Kişisel Verilerin Korunması Kanunu (KVKK), Sigorta Ekranı ve Sigorta Brokerleri Derneği YouTube kanalından eş zamanlı yapılan yayınla detaylı olarak ele alındı. Beykent Üniverstesi Hukuk Fakültesi Öğretim Üyesi ve Tlawco Kurucu Ortağı Prof.Dr.Tekin Memiş, KVKK’yı önce acente ve brokerlerin özümsemesi gerektiğini aksi takdirde yüklü cezalar ve ağır yaptırımlarla karşı karşıya kalabileceklerini söyledi.
Sigorta Ekranı ve Sigorta Brokerleri Derneği YouTube kanalı üzerinden eş zamanlı yapılan yayında Kişisel Verilerin Korunması Kanunu (KVKK) tüm yönleriyle ele alındı. Programının moderatörlüğünü Sigortam.net Genel Müdür Yardımcısı ve aynı zamanda Sigorta ve Reasürans Brokerleri Derneği Yönetim Kurulu Üyesi Zerrin Sonışık üstlendi. Programın konuğu ise Tlawco Kurucu Ortağı ve SBD Hukuk Danışmanı Prof. Dr. Tekin Memiş oldu.
Programı VERBİS hakkında bilgi vererek açan Sonışık, “6698 sayılı Kişisel Verileri Koruma Kanunu; 7 Nisan 2016 tarihinde Resmi Gazete’de yayınlandı ve iki yıllık uyum süresi 7 Nisan 2018 itibariyle tamamlandı. Bu tarih itibariyle de günlük hayatımıza girdi. Şu anda kurumun aldığı kararlar da haber olmaya başladığından sıkça duyar olduk. Diğer yandan kanunun getirdiği Veri Sorumlusu Siciline yani VERBİS’e kayıt için tanınan süre 30 Eylül 2020 tarihinde sonra eriyor” dedi.
“Veri Sorumluları Sicili (VERBİS), veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemi. 50’den fazla çalışanı olan herkes VERBİS kaydını yapmak zorunda. Burada bazı özel kurumlar hariç sektör bağımsız tüm firmalar buna dahil. En son sicil kayıtlarında birçok hata görülmesi sebebiyle Aralık ayında uzatılmasına karar verilen VERBİS kayıt süreleri; COVID-19 salgını sebebiyle tekrar uzatılmıştı” diyen Sonışık; VERBİS ile ilgili gelişmeleri de şöyle sıraladı:
• Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için son kayıt süresi 30 Eylül 2020 tarihine kadar uzatılmıştı.
• Ayrıca Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan (hastaneler gibi) gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için son tarih 30 Eylül 2020 iken süre 31 Mart 2021 tarihine kadar uzatıldı.
• Kamu kurum ve kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için son tarih 31 Aralık 2020 iken süre 31 Mart 2021 tarihine kadar uzatıldı.
VERBİS’e kayıt yükümlülüğünün mevzuat ile belirlenmiş istisnaların da olduğuna vurgu yapan Sonışık; bunların noterler, sendikalar, siyasi partiler, avukatlar ve yeminli mali müşavirler gibi kurum ve kişler olduğunu açıkladı.
1 milyon TL’ye varan para cezası
“VERBİS kaydımız olmasa dahi kanun ile tanımlanmış tüm yükümlülüklerimiz aslında devam ediyor” diyen Sonışık; “Yükümlü olduğumuz halde kaydımızı yapmamış olmamız halinde veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırılık nedeniyle 20 bin TL’den 1 milyon TL’ye varan idari para cezası ile karşılaşabileceğimizi de belirtelim” şeklinde konuştu.
İlk olarak envanter çalışması yapılmalı
Sonışık, “Burada VERBİS kaydı öncesi yapılması gereken en önemli hazırlık; envanter çalışmasıdır. VERBİS ile envanterin birbirine karıştırılmaması gerekiyor. VERBİS kategorik olarak girdiğiniz bir nevi katalog bilgisi. Envanter ise şirketinizin tüm departmanlarında iş süreçleri ve kişisel veri kategorileri bazında detaylı bir dokümantasyon. VERBİS kaydı öncesi envanterinizin hazırlanmış olması çok kritik. Envanteri VERBİS’e birebir girmiyorsunuz aslında ancak kurum herhangi bir denetim yaptığında envanterin doğru, eksiksiz ve güncel olması çok önemli. Başka bir firmanın hazırladığı envanteri hazır şablon olarak alıp kullanmanız bu nedenle mümkün değil, envanterin tamamen sizin süreçlerinizi birebir yansıtması gerekiyor” dedi.
