Sitelerde kapılara borçlu listeleri artık asılamayacak!

Bir süredir gündemimizde kişisel verilerin korunması meselesi var. Artan siber suçlar, verilerin gizliliğin kuralına riayet etmeyen kurumlar nedeniyle ortaya çıkan sızıntılar, Avrupa Birliği (AB) yasalarına yönelik uyum çalışmaları gündemin konu başlıklarını oluşturuyor. Bir süre önce yürürlüğe giren Kişisel Verilerin Korunması Kanunu hayatımızda yeni bir dönemin başlamasına yol açtı.

Kişisel Verileri Koruma Kurumu’ndan (KVKK) yapılan son açıklamaya göre, veri işleyen şirketler veri ihlali yaşamaları durumunda bunu KVKK’ya ve verisi ihlal edilen kişilere bildirmek zorunda. Kuruma şimdiye kadar 129 veri ihlal bildirimi yapıldı. Bu ihlal bildirimlerinin 36 tanesi kurumun internet sitesinde yayınlandı. Kişisel veri ihlallerinden yaklaşık 3 milyon kişi etkilendi. Kişisel veri ihlal bildirimleri, ihlalden etkilenen kişiler hakkında ortaya çıkabilecek olumsuz sonuçların önüne geçilmesini hedefliyor.

KRİTİK 72 SAAT

6698 sayılı Kanun ve ilgili Kurul kararına göre işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumluları bu durumu en geç 72 saat içerisinde KVKK’ya bildirmek zorundalar. Veri ihlal bildirimleri, gerekli görülmesi durumunda kurumun web sitesinden veya başka bir yöntemle kamuoyuna duyuruluyor. 72 saat içinde bildirim yapılamaması halinde ise, yapılacak bildirimle birlikte gecikmenin nedenlerinin de açıklanması gerekiyor. Yapılacak bildirimler, kurumun web sitesinde yer alan “Kişisel Veri İhlal Bildirim Formu” üzerinden gerçekleştiriliyor. Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması halinde ise, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde kurula bildirim yapılması gerekiyor.

Şirketlerin veri ihlali müdahale planlarını hazırlamaları, belirli aralıklarla bu planın gözden geçirilmesi yükümlülüğü de bulunuyor. Söz konusu KVKK kararma göre, veri sorumlusu tarafından ilgili kişilere (müşteriler, üyeler gibi) yapılacak olan ihlal bildiriminin açık ve sade bir dille yapılmasının yanı sıra, ihlalin ne zaman gerçekleştiği, hangi kişisel verilerin ihlalden etkilendiği, kişisel veri ihlalinin olası sonuçları ve alınan önlemler de belirtilmek zorunda. Ayrıca ilgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi gibi iletişim yollarının da yine ilgili kişiye yapılacak ihlal bildiriminde yer alması gerekiyor.

Av. Fırat KAVLAK / Kavlak Avukatlık Bürosu Kurucu Ortağı

"Site yönetimleri bile sorumlu"

Bu kanundan herkes, hatta apartman yöneticisi bile sorumlu. Sitelerde, apartmanlarda kapılara borçlu listeleri artık asılamayacak. Benzer bir şekilde üniversitelerde sınav sonuçları da herkesin görebileceği yerlerde olamayacak.

Örneğin, bu konu nedeniyle Mimar Sinan Üniversitesi’ne uyarı geldi. KVKK, şirketlerin sadece iş yaptığı iş ortakları veya dokundukları müşterileri değil, şirket çalışanlarını da kapsıyor.

Pek çok şirket KVKK ile ilgili bu konuyu gözden kaçırıyor. KVKK hayatımızın her alanını ve her türden şirketi ilgilendiriyor. Mesela tüm restoranlarda kameralarla izleniyorsanız bunun yazdığı tabelalar olmalı. Ya da elemanınıza cep telefonu veriyorsunuz içinde takip cihazı varsa bunu mutlaka belirtmeniz ve onayını almanız gerekli. Pek çok şirket işe giriş çıkışlarda parmak izi ve göz taraması sistemini kullanıyor. Bunlar da biyometrik veriler demek. KVKK bu tarz konularda açık rıza alma zorunluğu getiriyor. Şirketlerin buna uyum sağlaması ve bir politikası olması lazım. Bu politikalar yazılı olarak kayda geçirilmeli. Bilgilendirme yükümlülüklerini yerine getirmeme, Kişisel verilerin güvenliği yükümlülüğünü yerine getirmeme, Sicile kayıt olmama ve bildirim yapmama, Kurul kararlarını yerine getirmeme kabahatleri kapsamında 1 milyon TL'ye kadar idari para cezası yaptırımı var.