Kişisel Verilerin Korunması Mevzuatına Uyumluluk İçin Kritik Uyarılar

 

Kişisel verilerin korunmasında farkındalık konusu, 12 Kasım’da gerçekleştirilen 3’üncü e-Safe Kişisel Verileri Koruma Zirvesi’nde masaya yatırıldı. Etkinliğin açılış konuşmacılarından Kişisel Verileri Koruma Kurumu (KVKK) Başkanı Prof. Dr. Faruk Bilir, “Unutulma Hakkı” kavramı ile ilgili önemli açıklamalarda bulundu. KVKK binasında gerçekleştirilen etkinliğin fiziksel bölümüne; protokol, konuşmacılar, sponsorlar ve basın mensupları kabul edildi. İzleyiciler ise etkinliği, e-Safe’in resmi YouTube kanalı üzerinden ve Türksat Kablo-Net üzerinden canlı olarak takip ettiler. Tüm gün süren etkinliği YouTube üzerinden toplamda 4.000’inden fazla kişi seyretti.

 

Hukuk başlığı kapsamında Dijital Biz Dergisi Genel Yayın Yönetmeni ve Global Bilişim Derneği (BİDER) Başkanı Şenol Vatansever de idari ve teknik tedbirleri içeren bir konuşma yaptı. İdari tedbirlere uyum çalışmalarının temelinin “Kişisel Veri İşleme Envanteri Hazırlanması” olduğunu belirtti.

 

  • 2016 Yılından Bu Yana KVKK ile İlgili Çalışmalar Yapıyoruz
  • Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri Sağlıklı Olarak Uygulanıyor mu?
  • Şirketlerde Bilgi Güvenliği ve Kanun Hakkında Eğitim ve Farkındalık Faaliyetleri Yeterli Seviyede mi?
  • VERBİS’e Bildirim Yapmayanlara ya da Yanlış Bildirim Yapanlara Ne Kadar Ceza Verilecek?
  • Hazırlanan Kişisel Veri İşleme Envanterleri Gerçek Durumları Yansıtıyor mu?

 

2016 Yılından Bu Yana KVKK ile İlgili Çalışmalar Yapıyoruz

Global Bilişim Derneği (BİDER) Başkanı Şenol Vatansever, zirveyi takip eden KVKK binasındaki protokolü ve YouTube izleyicilerini selamlayarak sözlerine başladı: “İsmim Şenol Vatansever. Global Bilişim Derneği (BİDER) Başkanıyım. Dijital Biz Dergisi Genel Yayın Yönetmeniyim. Vatansever Bilişim A.Ş. ve Patriot Teknoloji A.Ş. Yönetim Kurulu Başkanıyım. Kişisel verilerin korunması konusundaki farkındalığın daha da geliştirilmesine katkıda bulunmayı hedefliyoruz. ‘e-Safe Kişisel Verileri Koruma Zirvesi’ için başta Kişisel Verileri Koruma Kurumu Başkanı Prof. Dr. Faruk Bilir ve e-Safe Kurucusu ve Zirve Başkanı Musa Savaş olmak üzere emeği geçen herkese teşekkür ederim.

Etkinlikle ilgili detaylı habere en kısa sürede www.dijitalbiz.com ve www.1kvkk.com adreslerinden ulaşabileceksiniz. Dijital Biz Dergisi Aralık 2020 Sayısında da habere yer vereceğiz. Turkcell Dergilik ve Türk Telekom e-dergi’den de erişebileceksiniz.”

