Şimdi kısaca açıklamaya çalışayım:
Kanunkoyucu dedi ki; bak kardeşim, millet işe mişe başvuruyor, ya da aktif olarak şirketinizde yanınızda falan çalışıyor, ot bok ne bilgisi varsa alıyosunuz. Bunlardan elinizde sadece sizin için önemli olanı tutun, onu da öyle süresiz değil, belli süreyle tutun. Bunun denetimini sağlamak için de Ankara'da bi kurul kuruyorum. Şu tarihte de bu sisteme geçmek zorunlu, çalışanlarınızın bilgilerini verbise işleyin, işlemezseniz de cezalar yolda, dedi.
Fakat Türklerde şu vardır, bi ceza kesilmediği sürece önemsenmez. Epey süredir süre biteceği zamanlarda uzatıyorlar. Aralık ayında da aynı şekilde oldu ve uzatıldı. Fakat 2020'nin sonunda tam anlamıyla geçileceği, artık uzatılmayacağı konuşuluyor.
Peki ne yapılması gerekiyor?
Aslında konu tamamen hukukçuların işi. Bu işi yapması gereken avukatlar. Fakat hem avukatlar konuyu tam algılayamadı hem de IT çalışanları ortalığı boş buldular. Kanunda net ifadeler bulunmuyor. Sertifikası olan versin bu eğitimi diyor. Kurulun başlattığı bir eğitim programı bile yok ortada.
Neyse lafı çok uzatmayayım. Birilerinin(avukat ya da itciler) çalışanlara karşı aydınlatma yükümlülüğünü yerine getirmesi, çalışandan elde ettiği bilgileri verbis sistemine kaydetmesi, envanter hazırlaması, ne kadar süreyle saklayacağını belirtmesi gerekiyor. Yani diyelim ki ben terzi işletiyorum, 20 tane de çalışanım var. Çalışanların tek tek elde ettiğim bilgilerini giricem sisteme. Dicem ki; ben de şu şu şu kişilerin şu bilgileri var. Adını biliyorum, tcsini biliyorum, cep numarasını biliyorum, adresini biliyorum vs. Ben bu verileri aldım çünkü acil durumda ulaşmam lazım, o nedenle telefonunu biliyorum. Bunlar o işçinin kişisel verileri farkındayım ama ihtiyacım nedeniyle 5 yıl süreyle saklıcam(örnektir).
Kanunkoyucu gereksiz bilgi depolanmasını, bunların farklı amaçlarla kullanılmasını engellemeyi amaçlıyor aslında. Yani terzide çalışıyorum tamam, ama niye girişe parmak izi okuyucusu koyuyosun mesela, parmak izim benim kişisel verim gibi.
Şikayetleri de kurul inceleyecek. Yani mesela ben cv bıraktım bi işverene, yıllar sonra baktım ki bu adamlar benim bilgilerimi satmışlar üçüncü kişiye. Şikayetçi olucam diyelim. Kurul Türkiye'de tek ve Ankara'da, Ankara'da başvurucam. Cezalar için bir makas aralığı belirlenmiş durumda. Fakat bu makas aralığı da hayli açık. Google'da olduğu gibi fahiş cezalar çıkabiliyor.
Ortalık tam anlamıyla karman çorman. Kendi kendine sertifika programı veren kişiler mi dersin, verilen saçma sapan cezalar mı dersin... Kurul diyor ki, ben başlatıcam sertifika programlarını, ama adım yok gelinen noktada. Ortada büyük bir pasta var, onu yemenin derdinde şu an herkes sadece.
Sorun varsa elimden geldiğince cevaplayayım, mesaj atabilirsin.
hayir zorunlu degil. danismanlik veren firmalar var, onlar egitim de verirler herhalde.
IT bakis acisi ile soyleyeyim: yonetmelik belli, bu isin icinde avukatlarin olmasinin bir geregi yok. Yani bir sirketin icindeki IT personeli bu ise duzgun vakit ayirirsa kurumu KVKK uyumlu hale getirir. danismanliga da ihtiyac yok. kim yapabilir demissin: yonetmeligi okuyan anlayan ve sirketin verilerine hakim herhangi biri yapabilir. Elbette gerekli altyapi degisikliklerini ve iyilestirmelerini yapacak insanlar da lazim.
Ortalıkta kvkk da sızma testi zorunlu yoksa 50 bin TL ceza yersin diye gezen IT ciler var hukuktan anlamayan bu kişilerden uzak durmak lazım