Şirketlerin tüm birimlerinin çalışmanın içerisinde yer almasının çok önemli olduğunu da belirten Sonışık; “Şirketlerin yaptığı önemli hatalardan biri kanuna uyum ve envanter çalışmasının hukuk veya IT birimlerine bırakılması. Halbuki envanter hazırlamaya başladığınızda göreceksinizki tüm süreçlerimizin içerisinde kişisel veriler dolu. Dolayısı ile kanun ile belirlenmiş olan süre içerisinde envanter kaydımızın tamamlanmış ve VERBİS’e sicil kaydımızın yapılmış olması gerektiğini tekrar hatırlatarak konu ile ilgili değerlendirmelerini almak üzere Tekin hocama dönmek istiyorum” dedi ve şu soruyu yöneltti:
“Kanun çıktığından beri kapsamı konusunda çok fazla yayın ve haber yapıldığı için çok kısa bir tanım aldıktan sonra, aslında kanunun kitabi bilgileri dışında sosyal ve iş hayatımız içerisinde karşılaştığımız farklı durumları konuşalım istiyorum. Kişisel veri nedir ve bu kanun neden hayatımıza girdi bize kısaca aktarabilir misiniz?”
Memiş, “Kanun koyucu aslında kişisel verilerin tanımını da yapmış ve özel bir kategoriye almış. Sigorta brokerlerini ilgilendiren kısım, sağlık verileriyle ilgili. Siyasi düşünce, etnik köken, din ve mezhep vesaire gibi unsurlar bizim kanunumuza göre özel nitelikli veri olarak nitelendirilmektedir. Bunları işleyebilmek için de diğer verilere nazaran çok daha fazla şart aranmış. Öncelikle aydınlatma metinleri ve açık rızalar gibi… Bu kanun teknolojik gelişmelerden, mümkün olduğu kadar insan mahrumiyetini korumak için çıkarıldı. Bunu Avrupa Birliği’nden neredeyse 21 yıl sonra çıkardık. Kişisel verileri bugün şirketler hep yük olarak görebiliyor. Şirketlere biraz yük getiriyor olabilir ama bu kanunu limon gibi sıksak altından damlayacak olan insan onurudur. Sizin, benim, eşlerimizin, çocuklarımızın ve sevdiklerimizin verilerinin güvenli hale getirilmesini amaçlamaktadır” diye cevap verdi.
Sonışık, bu cevap üzerine “Kanunun tanımladığı temel yükümlülüklerinin başında aydınlatma yükümlülüğü ve açık rıza konusu var. Ancak açık rızanın uygulanışı konusunda Sigorta sektörü özelinde sıkıntılı alanlar var. Bunlardan birisi de grup sigortaları. Grup poliçelerindeki açık rıza sorunu ile ilgili yorumunuzu alabilir miyiz?” sorusunu yöneltti.
Açık rıza almanın yolu
“Grup sigortalarında sigortalı dediğimiz yani çalışanlar ile sigorta şirketi ve aracılar hiçbir zaman yan yana gelemiyor” diyen Memiş, “Doğrudan doğruya aydınlatma metinleri ya da açık rızayı birebir alma şansları hiçbir zaman yok. Böyle olunca sözleşmenin tarafı olmayan üzerinden açık rıza alınma yoluna geçiliyor. Bunu bence şöyle yapmak gerekiyor: Muhatap olduğumuz şirketin insan kaynaklarına bir açıklama metninin gönderilmesi; daha sonra da sigorta sözleşmesinden yararlanmak isteyenler için bir liste hazırlanması gerekiyor. Açık rıza formları ve bitişik olarak ‘Okudum ve açık rıza veriyorum’ şeklinde… Özellikle de sağlık verileri için böyle bir açık rıza alınması gerekiyor. Belki bu nokta bize cep telefonlarındaki uygulamalar yardımcı olacaktır ya da web sayfalarından açık rızaları alınabilir. Kanun açık rızayı illa da ‘ıslak imza ile al’ gibi bir dayatma yapmıyor. Bu da arka tarafta eş ve çocuklar olduğu için tam bir çözüm değil. En azından biz burada farazi vekaletlerinin olduğunu düşünebiliriz” açıklamasını yaptı.
