.jpg)
VERBİS VE KVKK NEDİR NE DEĞİLDİR?
Pandemi sonrası herşey değişecek ama KVKK (Kişisel Verileri Korunması Kanunu) sonrası daha çok değişecek. Süreçler değişecek. Bu bir kültür değişimi sağlayacak belki.
Hem özel sektör şirketleri hem kamu kurumları etkilenecek. Kişisel veriler ve bunların kaydedilmesi-saklanması konusu AB ülkelerinde 70’ li yıllardan beri var. Kökeni tüketici mevzuatından değil, İnsan Hakları mevzuatından alınmış. E ticaretin yaygınlaşması; bankacılık, perakendecilik, sigortacılıkta otomasyonun artması ve sosyal medyanın yaygınlaşması ile odaklanma özel sektöre yoğunlaşmış oldu.
Bizde önce; AB uyum süreci gereği 2010 yılında Anayasaya metin eklendi (Anayasa madde20/3). Ve kişisel verilerin korunması Anayasa korunmasına alındı. Sonra ceza kanununa eklendi (Özel hayata ve hayatın gizli alanına karşı suçlar bölümünde, TCK 135 ve devamı maddeler. İki yıldan 4 yıla kadar hapis cezası öngörülerek) ve son olarak 2016 yılında 6698 sayılı KVKK yürürlüğe girdi.
Kanun kişisel veriyi yasaklamıyor, hukuka uygun olarak kaydedilmesini amaçlıyor. Kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi ”Sadece ad-soyad değil tc kimlik no, adres, özgeçmiş, parmak izi, araç plakası ,telefon no, e mail adresi, değil. Irk, din, dil cinsiyet, kellik, gözlük kullanma, şişman ya da zayıf olma, bir derneğe üyelik gibi çok geniş manada değerlendirilmiştir.
Kişisel veri deyince Gerçek Kişiye ait veriler söz konusudur. Tüzel kişilere ait veriler (örneğin vergi kimlik no v.b), bu kanun kapsamında korunmaz. Kişisel veri, ticari sır değildir, müşteri sırrı değildir, gizlilik sözleşmesi değildir. Toplamak, kaydetmek, değişiklik yapmak, organize etmek, kullanmak, silmek gibi eylemler kişisel verilerin işlenmesi faaliyetleridir.
Eczane gibi bir işletmede; çalışanların kişisel verileri, hastalara ve danışanlara ait kişisel veriler, iş ortaklarına ait kişisel veriler bu kanun kapsamında değerlendirilecektir.
Kişisel verinin sahibi gerçek kişidir. Şirket olarak biz değiliz. Bu veri ile ilgili hakları var. Kendisi ile ilgili bilgileri talep edebilir, nereye aktarıldığını sorabilir, eksiklik ve yanlışlık var ise düzeltmesini talep edebilir. Hatta bilgilerin silinmesini talep edebilir. 30gün içinde cevap vermek zorundayız. Aksi halde KVK kurumuna şikayet edebilir ve idari ceza yaptırımı var (5bin tl ile 1milyon 800 bin TL arasında).
Kişisel verileri koruma kurumu, Rekabet kurumu gibi bağımsız düzenleyici ve denetleyici kurum. İçinde bir kurul var. Kurul şikayet bazlı, sektör bazlı ve ihlal bazlı denetleme yapıyor ve idari para cezası veriyor.
Kişisel veri işlenirken; Aydınlatma yapılmalı- Açık rıza alınmalı- Belli bir amaç ve süre için işlenmeli (sonra imha)- Hukuka uygun işlenmeli.
Sadece hukuki değil, işletmesel ve bilişim süreçlerde uyum sağlamamız gerekecek. Alt yapımız maalesef yok. Kültürel olarak yatkın değiliz. Süreçlerin belki tamamen değişmesi gerekiyor ve uyum maliyeti söz konusu. Uygulayıcı olarak biz eczacılar, hukukçular ve bilişimcilerin üçlü ortak çalışmasına ihtiyaç var.