KVKK Uzmanı Şenol Vatansever, 2016 yılına kadar uzanan KVKK çalışmaları konusunda bilgiler aktardı: “2016 yılının Nisan ayından bu yana Kişisel Verilerin Korunması Kanunu (KVKK) ile ilgili çalışmalar yapıyoruz. Hem kurumsal hem de bireysel üyeleri olan BİDER’in Başkanı olmam sebebiyle de KVKK bizi birçok açıdan etkiliyor. BİDER aslında Bilişimciler ve BİLİŞİM GRUBU’nun devamı niteliğinde olduğu için Dijital Biz ile beraber binin üzerinde aktif üyeye sahip olan büyük bir topluluk. Kimi üyelerimiz veri sorumlusu olarak uyumluluk çalışmaları yaparken kimi üyelerimiz uyumluluk için hukuki danışmanlık ya da teknoloji çözümleri sağlıyor. Merkeze kişisel verilerin korunması hedefini koyuyoruz. Diğer taraftan kamu kurumlarının ya da şirketlerin minimum maliyetlerle idari ve teknik tedbirlere uyum çalışmalarını yapmalarını hedeflerken, çözüm sağlayan şirketlerin de katma değer yaratarak ve büyüyerek faaliyetlerini sürdürmelerini arzuluyoruz. COVID-19 küresel salgınının Dünya’yı ve Türkiye’yi sağlık ve ekonomi açısından olumsuz etkilediği dönemleri yaşıyoruz. Türkiye’mizi 500 milyar dolar ihracat hedefine ulaştırabilecek en önemli sektörün bilişim sektörü olabileceği bilinciyle de bilişim sektöründe faaliyet gösteren üreticilerimizi ve hizmet sağlayan şirketlerimizi desteklememiz gerekiyor. Ekonomi ve istihdam tıpkı sağlık gibi zaman zaman kişisel verilerin korunması kaygılarının da önüne geçebiliyor. Bunu da normal karşılıyoruz.

KVKK İdari Tedbirlere uyum kapsamında politikalar, sözleşmeler, taahhütnameler, denetimler ve risk analizlerinde de eksiklikler ya da yanlışlıklar yapılıyor ve bu başlıklarla ilgili konularda da düzenlenen cezalar var. Bugün kısıtlı zamanımızı daha verimli kullanmak adına şirketlerin ve kamu kurumlarının KVKK İdari Tedbirlere uyum çalışmalarında daha kritik ve karmaşık hatalar yaptıklarını düşündüğümüz özellikle 4 başlıkta değerlendirmelerimizi aktaracağım. Bu başlıklar neler?

  • Kişisel Veri İşleme Envanteri Hazırlanması
  • Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
  • Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
  • Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim

En kritik olarak gördüğümüz ‘Kişisel Veri İşleme Envanteri Hazırlanması’ başlığına geçmeden önce diğer 3 başlığa değinmek isterim.”

Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri Sağlıklı Olarak Uygulanıyor mu?

Vatansever Bilişim A.Ş. Yönetim Kurulu Başkanı Şenol Vatansever, KVKK İdari Tedbirlere uyum çalışmalarında sıkıntılar olduğunu ifade ettikleri ikinci başlığı şu şekilde detaylandırdı: “Kurumsal iletişimde, yani Kurul ve İlgili Kişiyi bilgilendirme süreçleri ve itibar yönetiminde uygulamada ciddi yanlışlar yapılıyor. Genelde şirketlerin ya da kamu kurumlarının olası bir ihlal yaşandığında refleks olarak ilk yaptıkları davranış maalesef olayın üstünü örtmeye çalışmak oluyor. Şimdi KVKK binasındayız diye gerçekleri ifade etmekten kaçınmamız gerekiyor ki, hem mevcut durumumuzu doğru tespit edelim hem de bu durumu nasıl iyileştirebileceğimizi tüm paydaşlar olarak beyin fırtınası yaparak değerlendirelim. Üyelerimiz ya da farklı kanallar üzerinden gelen bilgilerle, bazı şirketlerin ihlal süreçlerini öğrendiğim durumlar oldu. Katıldığım bazı TV programlarında da şirket ismi vermeden bu konuları gündeme getirerek tartışmaya açtım. İhlali bildirmekten kaçınmaya çalışma ya da detayların bazı önemli kısımlarını görmezden gelerek bildirmeye çalışma sorunun çözümüne katkı sağlamıyor, tam tersine problemleri daha da büyütüyor. Burada şeffaf olunması, ihlal bildiriminde bulunurken tüm bilgi ve belgelerin eklenmesi önemli. Kurul’un mevcut bilgi ve belgeleri çok detaylı olarak incelediği ve kararlarının adil olduğu konusunda hiçbir şüphemiz yok. Bunu da her ortamda ifade ediyorum. Bu başlıkla ilgili sektörden gelen birkaç soruyu aktarmak isterim. Kurul bu sorularla ilgili sahip olduğu bilgileri kamuoyunu aydınlatmak adına paylaşabilirse memnuniyetle STK iletişim kanallarımızda ve Dijital Biz Dergisi’nde yayınlayabiliriz:

  • İhlallerden etkilenen İlgili Kişilere bildirimlerin ne şekilde yapıldığı,
  • Kaç şirketin ya da kamu kurumunun kaç kişiye bildirim yaptığının istatistikleri,
  • Bu bildirimlerin yapılıp yapılmadığının Kurum tarafından ne şekilde denetlendiği,
  • Bilgilendirme yapmayan şirketler ya da kamu kurumları varsa Kurul tarafından ne gibi yaptırımlar uygulandığı,
  • Bu bildirimlerin yüzde kaçının İlgili Kişiler tarafından mahkemelere taşındığı.”