“Bu arada kurumun veri ihlal bildirimlerinin yanı sıra resen incelemelere de başladığını ve bazı önemli kararlar aldığını bir süredir takip ediyoruz” diyen Sonışık; “Bunların içerisinde çok dikkat çekici ve aslında firmalar için kurumun kanunun uygulanışındaki yaklaşımını ve değerlendirmesini bizlere gösteren çok önemli kararlar oldu. Gerekmediği halde ATM ekranında açık rıza almaya çalışan banka; maçta yaralanan Şenol Güneş’in sağlık raporunu internette paylaşan doktor sebebiyle ceza alan hastane; sınav sonuçlarını internette yayınlayan Mimar Sinan Üniversitesi; üyelerinin giriş-çıkışlarının kontrolünü biyometrik veri ile işleyen spor salonu gibi” şeklinde konuştu.
Teknolojileri, kişisel verileri düşünerek geliştirmeliyiz
Memiş, “ATM ekranında para çekmeye çalışan bir kimsenin ekranda tuşlara basarak açık rıza verdiğini söyleme imkânımız olmaz. Mimar Sinan Üniversitesi ile ilgili kararı hatırlayacak olursak o karar sonunda çok güzel bir noktaya değindi kurul. Dedi ki ‘Siz tasarımlarınızı yeniden gözden geçirin. Çünkü bu veriler internet ortamında bir Excel sayfası olarak yer alıyor. Öğrencinin, sadece kendi şifresi ile girebileceği bir sistem tasarlayın’ dedi. Teknolojik tasarımların kişisel verileri korunmasına uyumlu olmasıyla ilgili kural; bizim bugün 6698 numaralı kanunumuzda bulunmamaktadır. Ama GDPR’da bulunmaktadır. Geliştireceğimiz bütün teknolojileri, kişisel verileri düşünerek geliştirmeliyiz. Kanun koyucu ‘Sen bir teknoloji geliştiriyorsan insanların kişisel haklarını dikkate alarak geliştir’ diyor. Bu anlamda kanun koyucu, bazen teknolojinin bu tür zararlı taraflarına set çeker” dedi.
Memiş, Sonışık’ın “Kurumun aldığı bazı kararlar ile ilgili değerlendirmelerinizi özellikle merak ediyorum. Önemli kararlardan biri Amazon ile ilgiliydi. Kurum Amazon’a şu ana kadarki en yüksek para cezasını belirledi. Üstelik burada bir veri ihlali sözkonusu değildi, aydınlatma yükümlülüğün gereğince yerine getirilmemesi nedeniyle 1.100.000 TL idari para cezası kesildi. Bu cezanın gerekçesini ve örnek case olarak neden önemli olduğunu bize anlatabilir misiniz?” şeklindeki sorusuna şu cevabı verdi:
Süreçleri kendimiz tasarlamalıyız
“Kanun mümkün olduğu kadar verinin alınmasını öngörüyor. Daha fazlasının alınmasına izin vermiyor. Birçok sigorta şirketi şunu yapıyor… Kasko sigortası yaptırıyorsunuz, ad-soyad, kimlik numarası tamam. Neden telefon numarası alınıyor. Kasko sigortası ile telefon numarası arasında doğrudan bir bağ yok! Amazon kararında aslında çok ilginç noktalar var. Biz hukukçuların tartışması gereken çok güzel noktalara temas etmiş. Amazon’da bir veri ihlali yok, zarar gören de yok. Çok ilginç bir şey söylüyor, diyor ki ‘Sizin aydınlatma metinleriniz kanuna uygun değil’ Amazon kararı bize, işletmemizi tanımanızı, işletmenize özgü iyi bir aydınlatma metni ortaya koymanızı ve süreçleri kendimizin tasarlaması gerektiğini gösteriyor.”
