KVKK ve Verbis Kayıtlarındaki Ciddi Hatalar
Kişisel verilerin korunması ülkemizde son dönemlerde yaygın olarak konuşulan konuların başında gelmektedir. Ülkemizdeki mevzuata kaynaklık eden yer tabi ki Avrupa Birliği. Avrupa Birliği üye ülkelerinde uygulanmak üzere öncelikle Data Protection Directive adı altında bir düzenleme çıkarsa da bunu genişleterek ve regülasyon düzeyinde önemini arttırarak General Data Protection Regulation olarak yeni bir düzenlemeye gitti.
Avrupa birliğinde bu düzenlemeye gidilmesinin sebebi telemarketing faaliyetleri, promosyon faaliyetleri ve genel güvenlik için alınan kamera kayıtları kaynaklı şikayetlerin yoğunlukta olmasıydı. Nitekim Avrupa Birliği tarafından yayınlanan belgelerde ilgili otoritelere gelen şikayetlerin ağırlıklı olarak bu faaliyetleri hedef aldığı bildirilmektedir.
Ülkemizde de aslında benzer bu süreç SMS lerin ve ticari elektronik postaların taciz boyutuna varan promosyon kampanya bilgilerini göndermesi ile yükseliş trendine geçti. 2010 yılından itibaren ülkemizde yasal altyapısı oluşturulmaya çalışılırken bu konuda kanunlaştırma ancak 2016 yılında gerçekleşebildi.
Ne var ki halen birçok kullanıcının veya işletmenin haberdar olmadığı kişisel verilerin korunmasına ilişkin düzenlemeler özellikle şirketlere önemli yükümlülükler getiriyor. Bu yükümlülüklerden bir tanesi de sicil kaydı. Sicil kaydı kanun ile düzenlendikten sonra bir de yönetmeliği yayınlandı. Sicil kaydı bu mevzuat içinde Veri Sorumluları Sicili olarak geçiyor yani kısaca VERBİS.
VERBİS aslında kamuoyunu aydınlatma görevi görmesi için kurulmuş ve herkese internet üzerinden açık bir sistem. Bu sistemde herhangi bir kişi bir şirketin hangi verileri aldığını ve sakladığını görebiliyor. Tabi ki bu verilerin içeriğini değil ama kategori olarak başlıklarını. Mesela bir e-ticaret firması bu sicile üyelerinden hangi tarzda veriler aldığını (ad soyad sipariş adresi gibi) beyan etmek zorunda.
Kişisel veri konusu halen tam bilinmediğinden kısaca açıklamakta fayda var. Kişisel veri kimliği belirli veya belirlenebilir nitelikte gerçek kişiye ait tüm veriler. Yani çalıştığınız şirket sizin personel olarak özlük dosyanızı tutarken size ait bilgileri kaydediyor, bir fabrika çalışanlarını ve fabrika binalarını güvenlik kameraları ile izliyorsa kişisel veri tutuyor demektir. Yani ortalama her işletme ülkemizde kişisel veri tutuyor demektir. Dolayısıyla VERBİS e bu kategorilerde bildirim yapmak yükümlülüğü var.
Peki VERBİS kayıtları ne kadar doğru ve güncel.
Buradaki sorumluluk tamamen kişisel veriyi bünyesinde bulunduran ve VERBİS kaydını yapan şirkete ait. Ve gerçekten mevcut durum hiç iç açıcı değil. Hatta Kişisel Verilerin Korunması Kurumu bu konuda açıklama yapma ihtiyacı hissetmiş olacak ki sitesinde yayınladığı kurul kararında genel mantık yürütülerek dahi şirketlerin yaptığı kayıtların hatalar ile dolu olduğunu ifade etti.
Öncelikle bir hususu daha aydınlığa kavuşturalım. VERBİS kaydında işlediğiniz verilerin hangi amaçlarla sizde tutulduğunu da belirtmek zorundasınız. Yani amaçsızca bir kişisel veriyi tutmak düzenlemelerimiz açısından tutmak yaptırımla karşılaşmanıza sebep olabilir.
Şimdi isterseniz örnek üzerinden gidelim.
Sicil kayıtları aleni olduğu ve doğru olma zorunluluğu bulunduğu için önde gelen hastanelerden birinin VERBİS kaydı ile hataları örneklendirelim.
Aşağıda Türkiye’nin önde gelen sağlık kuruluşlarından birinin sicile aleni olarak bildirdiği bilgilere bakalım. Hangi kişisel veriler varmış bu ekranda görebilirsiniz.
Enteresan olarak bu hastanemiz kişilerin din-mezhep bilgilerini de bünyesinde saklıyormuş. Ayrıca dernek vakıf üyelikleri, kişinin özel nitelikte bilgisi olan kılık kıyafet bilgisi de hastane bünyesinde mevcut.
Peki bize enteresan gelse de bu verilerin tutulma amacı meşru bir sebebe bağlıysa neden tutulamasın? O zaman şuna bakmamız lazım bu verilerin amaçları nasıl kaydedilmiş? Hemen yanındaki sekmeden bu kısmı da inceleyebiliriz.
İlginç bir şekilde din-mezhep bilgisi amaçlarından biri olarak müşteri memnuniyetine yönelik aktivitelerin yönetilmesi, iç denetim ve soruşturma süreçlerinin yönetilmesi için alındığı ifade edilmiş. Peki bu amaçlar gerçekten din-mezhep bilgisinin alınmasını mı gerektirir? Kesinlikle hayır.
Diğer özel niteliki kişisel veri olan dernek vakıf üyeliği bilgilerini neden ediniyormuş acaba bu hastanemiz? Müşteri ilişkilerinin yönetimi ve finans muhasebe işlemleri gibi bu veriyle ilişkisiz amaçlar yine burada da VERBİS’e kaydedilmiş.
Biraz da hangi kişi gruplarından bu veriler alınıyormuş ona bakalım.
İlginçtir ki cinsel hayat verisini veli-vasi veya temsilciden de alıyormuş hastanemiz. Gerçekten alıyor mu inceleme yapmadan bilmek mümkün değil. Ama şöyle düşünelim gerçekten alıyorsa çocuğunu hastaneye götüren bir ailenin cinsel hayat bilgisine neden ihtiyaç duyar bir hastane. Çocuğun sağlık geçmişini incelemek için diyemeyiz çünkü o başka bir veri kategorisi “Sağlık Bilgileri”. O zaman böyle bir veri almanın meşru bir amacı yok. Gerçekten bu veriyi almıyorsa VERBİS kayıtlarında bir hata var demektir.
Burada örnek üzerinden hataları hızlıca tespit edebiliyorsak aslında yerinde ve detaylı bir incelemenin getireceği sonuçları ve yaptırımları düşünsenize!!!