Kişisel verileri koruma kanunu iki yıl önce yayımlanmasına ve iki yıl kurumlara süre verilmesine rağmen ne yazık ki büyük bir gelişme sağlanamadı. KVKK danışmanlık hizmeti ve GDPR danışmanlık hizmeti veren bir kurum olarak saha çalışmalarımızda Kurumlarda, şirketlerde "KVKK açık rıza beyanı" ve "KVKK aydınlatma metni" dışında çalışma yapılmadığını üzülerek görülüyor. Kafalar karışık, bazı hukuk büroları ise kanunu aşırı bir şekilde yorumlayarak kurum çalışmalarında büyük bir emek zaiyatına neden oluyorlar. Kişisel Verileri Koruma Kurumu kanuna uyum konusunda sıkıntılar ortada. Bugünlerde medyaya yansıyan olayları KVKK'nın dikkate aldığını görüyoruz. Veri sorumlularını uyardı. Kişisel Verileri Koruma Kurumu, kurum ve işletmelerdeki veri sorumluları tarafından "uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınması" uyarısında bulunuldu.

VMİ Danışmanlık olarak şunu belirtmek isteriz ki bazı kurumlar KVKK ile ilgili uyum sıkıntısı yaşıyor. Resmi Gazete'de yayımlanarak yürürlüğe giren 6698 sayılı kanunun gereğinin yapılması konusunda şirketlerde ve kamu kurumlarında bir ayak sürüme durumu var. Kişisel Verileri Koruma Kurumu'nun "Veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin, yetkisi ve amacı dışında söz konusu verileri işlemesi hususunun değerlendirilmesine" ilişkin ilke kararı Resmi Gazete'de yayımlandı.

Veri sorumlusu nezdinde bulundukları pozisyon veya görev itibarıyla kişisel verilere erişime yetkisi olanlar tarafından, işleme amacı dışında söz konusu verilerin işlendiği yönünde Kuruma iletilen ihbar ve şikayetlerin değerlendirilmesi sonucu alınan ilke kararında, uygulamada yaşanan problemlerin önüne geçilebilmesi hedefleniyor.

KVKK tarafından alınan ilke kararında, şu şu şekilde:

"Veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişime yetkisi olanlar tarafından, yetkilerini aşarak ve işleme amacı dışında söz konusu verilerin işlendiği hususunda Kuruma intikal eden ihbar ve şikayetlere ilişkin yapılan değerlendirme sonucunda, uygulamada yaşanan problemlerin önüne geçilebilmesini teminen;

- Bir veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişme yetkisi olanlar tarafından, yetkileri aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, kişisel amaçlara veya nedenlere bağlı olarak işleme amacı dışında söz konusu kişisel verilerin işlenmesi ve/veya bu verilerin üçüncü kişilerle paylaşılması 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil edeceğinden, bu kapsamdaki eylemlerin önlenmesi amacıyla veri sorumlularınca uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınması gerektiği hususunda veri sorumlularının bilgilendirilmesine,

- Kanunun 15 nci maddesinin (6) numaralı fıkrası uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına,

oy birliği ile karar verilmiştir." (*1)

Medyada sıklıkla yer alan sosyal medya paylaşımlarının ne yazık ki bazı kamu kurumu çalışanlarınca dışarıya sızdırılması kurumları KVKK ile ilgili zor durumda bırakmış gözüküyor. Kurumlar Bilgi Güvenliği Yönetim Sistemlerini kurmak konusunda yavaş veya isteksiz davranıyor. Bilgi güvenliği danışmanlık hizmetleri ve Siber güvenlik danışmanlık hizmetleri veren VMİ Danışmanlık. Bilgi Güvenliği Yönetim Sistemi ve Siber güvenlik danışmanlığı hizmetindeki başarılı çalışmalarını KVKK danışmanlığı, GDPR danışmanlığı konusunda da devam ettiriyor.

Kişisel Verileri Koruma Kurumu'na ve Kişisel Verileri Koruma Kanunu'na göre Veri Sorumlusu kimdir?

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemektedir.

Kanuna göre veri sorumlusu kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.(*2)

Kişsel verilerin korunması kanunu'nun veri güvenliğine ilişkin 12. maddesindee kurumların veri sorumlusuna çeşitli yükümlülükler verilmiştir. İşte o yükümlülükler üç ana başlıkta toplanmıştır;

1- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

2- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

3- Kişisel verilerin muhafazasını sağlamak

Kurumların veri sorumluları bu yükümlülüklerini yerine getirmek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadırlar.

Kişisel Verileri Koruma Kanunu'na bir an önce uyum sağlamalısınız. Hatta GDPR danışmanlığı alarak GDPR'a uyum sağlamanızda büyük fayda var. Özellikle yazılım firmaları GDPR konusunda çalışma yapmazlar ise zor durumda kalabilirler. KVKK uyumu sağlamış olmanız sizin ceza almayacağınız anlamına gelmez. Siz uyum uyumu sağlarsınız fakat içeride herhangi bir hatadan kaynaklı kişisel veri ifşası gerçekleşirse en azından kanun kapsamında hafifletici sebepleriniz olur daha düşük cezalar alabilirsiniz. Ama KVKK ile ilgili hiç bir uyum çalışmanız yok ise büyük cezalar alacağınız kesindir. KVKK danışmanlık hizmetleri ve GDPR danışmanlık hizmeti almanız kanunlara uyumda daha hızlı yol almanızı sağlar.

KVKK danışmanlık, GDPR danışmanlık, Kişisel verileri Koruma kanunu (6698) Kaynak: *1-*2 Resmi Gazete