Yurt dışına veri aktarılmasını da gündeme getiren Sonışık, “Kanunun uygulanışında tartışmalı ve hukuki olarak bizleri zorlayan konulardan birisi de yurt dışına veri aktarımı konusu. Yurt dışına veri aktarımının koşulları kanunda tanımlanmış durumda ancak uygulamada hala çok belirsizlik var. Örneğin veri aktarımı yapılabilecek güvenli ülkeler listesi hala belirlenmiş değil. Güvenli ülke listesi yakın zamanda yayınlanır mı? Açık rıza burada sorunu çözüyor mu? Taahütname ile ilerlenebilir mi? DLP (Data Loss Prevention) sistemlerinin kurulmuş olması veya ISO 27001 belgesi sahip olmak burada yeterli bir önlem olarak kabul edilebilir mi?” diye sordu.
Gerçekten tartışmaya değer bir karar
Memiş bu soruyu da şöyle cevapladı: “Kurumun güvenli ülkeler listesini şimdiye kadar açıklamamasını ciddi bir eksiklik olarak buluyorum. Bu eksiklik sebebiyle sektör çok ciddi zarar görüyor. Nereye, hangi verinin gönderileceği anlamında tereddütler yaşanıyor. Kurulun son vermiş olduğu kararlardan bir tanesi 108 numaralı anlaşmaya rağmen Avrupa Birliği’ne veri aktaran bir şirkete de para cezası yazıldı. Bu, kurulun bir taraftan güvenlik ülke listelerini açıklamaması; diğer taraftan da aslında uluslararası anlaşmaya riayet edilmemesiyle ilgili. Bir başka ülkeye veri aktarılmasına getirmiş olduğu engellerden bir tanesi bu. Gerçekten tartışmaya değer bir karar. Çünkü uluslararası anlaşmalar, bildiğiniz üzere kanun hükmünde; hatta kanundan biraz daha üstündur. Kurulun bu noktada kendisine bir bakması lazım. 2016’dan bu tarafa hâlâ güvenli ülkeler listesini yayınlaya maması, kurul için çok ciddi anlamda eksiklik.”
Taahütname, izin ve açık rıza…
“Aslında bu idarenin sorumluluğu olarak da karşımıza gelebilir. İdare hukukçularıyla da bunu uzun uzun tartışmayı istiyorum. Bu noktada yapılması gereken; güvenli ülkeler henüz yayınlanmadı ama güvenli ülkeler listesinde olmayan ülkelere bir veri transferi yapılacaksa bu durum taahhütnamelerle çözülebilir. Kurum bunu sayfasında yayınladı. İkinci adım kuruldan özel izin alınması. Üçüncü adımda ise mutlaka açık rızanın alınması gerekiyor. Yani biz verileri yurtdışına aktarırken, taahhütnameyi, gerekli izni ve açık rızayı alacağız. Teknik altyapımız da ona göre hazırlayacağız. Çözüm yolu hepsinde diyebiliriz.”
Hayatınızın bir parçası
Programın sonunda “Şimdi acente, broker ve tüm sigorta aracılarına seslenmek istiyorum” diyen Memiş, sözlerini şöyle tamamladı: “VERBİS’e kayıtlı olun veya olmayın, kişisel verilerin korunması ile ilgili bu kanun hayatınızın bir parçasıdır. ‘ISO 9001 belgesi gibi bir kere alıp duvara astım, ondan sonra işim bitti’ şeklinde asla bakmayın. Her aşamada kişisel verileri korumak için her türlü tedbiri elinizden geldiği kadar alın. Aksi takdirde birtakım cezalarla ya da yaptırımlarla karşı karşıya kalabilirsiniz. Kişisel verileri bir defa kendiniz özümseyin ve işletmenizin her aşamasına, yapmış olduğunuz her işlemde mutlaka buna ilişkin uygulamalarınızı tam ve eksiksiz yapın.”
Yayının tamamını aşağıdaki linkten izleyebilirsiniz?