Şirketlerde Bilgi Güvenliği ve Kanun Hakkında Eğitim ve Farkındalık Faaliyetleri Yeterli Seviyede mi?

Vatansever, KVKK İdari Tedbirlere uyum çalışmalarında sıkıntılar olduğunu gözlemledikleri üçüncü başlık olan bilgi güvenliği ve kanun hakkında eğitim ve farkındalık faaliyetleri hakkında değerlendirmelerini aktardı: “Özellikle kanunla ilgili oluşturulan şirketlerdeki ya da kamu kurumlarındaki KVKK kurullarında bile ciddi bilgi eksiklikleri ya da yanlış bilgiler olduğunu görüyoruz. Verilen eğitimlerin bir kısmı verimsiz geçiyor, bir kısmı kâğıt üzerinde verilmiş gibi gösterilebiliyor. Kişisel Verileri Koruma Kurumu’nun liderliğinde -belki eğitim firmaları ile iş birliği yapılarak- şirketlerde ve kamu kurumlarında KVKK’dan sorumlu kişilere ve hatta çalışanların tümüne yönelik farklı seviyelerde bilgilendirme ve sertifikasyon çalışmaları yapılması KVKK ile ilgili bilincin gelişmesi için faydalı olabilir.”

VERBİS’e Bildirim Yapmayanlara ya da Yanlış Bildirim Yapanlara Ne Kadar Ceza Verilecek?

BİDER Başkanı Şenol Vatansever, KVKK İdari Tedbirlere uyum çalışmalarında sıkıntılar olduğunu ifade ettikleri dördüncü başlığın VERBİS’e bildirim olduğunu belirterek açıklamalarına devam etti: “Bunu sadece biz ifade etmiyoruz, Kurum da daha önce erteleme gerekçesinde ifade etmişti. Kişisel Verileri Koruma Kurumu, VERBİS’e yapılan kayıt başvurularının büyük bir kısmında tespit edilen hatalar ve mevzuata aykırı başvurular nedeniyle kayıt başvurularında uzatma kararı almıştı. Kurum web sitesinde konuyla ilgili yaptığı açıklamada, ‘VERBİS’e iletilen bildirimler incelendiğinde, birçok bildirimde kişisel veriler ile işleme amaçları, alıcı ve alıcı grupları, veri konusu kişi grupları, alınan teknik ve idari tedbirler, yeterli önlemler, yurtdışına veri aktarımı ve saklama sürelerinin örtüşmediği, bu konuda ciddi yanlışlıklar ve mevzuata aykırılıklar olduğunun görüldüğünün’ altını çizmişti. VERBİS’e beyan edilen bilgilerin doğru ve güncel olması gerektiğini, bu bilgilerden ilgili veri sorumlusunun sorumlu olduğunu, sürecin sağlıklı işlemesi adına kayıt başvuru sürelerinin uzatıldığını belirtmişti. Bu durumun maalesef hala geçerli olduğunu düşünüyoruz.

Gerçek kişi veya şirketlerin VERBİS üzerinden sicile kayıt yaptırmamaları durumunda Kişisel Verileri Koruma Kanunu’nun 18’inci maddesinin birinci fıkrasının ç bendine göre güncellenen rakamlarla yuvarlak hesapla 36.000 Türk lirasından 1.800.000 Türk lirasına kadar idari para cezası verilecek. İstisna olmadığı halde kayıt yaptırmayan veri sorumluları tespit edilirse bu yaptırım uygulanacak.

