Dijital Biz Dergisi | Editör

 

Şenol VATANSEVER

 

Mayıs 2021

 

 

KVKK’da Veri Keşfi Neden Önemlidir?

 

7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ülkemizde kişisel verilerin korunması alanında yeni bir dönemin başlamasını sağladı.

Verisi işlenen tüm vatandaşlarımız şirketlerin ya da kurumların veri sorumlularına başvurarak; kişisel verilerinin işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, kişisel verilerin silinmesini veya yok edilmesini isteme, yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme haklarına sahip. Ek olarak işlenen verilerin otomatik sistemler vasıtasıyla analiz edilmesiyle kendi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme gibi çok geniş haklara sahip. Vatandaşlarımız kişisel verileri konusunda sahip olduğu hakların farkında olmalı ve harekete geçerek şirketlerin ya da kurumların verileri rızaları olmadan saklamalarına ya da kullanmalarına izin vermemeli.

KVKK İdari ve Teknik Tedbirlere uyum kapsamında birçok yanlışlıklar yapılıyor. Şikâyet ve ihbar üzerine yapılan denetimler sonucunda cezalar düzenleniyor. KVKK tedbirlerine uyum ve yaşayan sürecin yönetilmesi çalışmalarında en kritik olarak gördüğümüz başlık “Kişisel Veri İşleme Envanteri Hazırlanması”. Bazı danışmanlık firmalarının “Kişisel Veri İşleme Envanteri” hazırlamak üzere hizmet verdikleri kamu kurumlarının ya da özel sektör firmalarının personelleriyle haftalar hatta aylar süren görüşmeler sonucunda oluşturdukları dokümanlar maalesef ne mevcut durumu sağlıklı olarak gösteriyor ne de gelecek için bir anlam ifade ediyor. Bu dokümanlar ağırlıklı olarak personel beyanlarını baz alarak oluşturuluyor. Personelin bilinçli ya da bilinçsiz olarak söylemediği bilgiler, personel bilgisayarlarındaki kişisel verilerin yansıtılmadığı raporlar KVKK açısından aslında hiçbir anlam ifade etmiyor. Kâğıt üzerinde kuralların belirlenmiş ve çalışanlara ilan edilmiş olması sistemin sağlıklı olarak işleyeceği anlamına gelmiyor. Doğru yazılımlarla denetim mekanizmalarının da işletilmesi gerekiyor. Temeli iyi atılmamış bir binanın ilk depremde hasar görmesi ya da çökmesi ne kadar yüksek ihtimal ise, gerçek durumu ortaya koymayan bir envanter de telafisi mümkün olmayan zararlara zemin hazırlayabilir. Envanter, beyana dayalı manuel olarak değil, çağımıza uygun şekilde yazılımlar ile otomatik olarak ortaya çıkarılmalı. Tüm sunuculardaki, tüm veri tabanlarındaki, tüm personel bilgisayarlarındaki kişisel veriler otomatik yöntemlerle taranmalı, raporlanmalı, kişisel veri içeren dokümanlar sınıflandırılmalı. Otomatik taramalarda kişisel veriler tahmin edilebilen ve hiç tahmin edilemeyen kısımlardan çıkabiliyor. Kişisel verileri tarama operasyonu otomatik hale geldiği için veriler üzerinde tam kontrol sağlanabiliyor. Müşteri ya da Kurum taleplerine hızlı geri dönüş yapılabiliyor.

Yazılımların taranmış evraklarda en belirleyici kişisel veri olan T.C. Kimlik Numarası keşfini algoritmasına uygun olarak sıfır hata ile yapması süreçleri hızlandırır ve kolaylaştırır. Silinmesi gereken dosyaları KVKK’ya uygun olarak silebilmeli. Mahkemelerde delil olarak kullanabilmesi için yapılan tüm işlemlerin imzalı olarak zaman damgasıyla saklanması sağlanmalı. Bulduğu veri tabanı alanlarında içinde kişisel veri olanları KVKK’ya uygun olarak anonim hale getirebilmeli.

Kişisel verilerin ihlali durumunda, cezai yaptırım ihlale yol açan çalışana değil işverene uygulanıyor. İşletmeler yaşadıkları her ihlal ve ihmalde 5 bin TL’den başlayan ve 2 milyon TL’ye kadar çıkabilen idari para cezasıyla ya da sorumlular hakkında yürütülecek 1 yıldan 6 yıla kadar hapis cezası ile karşı karşıya kalabiliyor.

Tüm özel sektör şirketlerine ve kamu kurumlarına KVKK İdari ve Teknik Tedbirlere tam uyumlu olma çağrısında bulunuyorum.