Covid-19 pandemisinin ortasında, şirketlerin erteleme beklediği takvimlerden biri, 30 Haziran'da sona erecek olan Verbis kayıt zorunluluğu. buna göre;
Kişisel Verileri Koruma Kurumu’nun 27 Aralık 2019 tarihinde aldığı karar gereği, gerçek ve tüzel kişilerin VERBİS kayıt ve envanter hazırlama süresi 6698 sayılı Kanunun Geçici 1 inci maddesine göre uzatılmıştır. Karara göre aşağıdaki tarihlere kadar kayıt yapılması zorunludur.
Kişisel Verileri Koruma Kurumu’nun 27 Aralık 2019 tarihinde aldığı karar gereği, gerçek ve tüzel kişilerin VERBİS kayıt ve envanter hazırlama süresi 6698 sayılı Kanunun Geçici 1 inci maddesine göre uzatılmıştır. Karara göre aşağıdaki tarihlere kadar kayıt yapılması zorunludur.
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 30.06.2020 tarihine,
Yurtdışında yerleşik gerçek ve tüzel kişi sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 30.06.2020 tarihine,
Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek veya tüzel kişi sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 30.09.2020 tarihine,
Kamu kurum ve kuruluşu veri sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 31.12.2020 tarihine, kayıt yaptırmaları zorunludur.
Yurtdışında yerleşik gerçek ve tüzel kişi sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 30.06.2020 tarihine,
Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek veya tüzel kişi sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 30.09.2020 tarihine,
Kamu kurum ve kuruluşu veri sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 31.12.2020 tarihine, kayıt yaptırmaları zorunludur.
Kişisel verinin tanımı geniş, malum. Ad soyad, tck no, gsm no, mail adresi net kişisel bilgi; bunun yanında bu bilgilerden bir ikisinin yada mesela sadece isminin (soyadı olmadan) yanında aktarılabilecek lakap, memleket, taraftarı olduğu takım, saç şekli vs. de kişisel bilgi olarak kabul edilebiliyor. Yani, gerçek bir kişinin tanınmasını, bulunmasını sağlayabilecek hemen her türlü bilgi kapsam içi kabul ediliyor.
Bu anlamda herkes, KVKK’nın muhatabı.
Ticari kurumlar ise bu muhataplığın yanında bir de aşama aşama, Verbis
aracılığıyla kişisel veri politikalarını oluşturmaya ve yönetmeye
yönlendiriliyorlar.
Kişisel Verileri Koruma Kurumu, şu ana
kadar ki pratikleriyle en çok nelerin üzerinde durduğunu ortaya koyuyor
aslında;
- Kişiden gereğinden fazla
kişisel bilgi alınmasından,
- Nitelikli kişisel
bilgilerin alternatifsiz alınmasından,
- Kişisel verilerin
satılmasından, paylaşılmasından, yurt dışına çıkarılmasından hazzetmiyor.
Bunun yanında KVKK / Verbis muhatabı
kurumların
- Ticari amaçla elde
edilen kişisel verilerin güvenliğinin sağlandığından (hem dijital, hem
fiziksel),
- Kişisel verisinin
akıbetini soran gerçek kişilere yanıt verebilecek bir kayıt ve envanter
sistemin olduğundan, emin ve sorumlu olmalarını istiyor.
Tanımdaki anlamda kişisel veriyi herhangi
bir kurum birçok kanaldan alıyor; müşteri bilgisi, sözleşmelerle gelen bilgi,
tedarikçi ilişkileriyle gelen bilgi, personel bilgisi vs.
Küçük / büyük (ciro anlamında değil de
temas ettiği kişi sayısı anlamında) her kurumda bu çalışma aslında 3 ayaklı
yürütülüyor:
- Kurumun işleyişini
tanımlama ve bunun üzerinden kişisel verilerin hangi kanallardan geldiğini
ve hangi kanallarla iletildiğini belirleme.
- Dijital altyapı
incelemesi (mail, mail sunucuları, kurum sunucuları, network altyapısı,
sistem şifreleme / yetkilendirme vs.
- Kurumun kişisel veri
politikasının belirlenmesi. Bunun üzerinden de;
- Kişisel verileri
alınanlara dönük aydınlatma metinlerinin hazırlanması (bu metinlerde
hangi tip kişisel verilerin alındığı, kimlerle paylaşıldığı /
paylaşılacağı, yurt dışına gönderilip gönderilmeyeceği, anonimleştirilip
anonimleştirilmeyeceği vs. bilgiler verilir.
- Aydınlatma metinlerinin
paralelinde, kimi kişisel bilgilerin alınabileceğine dair kişilerin açık
rıza beyanlarının alınması gerekir.
- Gerekiyorsa, dijital
ortamda saklanan kişisel verilerin “silinmesi ya da anonimleştirilmesi”
planlanır ve uygulanır.
Tüm bunların sonunda da, toplanan tüm
bilgilerle “kurumun kişisel veri envanteri” hazırlanır ve bu envantere göre de
Verbis kaydı yapılır.
Bunlar bittikten sonra da kurumun kişisel
veri envanterini güncel tutması ve gerektiğinde aynı güncelliği Verbis’e
taşıması önemli, yani kurum kendi içinden de bu işle ilgilenecek bir kişi
belirlerse iyi olur.
Kurumda KVKK'ya dönük uygulamaları, yasal gereklilik dolayısıyla yapılması gereken bir "iş'ten" çok, bir proje olarak ele almak daha sağlıklı olacaktır. Buraya kadar yazılanlardan da anlaşılacağı üzere bu proje ekibinin içerisinde de;
- Personelle ilişkileri
yürüten bir kişi,
- İş süreçlerini ve
Çalışanların “çalışma tarzlarını” (kişisel veri alma / verme bağlamında
düşünelim) bilen bir kişi, (eğer tamamen free çalışma tarzı varsa -her
çalışan kendi ilişkisini kendi bağlantısıyla yürütür- o zaman çalışanların
tamamıyla görüşmek gerekebilir.)
- Dijital altyapılarını bilen bir kişi (mail / mesajlaşma / web konferans vs. sistemlerini ismen tanımlayabilen, mail sunucusunun nerede olduğunu bilen ya da gerekiyorsa sorup öğrenebilecek bir kişi)… yer alması olumlu olacaktır.
0 Yorumlar