Uzatma kararlarını kimileri bekliyordu, kimileri sürpriz olarak değerlendirdi. Kimileri eleştirirken kimileri Kurum’un tüm sektörlere nefes aldırdığını belirtti. Tüm bu yorumlar aslında Kurum’un ne kadar büyük bir sorumluluk altında olduğunu da gözler önüne seriyor. Tarafımıza sektörden ulaşan bazı soruları paylaşmak isterim:

  • VERBİS’e kaydolanlar cezadan kesin olarak kurtulacak mı? Yoksa doğru ve güncel bilgilerle kaydolmak daha mı önemli?
  • VERBİS kayıtları ihbar kabul edilecek mi?
  • Eğer VERBİS kayıtları ihbar kabul edilecekse, kayıt başvurularının büyük bir kısmına ceza kesilmesi mi gerekecek?
  • Direkt ceza kesilecekse, ceza tutarları ne kadar olacak? Şirketten şirkete hangi kriterlere göre değişecek?

Tüm bu sorularla ilgili bazı fikirlerimiz var. Özetle; Kurum’un mevcut duruma iyi niyetle yaklaşarak gerçek ve tüzel kişilere, kamu kurum ve kuruluşlarına tekrar tekrar önemli telafi imkanları verdiğini düşünüyoruz. KVKK ile ilgili her konuda son sözü Kişisel Verileri Koruma Kurulu’nun söyleyeceğinin de tekrar altını çizmek isteriz.”

Hazırlanan Kişisel Veri İşleme Envanterleri Gerçek Durumları Yansıtıyor mu?

Vatansever, KVKK İdari Tedbirlere uyum çalışmalarında sıkıntılar olduğunu gözlemledikleri son başlık olarak birinci başlığa değineceğini belirterek kişisel veri işleme envanteri ile ilgili kritik detayların altını çizdi: “İdari tedbirlere uyum çalışmalarının temelinin ‘Kişisel Veri İşleme Envanteri Hazırlanması’ olduğunu düşünüyoruz. Temeli iyi atılmamış bir binanın ilk sarsıntıda hasar görmesi ya da çökmesi ne kadar yüksek ihtimal ise, gerçek durumu ortaya koymayan bir envanter de telafisi mümkün olmayan zararlara zemin hazırlayabilir. Peki hazırlanan Kişisel Veri İşleme Envanterleri gerçek durumları ortaya koymuyor mu? Bizce teorik kalıyor ve pratik durumu göstermiyor.

Bazı danışmanlık firmalarının hazırladığı, şirketlere ya da kamu kurumlarına idari ve teknik tavsiyeler içeren raporlar; zaten şirketlerin ya da kamu kurumlarının bildiklerini yazılı olarak vermekten öte geçmiyor. Kişisel Veri İşleme Envanteri diye bölümlerle haftalar hatta aylar süren görüşmeler sonucunda oluşturdukları Excel dokümanları maalesef sadece kenarda duruyor. Çünkü ne mevcut durumu sağlıklı olarak gösteriyor ne de gelecek için bir anlam ifade ediyor. Çok yüksek danışmanlık bedelleriyle hazırlanan bu dokümanlar ağırlıklı olarak müşteri beyanlarını baz alarak oluşturuluyor. Müşterinin bilinçli ya da bilinçsiz olarak söylemediği bilgiler, çalışan bilgisayarlarındaki kişisel verilerin yansıtılmadığı raporlar KVKK açısından aslında hiçbir anlam ifade etmiyor.”

Patriot Teknoloji A.Ş. Yönetim Kurulu Başkanı Şenol Vatansever, kişisel veri işleme envanterinin hazırlanması için önemli teknolojik altyapı desteği sağlayan yazılım çözümlerinin detaylarını anlattı: “Beyana dayalı manuel olarak değil, çağımıza uygun olarak yazılımlar ile otomatik olarak ortaya çıkarılmalı. Tüm sunuculardaki, tüm veri tabanlarındaki, tüm kullanıcı bilgisayarlarındaki kişisel veriler otomatik yöntemlerle taranmalı, raporlanmalı, kişisel veri içeren dokümanlar sınıflandırılmalı. Neden? Çünkü:

  • Şirket çalışanları, sunucunun belli bir yerinde durması gereken verileri sunucunun başka bir yerine ya da başka bir sunucuya ya da kendi bilgisayarına kopyalayabilir.
  • Veri tabanında durması gereken veriler, raporlar çekilerek e-postalar üzerinden şirket içindeki ya da dışındaki kişilere gönderilebilir. Bu kişiler kendi bilgisayarlarına kopyalayabilir.
  • Şirket bilgisayarlarında tutulmaması gereken daha önce çalıştığı şirketlerin müşterilerinin ya da tanıdıklarının kişisel verilerini de bilgisayarında tutabilir.