Kanun direkt çeviri yolu ile iktibas edildiği için, açık rıza, aydınlatma, veri sorumlusu, veri işleyen, ilgili kişi gibi terimlerin zaman zaman karışması sözkonusu.Bir diğer konu da genel nitelikli ve özel nitelikli kişisel veri kavramı ve “sağlık verilerinin” özel nitelikli veri olması dolayısıyla daha sıkı korunma kurallarına tabi olması. Bizim bundan sorumluluğumuz konusu.
KVK kurumu, VERBİS adını verdiği bir sicil oluşturmuş ve veri sorumlularının bu sicile kaydı zorunlu. Peki biz kaydolmak zorunda mıyız? Evet zorundayız. Ayrıca verbis e kayıtlı olmamak bizim, 6698 sayılı kanunun emredici hükümlerinden muaf olmamızı sağlamıyor. Yani 2016’dan beri kanun uygulanıyor ve benim takip edebildiğim 5 eczacı idari para cezası aldı.
Diğer bir soru, acaba kendimiz verbise kayıt olabilir miyiz? Yoksa profesyonel destek almamız gerekir mi? Tabi ki kendimiz kurum sitesinden ya da e devlet üzerinden kayıt olabiliriz. Bu aşamada bir desteğe ihtiyacımız yok (sizi arayan, e mail atan veya eczanenize gelen ne olduğu belli olmayan şirketlerden uzak durunuz). Sicile ilişkin işlemler, veri sorumlusu(eczacı) tarafından verbis üzerinden gerçekleştirilebilir. Veri sorumluları veri işlemeye başlamadan önce sicile kaydolmak zorundadır. Bu süre Mart 2021’e kadar uzatıldı, biraz zamanımız var. Tekrar edeyim; KVK kanunun emredici hükümlerine 2016’dan beri uymak zorundayız.
Birkaç önerim olabilir, önce bazı sorular... Eczacılığın KVKK politikasına ihtiyaç var. Hangi verileri kaydediyoruz, hangi veri ne kadar saklanacak, kişisel veri ihlali olursa nasıl yöneteceğiz? Kişisel veriler ne zaman silinecek? TEB ve Eczacı Odalarının internet sayfaları kanunun emredici hükümlerine uygun değil, acil düzenlenmeli. Odalar ve TEB eczacıların ve çalışanlarının kişisel verilerini kanuna uygun tutabiliyor mu? Bu kanunda bazı istisnalar var, bizim sektörümüz bu istisnalara tabi olabilir mi? Özel nitelikli veri olan sağlık verisini biz işlerken, MEDULA sistemi ve dolayısyla SGK veri sorumlusu rolünde mi? Sağlık verilerini işlerken her seferinde açık rıza almak zorunlu olacak mı? Eczane otomasyon sistemleri verileri kaydederken bizi zora sokacak iş ve işlemler yapıyorlar mı?
Bu işlemlerin bir politika ve süreç yönetimi organizasyonu olduğunu düşünüyorum. Tabi ki çatı örgütümüz TEB’ in organizasyonu gerekli. Kanundaki bazı istisnalar madde 6/3, madde 16 ve madde 28/2/c de mevcut. Bu istisnalardan yararlanabilmemiz ve bir KVKK politikası oluşturmak için TEB merkez heyetinin ivedi olarak olaya el alması gerektiğini düşünüyorum (Noterler, Avukatlar, Dernekler ve vakıflar, Gümrük müşavirleri ve hatta serbest muhasebeciler kurul kararı ile VEGBİS e kayıt olmaktan ve kanunun pek çok emredici hükmünden muaf olmayı başarmıştır).
Meslektaşlarımızdan çok fazla sayıda kişinin kurumdan ceza almasından sonra yapılacak işlemlerin pek faydası olmayacaktır diye düşünüyorum.
Saygılarımla…
