Kişisel Veriler ve Eksik Bilinenler
10/02/20 10:30
Kişsel Verileri korumak çok kapsamlı bir çalışmadır. Kapsamın hatalı belirlenmesi ciddi cezalara yol açabilir
6698 Sayılı Kişisel Verilerin Korunması Kanunu geç de olsa hayatımıza girdi. 2016 yılında yayınlanan Kanun’un yürürlüğü ertelenen maddelerinin büyük kısmı da artık yürürlükte.
Geç de olsa diyoruz çünkü kişisel verilerimiz öylesine ortalarda ki, böyle olmasına artık alıştık. Telefonlarımız düşen ucuza arsa, termal tatil, gıda destek ürünü SMS’leri, elektronik posta kutumuza düşen muhtelif ilan mailleri, bizi günde bir kaç kez arayan bilmediğimiz numaralar, ucuz internet davetleri, kredi kartı aidatımızı iade vaatlerinden yakamızı kurtaramıyoruz.
Bunun ötesinde özel nitelikli kişisel verilerimiz de paylaşılıyor. Sağlık bilgileri, kredi notumuz, kredi kartı borçlarımız ve daha neler neler.
Neyse ki, imdadımıza yine Avrupa Birliği yetişti ve EU GDPR (General Data Protection Requlation) biraz bize adapte edilerek KVKK yürürlüğe girdi.
Bu şekilde yayınlanan tüm kanunlarda olduğu gibi Travmanın 7 Aşaması’nı yaşadık. İsyan ettik, kanun yokmuş gibi davrandık, falan falan derken ne iş yapmalıyız aşamasına geldik.
Bu noktada başta hukukçular olmak üzere (ne de olsa bir kanun söz konusu) ekipler oluşup firmaların kapısını çalmaya başladı. Kanuna uyum için yapmanız gerekenlere destek olalım dediler. Ücreti karşılığı bu hizmetleri verdiler.
Hukukçuların hukuk bilgisini tatışacak halimiz yok. Yasanın hükümlerini, ilgili yönetmelikleri okuyup, içtihata, diğer yorumlara bakıp kanunen yapılması gerekenleri yapmamız için ellerinden geleni yaptılar. Yanlarında genelde IT’ciler vardı onlar da yazılım vb. destekleri verdiler.
Buraya kadar çok güzel. Artık yasa ve gereklerine hazır mıyız? Ne yazık ki, bu soruya çok da olumlu cevap verme şansımız yok. Çünkü yasadaki kişisel verilerin yetkisiz işlenmemesi ve erişilmemesi hükümleri bizden daha fazla çalışmamızı ve sürekli çalışmamızı istiyor. Ve bu çalışmamızın kapsamı da oldukça geniş.
Bir geri dönersek GDPR ve dolayısıyla KVKK ile gelen temel bakışa şu açıdan yaklaşmak gerekli: ABD mevzuatı verinin sahibinin onu saklayan olduğunu buyuruyor. AB mevzuatı ise verinin sahibinin onu saklayan değil, kimin verisi ise onun olduğuna hükmediyor. Yani sakladığımız kişisel verinin sahibi değil koruyucusuyuz. Ve korumakla mükellefiz. İşte bu nedenle KVKK için veri envanteri çıkarıp Verbis’e yükleyip, bir veri sorumlusu atayıp web sitesi ve diğer formlara bilgilendirme yazısı koymakla işimiz bitmiyor. Her gelene taahütname imzalatınca verilere ait sorumluluktan kurtulmuyoruz.
Uzun lafın kısası KVKK otomatikman Bilgi Güvenliği alanın bir parçası haline geliyor. Bir denetimde kişisel verilerin korunması için tüm önlemleri aldığınızı ispat edebilecek misiniz? Ya da daha kötüsü kişisel verilerin ihlali ile ilgili olarak bir suçlama ile karşılaşırsanız bu suçlamayı bertaraf edebilecek delillere sahip misiniz?
Çoğumuz değiliz. Ama bu hazırlığın hangi seviyesinde olduğunuzu ölçmek için araçlar mevcut. Bela başınıza gelene kadar beklemeyin. Şimdiden önleminizi alın. Yasanın öngördüğü cezalar ağır. 50.000 TL - 2.000.000 TL arasında değişiyor. Ağır ekonomik şartlar ve rekabet ortamında bir de bu yükü başınıza çıkarmayın.
