Veri Sorumlularına Yeni Yıl Hediyesi!

Veri sorumlularının Kişisel Verilerin Korunması Kanunu’ndan (KVKK) kaynaklanan bir yükümlülükleri de Veri Sorumluları Siciline (VERBİS) kaydolmak. Yeni yılın sonuna yaklaşırken veri sorumlularının gündeminde son kayıt tarihi 31 Aralık 2019 olan VERBİS başvuruları vardı. Oldukça kapsamlı ve zaman alan bir süreci içeren VERBİS başvuruları için son tarih, bugün yayınlanan Kurul kararı ile ertelendi!

Kurul, yayınladığı kararında VERBİS kayıt süreci aşamalarına ilişkin olarak veri sorumluların yaşadığı sorunlara değinerek, yalnızca VERBİS başvuru formlarının Kurum’a iletilmesi suretiyle VERBİS kayıt yükümlülüğünün yerine getirilmiş sayılmadığını bir kez daha hatırlattı. Bu kapsamda sürecin iki aşamalı olduğunu ve veri sorumlularının öncelikle oluşturdukları VERBİS başvuru formunu Kurum’a iletmeleri gerektiğini, daha sonra ise VERBİS’e giriş yaparak veri işleme bildirimini gerçekleştirmeleri gerektiğini hatırlatmak isteriz.

VERBİS kayıt süresinin uzatılmasının ardında, veri işleme faaliyetlerinde şeffaflık, disiplin ve hesap verilebilirlik gibi amaçların layıkıyla yerine getirilebilmesi saikinin yattığı anlaşılıyor. Öyle ki Kurul birçok veri işleme bildirimini incelediğini ve bunlarda ciddi yanlışlıklar ve mevzuata aykırılıklar tespit ettiğini açıkladı. Kurul’a göre yapılan bildirimlerde; kişisel veriler, işleme amaçları, alıcı grupları, veri konusu kişi grupları, alınan teknik ve idari tedbirler, yurtdışına veri aktarımı ve saklama süreleri gibi unsurlar da kendi içinde örtüşmüyor.

Bu kapsamda eksikliklerin giderilmesi için veri sorumlularına tanınan ek süreler ile VERBİS’e yeni kayıt tarihleri aşağıdaki tablodaki şekilde belirlendi:

Veri Sorumluları Erteleme Sonrası Kayıt için Son Tarih
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları;   Yurtdışında yerleşik veri sorumluları 30 Haziran 2020
Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları 30 Eylül 2020
Kamu kurum ve kuruluşu veri sorumluları 31 Aralık 2020

VERBİS kayıt sürelerinin ikinci kez uzatıldığı dikkate alındığında, KVKK’da öngörülen yaptırımlar ile karşılaşmamak adına veri sorumlularının yeni kayıt sürelerine riayet etmeleri ve kayıt işlemlerini Kurum tarafından sağlanan detaylı kılavuzlar ışığında gerçekleştirmelerinin önem arz ettiği kanaatindeyiz. Bu uzatma kararı ile birlikte Kurul’un da vurguladığı bir hususa parmak basmak gerekiyor. VERBİS, şeffaflığın sağlanması, kişisel verilerin korunması alanında bir kültürün oluşturulması ve disiplinin sağlanması noktalarında önemli bir araç olmakla birlikte, veri sorumlularının VERBİS’e kayıt olmuş olmaları ve veri işleme bildiriminde bulunmaları KVKK’ya uyum yükümlülüğünün tamamen yerine getirildiği anlamına gelmiyor. Bu kapsamda veri sorumlularının VERBİS dışında, KVKK’dan kaynaklanan diğer yükümlülüklerini de ifa etmeleri gerekiyor.

Yine Uber! Bu sefer Data Protection ihlali

Bu yazıda içlerinde 600,000 sürücünün de bulunduğu 57 milyon müşterinin etkilendiği bir siber sızıntıyı ele alacağız. Söz konusu sızıntı dünyaca bilinirliği olan uluslararası ulaşım şebekesi Uber nezdinde gerçekleşti.

Şirket, 2016 yılında, müşterilerin isimleri, e mail adresleri, telefon numaraları, sürücülerin ehliyet bilgileri gibi verilerin de içinde yer aldığı bir veri hırsızlığı olayıyla karşı karşıya kalmıştı. Fakat şirketin o dönemki CEO’sunun, sızıntıdan 2016 Kasım’da haberdar olduktan sonra zarar gören ilgili kişilere bildirimde bulunmadığı anlaşıldı. Bunun yerine verileri çalan hackerlarla olayı gizli tutmaları ve çalıntı verileri silmeleri için $100,000’a anlaştığı ortaya çıktı. Yaklaşık bir yıl boyunca üstü örtülen bu olayı Şirketin yeni CEO’su Dara Khosrowshahi’nin olaydan haberdar olur olmaz açığa çıkardığı haberlere yansıdı.
Bunun üzerine İowa eyaleti yerel mahkemesi Uber’i 50 eyalet ve Washington DC’nin savcılarına ödeme yapmaya hükmetti. Eyalet savcılarının tutar hakkındaki görüşmeleri sonucu ödenecek en büyük meblağ 26 milyon dolarlık talebiyle Kalifornia eyaleti savcısına oldu. Bunu takiben sırasıyla İllinois ve New York eyaletlerinin 8.5 milyon dolar ve 5.1 milyon dolar elde ettikleri, İowa’nın ise 612,950 dolar edindiği biliniyor. Bu farklı tutarların belirlenmesindeki koşulun İowa eyalet savcısı Tom Miller’ın açıklamasına göre etkilenen sürücü sayısıyla alakalı olduğu tespit edildi. Böylelikle verileri korumak adına yeterli tedbirleri alamaması ve yetkili mercilere ihbarda bulunmaması Uber’e 148 milyon dolara mal oldu.

Bu nakit uzlaşmaya ek olarak Uber, daha çetin veri koruma politikaları benimseyerek gelecekte olması imkan dahilindeki sızıntıları engelleme, ayrıca düzenli olarak güvenlik durumları hakkında yetkili mercilere rapor verme yükümlülüğü altında.

Çok yakın zamanda yaşanan bu siber saldırı ve ardından gelen ilgililerin zararlarını tazmin süreçleri gösteriyor ki veri korunma alanı tüm dünyada gittikçe daha da önem kazanıyor. Şirketlerin yeni yasalara yeterli uyumu sağlayamaması hem maddi hem itibari olarak büyük zararlara sebep olmakta. Hızlanan süreç, Türkiye’de de önemli kararları yavaş yavaş görmeye başlayacağımıza bir işaret.

Sare Goluoğlu