Ülkemizde 2016 yılının Nisan ayında çıkarılan Kişisel Verilerin Korunması Kanunu, kişisel veri güvenliği için birçok hukuki ve teknik yükümlülük getirmiştir ve bunlar hali hazırda yürürlükte olup ayrıca belirli şartları karşılayan veri sorumlusu şirketlere getirilen kayıt (VERBİS) yükümlülüğü 31.12.2021 tarihine kadar uzatılmıştır. Son dönemde farklı sektörlerden markalara kesilen cezalarla gündeme gelen KVKK ile ilgili son gelişmeleri Avukat Özlem Kurt ile konuştuk.
- Kişisel verileri koruma konusunda şu anda gelinen noktayı nasıl değerlendiriyorsunuz?
- Kişisel verinin ekonomik değeri ve kişilik haklarına ilişkin ortaya çıkardığı riskler bakımından korunmasının öneminin yeteri kadar anlaşılamadığı ve korunması için alınması gereken önlemlerin gereği gibi yerine getirilmediği kanısındayım. Bunun temel sebebi, veri koruma kültürünün tesis edilmesinin dijital dönüşüm süreçlerinin en önemli aşamalarından biri olduğunun tam olarak anlatılamayıp, konunun yalnızca VERBİS kaydına indirgenmiş olmasıdır. Oysaki VERBİS kaydı, diğer birçok hukuki ve teknik uyum kriterinin yanında ve ek olarak belirli eşikleri aşan şirketlere getirilen bir yükümlülüktür. Bu yanlış algıyı pekiştiren diğer bir etken de kayıt için şirketlere tanınan sürelerin birkaç kez uzatılarak konunun ciddiyetinin sarsılmış olmasıdır. Ebetteki pandemi nedeniyle şirketlerin önceliği değişmiş ve özellikle sağlık ve ekonomik kaygılar ön plana çıkmış ve bu konu da biraz gündemden düşmeye mahkum olmuştur. Ancak belirtmek gerekir ki Kişisel Verileri Koruma Kurulu bu dönemde de çalışmalarını sürdürmüş ve birçok ceza kesmiştir. Bunlardan marka ve ceza miktarı nedeniyle kamuoyunun dikkatini çekenler çokça duyuluyor olsa da aslında çok sayıda irili ufaklı şirkete Kanunda düzenlenen farklı hukuki ve teknik önemlerin alınmaması gerekçesiyle cezalar kesilmiştir.
- Sizce verilen cezalar caydırıcı mı?
- Cezalar 2021 yılı için belirlenen en düşük 9.834 TL ila 1.966,862 TL arasında olup, ihlal tipine ve kapsamına göre değişmektedir. Ancak şu ana kadar kamuoyunda da dikkat çeken cezalara bakıldığında oldukça yüksek cezalar kesiliyor ve Kurum'un burada önemli bir takdir yetkisi olduğu dikkat çekiyor. Cezalar alanındaki hukuki sorun, ceza miktarlarının belirlenmesinde ve hesaplanmasında olması gereken metodoloji eksikliğidir ve biz hukukçular verilen kararların takibi ile bahsi geçen metodolojiyi belirlemeye çalıştığımız bir süreçteyiz. Ancak bu noktada ülkemizdeki sürecin Avrupa Hukuku kapsamındaki veri koruma yasa ve uygulamalarına paralel olarak yürüdüğünü ve AB'de halihazırda verilen cezaların Türkiye'de verilenlerden çok daha yüksek olduğunun altını önemle çizmek gerekir.
- "Farkındalık arttıkça kesilen ceza sayısı da artabilir"?
- Kurul'un ceza kesmesi ile sonuçlanan incelemelerin büyük çoğunluğu Kurum'a yapılan şikayetler üzerine başlamıştır. Veri sahiplerinin bu konuda farkındalıkları arttıkça ve veri sorumluları gerekli tedbirleri almazsa bu şikayetlerin sayısının her geçen gün artacağını beklemek yanlış olmaz. Bu konu, özellikle işverenler açısından özellikle iş hukuku süreçleri kapsamında önemli bir tehdit olarak karşımıza çıkmaktadır. Önemli ihlal tiplerinden biri olan veri sızıntısı, gerekli teknik koruma önlemlerinin alınmamış olması halinde sıkça ortaya çıkmakta ve bu kapsamda özellikle e-ticaret siteleri tehdit altında bulunmaktadır. Ayrıca sektör ve faaliyet konusuna bakmaksızın veri sahiplerinin başvuru hakkı kapsamında, şirketler tarafından başvuruyu değerlendirme ve cevap verme süreçlerinin doğru şekilde ve zamanında işletilememesi de önemli risklerden biridir.
- Pandemi süreci hukukçular için nasıl geçiyor?
- Covid-19 Pandemisi diğer tüm meslek dallarında olduğu gibi hukukçular açısından da çok zor geçiyor. Kurt&Partners olarak bu süreçte faaliyetlerimizi sürdürürken çalışanlarımızın da sağlığını koruma adına tedbirlerimizi aldık. Hafta sonu yasaklarının süresinin uzamasıyla "Cumartesi Gibi" adını verdiğimiz bir uygulamayı hayata geçirdik ve çalışanlarımızın hafta sonu izinlerini hafta içi kullanmalarını sağlayarak onların dışarıdaki ihtiyaçlarını karşılamaları için tatil günü oluşturduk.
Pandemi dönemi
Bu dönemde, müvekkillerimizin KVKK kapsamına giren ihtiyaçları, bu alandaki hukuki uyumun sürdürülebilirliği bakımından yaşanan sorunlar ve tam olarak veri koruma yapısının işlerliği için nelerin gerekli olduğu konusunda edindiğimiz tecrübeler ile bu riskleri bertaraf etmek ve en az maliyetle KVKK uyum süreçlerini işletmek için KV.digital isminde bir yazılım geliştirdik. Şirketlerin hukuki uyum için gerekli dokümanlarını tek bir yerden temin ettikleri, veri sahibi başvuruları dahil olmak üzere tüm uyum süreçlerini tek bir program ile yönettikleri, artık ağırlıklı olarak bilgisayar veya bulut sistemlerinde saklanan verilerimizin ömürlerinin takip edilmesi ve silme kayıtlarının tutulması şirketler için büyük bir organizasyon gerektiriyor. Hukuken tutulması gereken Kişisel Veri Envanterinin doğru ve güncel tutulması da başlı başına bir risk doğuran bir uyum yükümlülüğü ve hukuki gerekliliktir. Bu programın en önemli katma değerlerinden biri de bu envanterin buradan takibinin yapılabilecek ve sürekli güncel tutulabilecek olmasıdır. Veri sahibi şirketlerin yükümlülüklerinden biri de veri sahibi başvurularına uygun şekilde ve en geç 30 gün içinde cevap vermektir. Bu program ile güncel envanter kullanılarak bahsi geçen başvuru sahibi verisinin adresini tespit ve yapılması gerekenlerin belirlenmesi söz konusu olacak ve başvuru takip süreci bu program ile yönetilecek ve zamanında tamamlanması sağlanacaktır.