Ayrıca şunu aklımızda tutalım: Koruduğumuz aynı zamanda kendi kişisel verilerimiz.
Geç de olsa diyoruz çünkü kişisel verilerimiz öylesine ortalarda ki, böyle olmasına artık alıştık. Telefonlarımız düşen ucuza arsa, termal tatil, gıda destek ürünü SMS’leri, elektronik posta kutumuza düşen muhtelif ilan mailleri, bizi günde bir kaç kez arayan bilmediğimiz numaralar, ucuz internet davetleri, kredi kartı aidatımızı iade vaatlerinden yakamızı kurtaramıyoruz.
Bunun ötesinde özel nitelikli kişisel verilerimiz de paylaşılıyor. Sağlık bilgileri, kredi notumuz, kredi kartı borçlarımız ve daha neler neler.
Neyse ki, imdadımıza yine Avrupa Birliği yetişti ve EU GDPR (General Data Protection Requlation) biraz bize adapte edilerek KVKK yürürlüğe girdi.
Bu şekilde yayınlanan tüm kanunlarda olduğu gibi Travmanın 7 Aşaması’nı yaşadık. İsyan ettik, kanun yokmuş gibi davrandık, falan falan derken ne iş yapmalıyız aşamasına geldik.
Bu noktada başta hukukçular olmak üzere (ne de olsa bir kanun söz konusu) ekipler oluşup firmaların kapısını çalmaya başladı. Kanuna uyum için yapmanız gerekenlere destek olalım dediler. Ücreti karşılığı bu hizmetleri verdiler.
Hukukçuların hukuk bilgisini tatışacak halimiz yok. Yasanın hükümlerini, ilgili yönetmelikleri okuyup, içtihata, diğer yorumlara bakıp kanunen yapılması gerekenleri yapmamız için ellerinden geleni yaptılar. Yanlarında genelde IT’ciler vardı onlar da yazılım vb. destekleri verdiler.
Buraya kadar çok güzel. Artık yasa ve gereklerine hazır mıyız? Ne yazık ki, bu soruya çok da olumlu cevap verme şansımız yok. Çünkü yasadaki kişisel verilerin yetkisiz işlenmemesi ve erişilmemesi hükümleri bizden daha fazla çalışmamızı ve sürekli çalışmamızı istiyor. Ve bu çalışmamızın kapsamı da oldukça geniş.
Bir geri dönersek GDPR ve dolayısıyla KVKK ile gelen temel bakışa şu açıdan yaklaşmak gerekli: ABD mevzuatı verinin sahibinin onu saklayan olduğunu buyuruyor. AB mevzuatı ise verinin sahibinin onu saklayan değil, kimin verisi ise onun olduğuna hükmediyor. Yani sakladığımız kişisel verinin sahibi değil koruyucusuyuz. Ve korumakla mükellefiz. İşte bu nedenle KVKK için veri envanteri çıkarıp Verbis’e yükleyip, bir veri sorumlusu atayıp web sitesi ve diğer formlara bilgilendirme yazısı koymakla işimiz bitmiyor. Her gelene taahütname imzalatınca verilere ait sorumluluktan kurtulmuyoruz.
Uzun lafın kısası KVKK otomatikman Bilgi Güvenliği alanın bir parçası haline geliyor. Bir denetimde kişisel verilerin korunması için tüm önlemleri aldığınızı ispat edebilecek misiniz? Ya da daha kötüsü kişisel verilerin ihlali ile ilgili olarak bir suçlama ile karşılaşırsanız bu suçlamayı bertaraf edebilecek delillere sahip misiniz?
Çoğumuz değiliz. Ama bu hazırlığın hangi seviyesinde olduğunuzu ölçmek için araçlar mevcut. Bela başınıza gelene kadar beklemeyin. Şimdiden önleminizi alın. Yasanın öngördüğü cezalar ağır. 50.000 TL - 2.000.000 TL arasında değişiyor. Ağır ekonomik şartlar ve rekabet ortamında bir de bu yükü başınıza çıkarmayın.
Ayrıca şunu aklımızda tutalım: Koruduğumuz aynı zamanda kendi kişisel verilerimiz.