GÜVEN KONTROLE MÂNİ DEĞİLDİR
İşte bu tabirin bilinen karşılığı Denetimdir. Hemen hemen herkes bu tabiri hayatında bir kez duymuştur. Muhtemelen çok da üzerinde durmamıştır. Aslında özünde güven duymanın kontrolü ve denetimi engellememesi gerektiğini barındıran bir deyiş. Bir öz disiplin oluşturmanın ilk adımı diyebiliriz. Her ne kadar sürekli bir kontrol mekanizmasının olması gerektiğini tavsiye etse de nihai amaç her alanda bir öz disiplin oluşturmaktır.
Kişisel Verileri Koruma Kurumu 01 Ağustos 2024 tarihinde yayımladığı bir duyuruda Kanun gereği VERBİS kayıt ve bildirim yükümlülüğü olduğu halde bu yükümlülüğünü yerine getirmeyen yurtiçinde ve yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının tespit edilip para cezası verildiğini kamuoyuna açıklamıştır. Para cezası verilen veri sorumlusu sayısı 16.500. İnanılmaz bir sayı. VERBİS kayıt sorumluluğu yıllık mali bilanço toplamı miktarına ya da çalışan sayısına göre belirleniyor. Aslında kanunda 31 Aralık 2021 tarihine kadar verilen süre kısıtı her sene bilanço sonrası yeni veri sorumlusu adayları ile her yıl artarak devam etmektedir. Yaklaşık 2 buçuk sene geçmesine rağmen halen 16.500 veri sorumlusunun VERBİS kaydı yaptırmamış olması da oldukça ilginç. Eğer kurum kontrol ve denetim mekanizmasını çalıştırmamış olsaydı bu rakam artmaya devam edecekti.
Kontrol edilmedikçe veya denetlenmedikçe uyulmayan kanunlar sadece kişisel veriler konusunda karşımıza çıkmıyor. Bu alanda en çok çiğnen kanunlardan birisi de 2918 sayılı Karayolları Trafik Kanunu. O kadar fazla uymayan oluyor ki Trafik Başkanlığı 2023 yılı Trafik İstatistik Bülteni istatistiklerinde 2023 yılı içerisinde 21.234.596 adet trafik cezası uygulandığı bilgisini veriyor. 21 milyon kez kanun çiğnenmiş. Bu sayı sadece hız ihlali, hatalı park vb. konularında. Yani tespit edilebilen kanuna aykırılıklar. Seyir halinde yapılan kanuna aykırı hareketler bir şekilde tespit edilse bu sayının 100 milyonu aşacağı tahmin ediliyor.
Sadece iki farklı kanunun bir şekilde denetiminden anladığımız şu ki; kontrol edilmeyen, denetimi yapılmayan kanun ve kuralların uygulanmasında sorun yaşıyoruz. Kanun kelimesinin TDK sözlük anlamına baktığımızda karşımıza “Devletin yetkili makamlarınca hazırlanan ve herkesin uymak zorunda olduğu yazılı kurallar.” Tanımı çıkıyor. Tanımdan anlaşıldığı üzere seçme şansı olmadan bir zorunluluk söz konusu. Ama kontrol edilmediği sürece kimse uymak istemiyor. Ailemize baktığımızda kontrol etmezsek çocuklarımız derslerine çalışmıyor. Okulda öğretmen ödevleri kontrol etmezse ödevler yapılmıyor. Eğlence merkezleri kontrol edilmezse zamanında kapatmıyor. Son zamanlarda gündemin en önemli başlığı; kontrol edilmez ve denetlenmezse kimse vergi ödemek istemiyor.
Denetim aslında ilk akla gelen önlem olmasa da kanunların gücünü korumasına katkı sağlayan en önemli kavram. Mutlaka bir kontrol mekanizması kurulması gerekiyor. Maalesef öz disiplin konusunda yetersiz toplumlarda en önemli mekanizma denetim mekanizmasıdır. Her ne kadar yaklaşık 20 yıldır gündemde olan bir iç denetim sistemi de mevcut olsa asla bağımsız denetimin yerini tutmamaktadır. Çok kısa sürede etkisini yitirmekte, duygusal yanı ağır basan bir toplumda hızla etkinliğini kaybetmektedir. Özellikle bilişim alanında yapılması zorunlu olan görevler ve alınması zorunlu olan önlemlerin denetim mekanizması olmadan tam olarak uygulanması mümkün olmamaktadır. Yılların tecrübesi sonucunda oluşturulan güvenlik standartlarının sıkı sıkıya uygulanması ve uygulandığının yapılan denetimlerce kontrol edilmesi gerekmektedir.
Son günlerde meydana gelen Kişisel Veri ihlallerindeki temel nedenin teknik tedbirlerin hiç alınmaması ya da eksik alınması olduğu göz önüne alındığında Kişisel Verileri Koruma Kurumu tarafından aynı Cumhurbaşkanlığı Dijital Dönüşüm Ofisinin uyguladığı Bilgi ve İletişim Güvenliği Denetimine benzer bir mekanizma oluşturması artık bir zorunluluk haline gelmiştir. Veri ihlali meydana geldikten sonra ilgili şirket veya kuruma yaptırım uygulamanın ihlale uğrayan veriler üzerinde hiçbir olumlu etkisi olmamaktadır. Nasreddin Hocanın verdiği öğütteki gibi alınacak önlemlerin testi kırılmadan önce alınması gerekmektedir. Amaç veri ihlalinin sorumlusunu cezalandırmak değil verinin ihlale uğramasını engellemek olmalıdır.
KVKK KAMUOYU DUYURUSU (Veri Sorumluları Sicili Hakkında)