Kişisel Verileri Koruma Kanunu kapsamında; diş hekimliği, rehabilitasyon kliniği ve eczane gibi kişilerin özel verilerini bulunduran kurumların kişisel veri işleme envanterini hazırladıktan sonra Veri Sorumluları Sicil Bilgi Sistemi (VERBİS)‘ne kayıt yaptırmaları gerekiyor. Geçtiğimiz yılın Eylül ayında işlemin nasıl yapılacağına dair Kişisel Verileri Koruma Kurumu tarafından tanıtıcı kısa bir video yayınlanmıştı.
31 Mart 2021’e kadar kurumların tamamlaması gereken bu kayıt eğer yapılmazsa kurumlara 2 milyon liraya kadar ceza kesilecek. Ancak mevcut kurumların henüz yüzde 10’unun bile işlemleri gerçekleştirmediği görülüyor. Son zamanlarda sosyal ağlar aracılığıyla da önemi gündeme sıkça gelen kişisel ve özel verilerin güvenliği tüm dünya için oldukça hassas bir nokta oluşturuyor.
Ülkemizde de beş yıldır yürürlükte olan Kişisel Verilerin Korunması Kanunu (KVKK), bu anlamda kurumlara ve şirketlere önemli sorumluluklar yüklüyor. Bu kanuna göre, yıllık çalışan sayısı 50’nin ve cirosu 25 milyon liranın altında olan şirketlerin Mart ayının sonuna kadar veri sorumlularını VERBİS’e kaydetmesi gerekiyor. Özel nitelikli kişisel verileri işleyerek çalışan hastane, eczane, diyetisyen gibi kliniklerin ve buna benzer kurum ve belediye şirketleri bu sistemin kapsamında bulunuyor.
Özel Verilerin Saklanması Kadar Güvenliği De Önemli
Bu sistem, kurumların ya da şirketlerin faaliyetleri kapsamında verileri ne şekilde sakladıklarına dair bildirim girmelerinden oluşuyor. Yani kurum veya şirketler bu sisteme müşterilerinin yaşı, kimlik numarası gibi bilgilerini değil, bu özel verileri ne amaçla tuttuğu, ne kadar süre sakladığı, bilgileri nasıl analiz ettiği ve yurtdışına transfer edip etmediği gibi bildirimleri Veri Sorumluları Sicil Bilgi Sistemi’ne işliyor.
Küresel KVKK CEO’su Ümit Gediman, konuyla ilgili; “Şirket olarak güvenlik kamerası kullanıyorsunuz. Artık bu kamera kaydını neden tuttuğunuzu, görüntüleri nasıl sakladığınızı VERBİS’e bildirmek gibi bir sorumluluğunuz var. Fakat çoğu şirket bu yükümlülüğün farkında değil.” diye açıklama yaptı. Ayrıca Mart ayının sonuna kadar bu sorumluluğu yerine getirmeyenlere uygulanacak para cezasının şirketin sahip olduğu özel veri hacmine, şube sayısına ve çalışan sayısına göre değişeceğini de sözlerine ekledi.
Şirketin bu yükümlülüğü hemen yerine getirmesinin zor olmasının yanı sıra, verilerle ilgili sistemde çok fazla ayrıntı bulunduğundan sistemi bilen ve uzman kişiler tarafından personele eğitim verilmesi de gerekiyor. DPC Kişisel Veri Koruma Danışmanlığı CEO’su Sefa Karcıoğlu, bir kişi de çalışıyor olsa kişilerin özel verilerini işleyerek çalışan (doktor, eczane, optik dükkânları, belediye ve diğer kamu kurumları hatta odaların) herkesin bu VERBİS yükümlüğünü yerine getirmesi gerektiğini söyledi.
Ayrıca Karcıoğlu; “Şu ana kadar bu işlemleri tamamlayan şirket ve kurum sayısı oldukça az. Özel verilerin analizinin yapılması ve sisteme işlenmesinin yanı sıra işin teknik kısmı zor olan tarafı oluşturuyor. Sistemi virüslerden koruyan yazılımlar gibi güvenlik önlemlerinin de alınması gerekiyor. Fakat yıllardır eski bir bilgisayarla çalışan eczanenin ne yazık ki bundan haberi yok. Ve cezaların yüzde 80’i bu kısımlardan geliyor.” diyerek olayın güvenlik boyutuna da dikkat çekti.