Bu örnekleri ilk defa duymuyoruz, yaygın olarak yaşanan durumlar. Kâğıt üzerinde kuralların belirlenmiş ve çalışanlara ilan edilmiş olması sistemin sağlıklı olarak işleyeceği anlamına gelmiyor. Doğru yazılımlarla denetim mekanizmalarının da işletilmesi gerekiyor. Şirketlerdeki teknoloji çeşitliliğine cevap verebilecek yazılımlar tercih edilmeli. Microsoft Windows ve Linux işletim sistemleri; Microsoft SQL, Oracle, MySQL, PostgreSQL, SQLite, H2 veri tabanları ve bunları kullanan çeşitli uygulamalar; PDF, Şifrelenmiş PDF, Microsoft Word, Microsoft Excel, CSV, TXT, TIFF, JPEG, GIF, PNG dahil olmak üzere çeşitli resim dosyaları ve bilinen yüzlerce dosya biçimi desteği olması önemli. Taranmış evraklarda en belirleyici kişisel veri olan T.C. Kimlik Numarası keşfini algoritmasına uygun olarak sıfır hata ile yapması süreçleri hızlandırır ve kolaylaştırır. Ek olarak; ad ve soyad, cep telefonu numarası, kredi kartı bilgileri, banka hesap bilgileri gibi Kişisel Verileri de -gerektiğinde OCR yaparak- tarayıp bulabilmeli ve raporlayabilmelidir. Silinmesi gereken dosyaları KVKK’ya uygun olarak silebilmelidir. Mahkemelerde delil olarak kullanabilmesi için yapılan tüm işlemlerin imzalı olarak zaman damgasıyla saklanması sağlanmalıdır. Bulduğu veri tabanı alanlarında içinde kişisel veri olanları KVKK’ya uygun olarak anonim hale getirebilmelidir. www.1kvkk.com web sitesinde bu kapsamda idari ve teknik tedbirler ile ilgili bilgiler alabilirsiniz.

Yazılım çözümleri kullanıldığında danışmanlık firmalarının hizmet verdikleri şirketlerin ya da kamu kurumlarının bölümleri ile haftalar hatta aylar boyunca yaptıkları verilerinizi nerelerde tutuyorsunuz gündemi olan toplantılar ortadan kalkıyor. Hizmet alan firmalar tasarruf ediyor. Hizmet veren firmalar danışmanlık ekiplerini birkaç firmaya yığmak yerine birçok firmaya aynı anda hizmet verebilecek duruma geliyor. Yazılım ile insan hataları ortadan kaldırılıyor. Otomatik taramalarda kişisel verilerin tahmin edilebilen ve hiç tahmin edilemeyen kısımlardan nasıl çıktığı görülüyor. Devamında bu verilen hangilerinin tutulacağına, hangilerinin silineceğine ve anonim hale getirileceğine karar veriliyor. Yazılım bunların tamamına teknolojik altyapı olarak destek veriyor. Size zamandan ve bütçeden kazandırıyor. Veri envanterinin yaşayan bir süreç olarak kurgulanması ve güncellemelerin VERBİS’e yansıtılması kritik öneme sahip. Kişisel verileri tarama operasyonu otomatik hale geldiği için veriler üzerinde tam kontrol sağlanabiliyor. Müşteri ya da Kurum taleplerine hızlı geri dönüş yapılabiliyor.”

BİDER Başkanı Şenol Vatansever, KVKK İdari ve Teknik Tedbirlere uyum ile ilgili konuşulacak çok detayın olduğunu belirterek sözlerini şu şekilde tamamladı: “Kurum’un KVKK ile ilgili konularda düzenleyeceği workshop’lar olursa üyelerimizle beraber katkı sunmaktan memnuniyet duyacağımızı da ifade etmek isterim. Organizasyon için emeği geçen herkese tekrar teşekkür ederim. Bu duygu ve düşüncelerle hepinizi saygıyla ve muhabbetle selamlıyorum.”