Kişisel verilerin korunması için ciddi önlemlerin alınması ve
gerekli sorumlulukların yerine getirilmesi gerekiyor. Şirketler, almadıkları
önlemler ve yerine getirmedikleri sorumluluklar neticesinde veri ihlalleri
yaşarken, kvkk tarafından da ciddi cezalarla karşılaşıyor. Bunun en temel
nedenlerinden birinin KVKK uyumluluk sürecine dair doğru bilinen yanlışlardan
kaynaklandığını belirten Siberasist Genel Müdürü Serap Günal, şirketlerin KVKK
konusunda düştüğü 5 yanlışa dikkat çekiyor.
1. VERBİS’e kayıt süreci yine ertelenir. Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı
25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumlularına yönelik
VERBİS’e kayıt sürecinin Haziran 2020’ye kadar ertelenmiş olması, şirketlerde
yine ertelenebilir algısını oluşturdu. Aslında KVKK’nın şirketlere bu konuda
tanımış olduğu toleransın bir kez daha sağlanacak olması inancı, şirketlerin
büyük bir kumar oynamasına neden oluyorken, gerçekleştirilmeyen sürecin
zararlarının da yansımalarıyla karşılaşabileceklerini gösteriyor. Gerekli
şartları taşıyan veri sorumlularının mutlaka kayıt süreçlerini tamamlamaları
öneriliyor.
2. KVKK KOBİ’leri kapsamıyor, büyük şirketleri
kapsıyor. Doğru bilinen yanlışlar
arasında en çok dile getirilenlerden biri de KVKK’nın sadece büyük şirketleri kapsıyor
olduğudur. Kanunun özel ya da kamu, büyük ya da küçük şirket ayrımı
yapmadığını, esas olarak tüm tüzel kişileri kapsadığının altını çizmek
gerekiyor.
3. KVKK sürecinde danışmanlık almaya ihtiyaç yok. KVKK uyumluluk sürecinde şirketlerin 3 temel noktayı göz ardı
etmemeleri gerekiyor. Hukuk, teknoloji ve danışmanlık adımları, şirketlerin tam
kapsamlı KVKK uyumlulukları için önem arz ediyor. Eğer şirketler sadece hukuk
boyutlarını kendi hukuki birimleri ile çözmeye kalkışırsa, teknolojik altyapı gereksinimlerini
göz ardı edebilirler. Hem hukuki hem de teknik bilgilerin yönlendirmeler ve
alınacak danışmanlıklar doğru bir şekilde uygulanması gerekiyor.
4. Teknoloji tarafında herhangi bir yazılıma gerek yok. Kanun gereği hiçbir maddede teknolojik alt yapı için bir yazılım
ya da donanım özellikle belirtilmiyor olsa da bazı maddelerin işlenmesi için
gerekli yazılımlara sahip olunması gerektiği görülüyor. Özellikle verilerin
maskelenmesi, transferi, sınıflandırılması, korunması, güvenliğinin sağlanması
adına teknik donanımlara sahip olunması gerekiyor. Bu teknik donanımların
hukuki açıdan da desteklenmesi gerektiğini unutmamak lazım.
5.
KVKK uyumluluğum tamam, GDPR’ye ihtiyacım yok. Özellikle AB üyesi ülke vatandaşlarını istihdam eden ya da üye
ülkelerle ticari ilişkileri bulunan şirketlerin sadece KVKK uyumlulukları
yeterli olmuyor. GDPR’de bulunan ve karşılığı KVKK’da olmayan maddelere dikkat
edilmesi gerekiyor. Şartları taşıyan şirketlerin KVKK uyumluluklarının yanı
sıra GDPR çalışmalarını da gerçekleştirmeleri ve bu konuda danışmanlık almaları
gerekiyor.