERBİS kayıt zorunluluğu yani Veri Sorumluları Sicil Bilgi Sistemine kayıt zorunluluğudur.
VERBİS NEDİR ?
Verbis yani Veri Sorumluları Sicil Bilgi Sistemi benim söylemimle Veri Sicil Kaydı, veri sorumlulularının yani sahibi olmadığı halde kişisel veriyi bir şekilde elinde bulunduran kişilerin, kanuni denetimini kolaylaştırmak amacıyla, çeşitli sorulara yanıt vererek aynı zamanda bir veri sicil kayıt görevlisi atayarak, kayıt olduğu bir sistem olarak tanımlanabilecektir. Verbis teknik bir konu olduğu için örneklerle açıklamak daha uygun olacaktır. Örneğin bir işletmeye ziyaretçi olarak gittiğinizde, güvenlikte, genel olarak sizin isminizi soy isminizi, araçla gittiyseniz ziyaretçi aracın plakasını alarak sizi ziyaretçi defterine veya ziyaretçi veri tabanına kaydederler. Bu veriler bir kişisel veridir. Bu veri alma işlemini VERBİS sistemine uygulayacak olursak; veri sorumlusunun atadığı veri sicil kayıt görevlisi, VERBİS bünyesinde, “Ben A şirketi olarak, ziyaretçilerin isim soy ismini ve ziyaretçi aracın plakasını, işletmemin ve çalışanlarımın güvenliğini sağlamak amacıyla, üçüncü kişilerle paylaşmamak üzere, 1 (bir) yıl boyunca şirketimdeki kilitli dolapta saklamak ve 1 (bir) yılın sonunda şirketimin imha prosedürünü uygulayarak yok etmek üzere alıyor ve saklıyorum” şeklinde bir modül oluşturarak kayıt işlemini tamamlamaktadır. Genel itibariyle VERBİS kayıt prensibi bu şekilde çalışmaktadır. Pek tabiki bu modülü oluşturmak için öncelikle şirketler için bir veri tabanı oluşturmamız gerekmektedir. Yukarıda verdiğimiz örnek de göz önüne alındığında oluşturduğumuz veri tabanında ve devamında tamamladığımız VERBİS kayıt işleminde şu sorulara cevap bulmuş oluyoruz.
1-) İşletmenin veri sicil kayıt görevlisi kim?
2-) İşletme hangi kişisel verileri işlemekte?
3-) İşletme bu kişisel verileri hangi hukuki temelle işlemekte?
4-) İşletme kişisel verileri üçüncü bir taraf ile paylaşıyor mu? Paylaşıyorsa hangileri paylaşıyor?
5-) İşletme bu verileri, nerede, ne kadar süre, ne şekilde saklıyor ve hangi güvenlik tedbirlerini alıyor?
6-) İşletme bu verileri ne zaman nasıl imha edecek? günümüzde en küçük işletmenin bile onlarca kalem, binlerce adet veri aldığını sakladığını yani işlediğini düşündüğümüzde bu kayıt sistemi için bünyesinde bir komisyon oluşturması ve profesyonel danışmanlardan hizmet alması, kanuna uygunluk ve cezai yaptırımlarla karşılaşmamak açısından avantaj sağlayacaktır. Ek olarak bu kayıt işlemi Kişisel Verilerin Korunması Kurulunun denetimini kolaylaştırmak ve şeffaflık ilkesinin uygulamasını sağlamaktadır. VERBİS şuan itibariyle bir kısım işletmeler için zorunlu kalanlar için ihtiyarı konumdadır. VERBİS kimler için zorunlu? Şartları neler?
VERBİS sistemine kayıt olması zorunlu olan işletmeler ile bu işletmelerin son kayıt tarihleri şu şekildedir;
1-) Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları ile yurtdışında yerleşik tüm veri sorumluları için 31.12.2019
2-) Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları için 31.03.2020
3-) Kamu kurum ve kuruluşu veri sorumluları için 30.06.2020 6-) Kişisel Verilerin Korunması Kurulu’nun uyguladığı cezalar ve cezalara karşı itiraz yolları ?
Birçok kişinin bildiği ve eğlenerek kullandığı bir nevi dublaj programı olan Dubsmash Inc. Aleyhine uygulanan 730.000,00 TL’lik idari para cezası; bir gazeteciden gelen maille, darknette dubsmah kullanıcılarının bilgilerine sahip bir kullanıcı olduğunu haber alması sonucunda, dijital adli tıp firması aracılığı ile yaptırdığı denetimde veri ihlalini tespit ettiği ve bu veri ihlalini süresinde kurula bildirmediği, kurul tarafından tespit edilmiştir. Ardından kurul, veri ihlalinin boyutunu, halka açık dubsmash profilinde ilişkili olduğu ülkeyi Türkiye olarak tanımlayan, 679,269 kişinin verisinin izinsiz olarak darknetten üçüncü kişinin satın alması yani verilerin çalınması olarak tespit etmiş ve Dubsmash aleyhine; gerçekleşen veri ihlali için 680.000 TL veri ihlalini geç bildirdiği için 50.000 TL olmak üzere toplam 730.000,00 TL idari para cezası uygulamıştır. Marriott International Inc şirketinin misafir veri tabanına yetkisiz erişim olması sebebiyle, Marriott International Inc. Aleyhine Kişisel Verilerin Korunması kurulu tarafından 1.450.000,00 TL idari para cezası uygulanmıştır. Cathay Pasific Airway Limited hakkında yolcu veri tabanına yetkisiz erişim olması sebebiyle, Cathay Pasific Airway Limited aleyhine Kişisel Verilerin Korunması kurulu tarafından 550.000,00 TL idari para cezası uygulanmıştır. Facebook aleyhinde üçüncü kişilerle ilgili yetkisiz veri paylaşımından dolayı 1.650.000,00 TL idari para cezası uygulanmıştır. Yukarıdaki cezalara ek olarak şuanda tartışılan gmail ve whatsapp uygulamaları bir kısım bankalar, ve iletişim şirketleri aleyhine cezalarda yine kurulda görüşülmekte ve kararların açıklanması beklenmektedir. Şu anda Kişisel Verilerin Korunması Kurulu’nun uyguladığı idari para cezalarına karşı açıkça öngörülen bir itiraz yolu mevcut değildir. Uygulamada ve doktrinde cezalara karşı Sulh Ceza Hakimliği nezdinde itiraz edilebilmekte veya yürütmenin durdurulması talepli olarak idare mahkemesine idari işlemin iptali davası açılabilmektedir.