Süre bu gece doluyor! Yapmayan yandı 1 milyon TL cezası var...

İş dünyasından Facebook ve Twitter gibi sosyal devlerine birçok noktada büyük değişiklikleri beraberinde getiren Kişisel Verilerin Korunması Kanunu hakkında Haber7'den Fuat Öner'in sorularına cevaplayan Avukat Serpil Özcan, "Kişisel Verilerin Korunması Kanunu’na göre yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları ile yurt dışında yerleşik olan veri sorumlularının bugünün sonuna (30 Eylül) kadar Veri Sorumluları Sicil Bilgi Sistemi'ne (VERBİS) kayıt işlemlerini tamamlamış olması gerekiyor." uyarısında bulundu.

KVKK NEDİR?

Kişisel Verilerin Korunması Kanunun son dönemde adını oldukça fazla duysak da çalışmaların 2000’li yılların başlarına kadar uzadığını söyleyen Özcan  "Öncelikle 2010 yılında anayasal düzlemde değişiklikler oldu hatta daha öncesinde 2005 yılında ceza kanununa eklemeler yapıldı. Bunlar kişisel veriler bakımdan suç oluşturan fiillere cezalar tatbik edildi. En son olarak 2016 yılında Kişisel Verileri Koruma Kanunu yürüklüğe girdi ve 2018 Nisan ayı sonuna kadar şirketlere uyum süreci tanındı. Veri sorumluları bu uyum sürecinde ellerinde tuttukları sistematik verileri inceleyecekler ve fazla tuttukları verileri çıkaracaklar ve açık rızaya tabi verilerinde açık rızaları var mı diye tetkik edecekler bundan sonrada işlemlerine bu şekilde devam edecek.

1 MİLYONA VARAN CEZALAR

VERBİS’e kayıt yaptırma süresi doluyor. Kişisel Verilerin Korunması Kanunu’nun sadece bir noktasını oluşturan VERBİS (Veri Sorumluları Sicili) Kayıt süresi 30 Eylül’de son buluyor. VERBİS’e yaptırmayanları 1 milyon TL’ye kadar bir ceza bekliyor." dedi.

KİŞİSEL VERİ NELERİ KAPSIYOR?
-Saç renginiz bile kişisel bir veridir

Adımız ve soyadımızın bile kişisel bir veri olduğunun altını çizen Özcan "Kişisel veri dediğimizde önce adımız soyadımız, T.C. kimlik numaramız, pasaport bilgilerimiz bununda yanında göz rengimiz sağlık verilerimiz. Kanunumuz sağlık verilerini özel nitelikli veri grubuna sokmuştur. Bunun içinde etnik köken, dini inanış gibi özel kategorilerde var. Niye bunları ayırmış çünkü özel korumaya tabi tutmuş ama adımızda soyadımızda doğum talihimiz gibi bizi anlatan bizi biz kılan tüm veriler bizim kişisel verilerimizdir.

Banka verilerimiz alışveriş geçmişimiz gibi bilgilerin hepsi sistematik olarak tutuluyor ve gruplandırılıyorsa bu işlemi yapan kişiye veri sorumlusu diyoruz. Kişisel verilerimizi tuttuğu içinde bir takım yükümlülüklere sahip." şeklinde konuştu.

KVKK’NIN AMACI

Bu kanunun amacı özetle verilerimizin depolanmasını sistematik olarak düzene sokmak diyen Özcan "Bizim her yerde verimiz var. Bir cep telefonu hattı alırken bile kimlik fotokopisi veriyoruz. Bu verileri tutanların disipline edilmesi, neden tutuyor, amacı ne? Ne kadar süre tutacak? Ve rızaya tabi mi? KVKK kanunu bunları sistematik hale getiriyor ve sorusunu soruyor cevabını veremeyen için de ceza kesiyor. Burada sadece para cezası değil hapis cezası da söz konusu olabilir." dedi.

KVKK’NIN İŞ VERENE VE ÇALIŞANA YÜKÜMLÜKÜKLERİ
-iş veren işçinin rızasını almak zorunda

KVKK'nın iş dünyasında önemli değişiklikler getireceğini söyleyen Özcan "Burada öncelikle çalışana aydınlatma yapılması ve açık rızasının alınması gereken ve rıza gerektirmeyen noktalar var. Örneğin, sigorta girişini yapmak için gereken veriler için açık rıza almama gerek yok ancak şirkete girişlerde kullanılan parmak izi ve yüz tarama gibi sistemlerde çalışanın rızası gerekiyor. Kişisel Verilerin Korunması Kurulu tarafından bu noktada birkaç karar çıktı ve bu kararlarda biyometrik veriler dediğimiz bu ­verilerin kullanılmaması

Çalışanlar  bu verilerin kullanılmasını baştan işyerinde çalışabilmek için kabul ediyor ancak kurul burada ölçüllük yok diyor. Kurul bu durumlarda İşçiyi çalıştırmak için alıyorsun o da bu işyerinde çalışmak için bu kuralı kabul ediyor ama aslında bu onun özgür iradesi değildir diyor. Bizler çok zorunlu durumlar harici bu verilerin kullanılmasını istemiyoruz. Zorunlu durumlarda ise önce işçi aydınlatılacak sonra açık rızası alınacak." ifadelerini kullandı.

KVKK’DA CEZA VE YAPTIRIMLAR

Burada ceza ile karşı karşıya kalacakların veri sorumlularını olduğunun altını çizen Özcan "Veri sorumlusu da yüzde 99 şirketler oluyor. 50 ve üzeri çalışanları olan ve 25 milyon bilançoya sahip şirketlerimizin hepsinin veri sorumluları siciline kayıt olması gerekiyor. Burada 1 milyona varan cezalar söz konusu. Bunun haricinde bireysel olarak yapmış olduğumuz ve karşı tarafa verdiğimiz zararlardan dolayı hakkımızda kamu davası açılabilir. Bunlar yanında diğer para cezaları da var. Kişisel Verileri Koruma Kurulu şikayetleri dikkate alarak gerekli incelemeleri yapıyor ve ceza kesiyor. Kişisel verilerinizin izinsiz kullanıldığını düşünüyorsanız önce veri sorumlusuna başvuruyorsunuz, 30 günlük süre var bu süre zarfında veri sorumlusu size cevap vermezse ya da verdiği cevabı yeterli bulmazsanız 30 gün içinde kurula başvurabiliyorsunuz. Kurula başvuru ücretsiz olarak e-Devlet üzerinden çok kolay bir şekilde yapılabiliyor. Bu zamana kadar kurula 4839 ihbar ve şikayet iletişmiş bunların 3769’u sonuçlanmış 30 milyon idari para cezası kesilmiş.

Örneğin bir siber saldırı sonrası veri sorumlusu bunu kurula bildirmek zorunda bunun için 72 saat süreniz var. Bu saat içerisinde bildirim yapmazsanız idari para cezası var. Ancak sadece bildirimi yapmak yeterli değil burada kurul güvenliğiniz yerinde miydi, sızma testi yaptınız mı bunlara da bakıyor. Kurul bu durumda da ceza verebiliyor." dedi.

Sosyal medyada kendi paylaştığımız görüntüler ya da başkasına ait paylaştığımız veriler yüzünden Kişisel Verilerin Korunması Kurulu ile olmasa da ceza ve tazminat hukuku anlamında başımız derde sokabilir.