Kişisel veriyi koruyamayan işletmelere ağır cezalar geliyor

Avrupa Birliği’nin direktiflerine uygun olarak kişisel veri güvenliğine dair çerçeve bir düzenleme getirmeyi amaçlayan “Kişisel Verilerin Korunması Kanunu” 7 Nisan 2016 tarihinde yürürlüğe girdi. Şirketlerin kanuna uyumlu hale gelmesi için verilen süre ise 7 Ekim 2016 tarihinde sona eriyor. Buna göre yükümlülüklere uyum sağlamayan şirketleri ise idari ve cezai yaptırımlar bekliyor.

Techinside’da yer alan haberde, KPMG Türkiye KPMG Türkiye Bilgi Sistemleri Risk Yönetimi Bölüm Başkanı ve Şirket Ortağı Sinem Cantürk konuyla ilgili yaptığı değerlendirmede “Şirketlerin uyum yükümlülüklerini yerine getirmesi için öncelikle mevcut durumlarını analiz etmesi, işledikleri kişisel verileri bir envanter olarak ortaya koyması, kanuna uygun olacak şekilde kişisel veri işleme prosedürlerini oluşturması ve mevcut sözleşmelerini güncellemesi gerekiyor” dedi.

Yasada 7 Ekim 2016’ya kadar 6 aylık cezasız bir dönem öngörüldüğünden, veri sorumlusu şirketlerin 7 Ekim 2016’ya kadar yasada öngörülen şartlara ve veri işlemeye dair kurallara uyum çalışmalarını tamamlamış olurlarsa, kanundaki cezai yaptırımlara konu olmayabileceğini belirten Cantürk, “İhlal durumunda, ihlalin tipine göre ihlal başına 5 bin liradan 1 milyon liraya kadar idari para cezası verilebilmekte; yine ihlalin niteliğine göre 1 yıldan 4.5 yıla kadar hapis cezasıyla sonuçlanabilmektedir” dedi.

Yasa ne diyor?
Yasaya göre kişisel verinin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade ettiğini söyleyen Sinem Cantürk, “Bu bilgiler çalışanlarınıza, müşterilerinize veya iş ortaklarınıza ait olabilir. Yasa sadece gerçek kişilere ait kişisel verileri koruma altına aldığından, tüzel kişilere ait veriler yasa kapsamında değil. Yasada tanımlanan ‘özel nitelikli kişisel veriler’ (sağlık, biyometrik özellikler, üyelikler, cinsel yaşam, ırk, din, vs.) ise daha az istisnadan yararlanabiliyor ve işlenmeleri belli kurallara bağlı” dedi.

Cantürk “Kişisel verilerin ve özel nitelikli kişisel verilerin, ilgilinin ‘açık rızası’ olmaksızın işlenmesi yasak olup, üçüncü kişilere veya yurt dışına aktarılmamalı ve kullanım amaçları bittiğinde silinmeli veya anonimleştirilmelidir. Ancak Kanun’da sayılan çok sınırlı haller ile ve yeterli önlemlerin alınması şartıyla açık rıza kuralına bazı istisnalar getirilmiştir” uyarısını da yaptı.

“Veri işleme” yasada açıkça tanımlanmış teknik bir terim ve verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmek için kullanılıyor.

Kanunun hem özel sektör, hem de belirli sınırlamalara tabi olarak kamu sektörü için kişisel verilerin korunması ve işlenmesine dair süreçler ile yükümlülükleri düzenlediğini belirten Sinem Cantürk yükümlülükleri ise şöyle sıraladı:

• Aydınlatma: Veri sorumlusu veya yetkilendirdiği kişinin, veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile yasanın 11’inci maddesinde ilgili kişiye sağlanan haklara dair, kişileri bilgilendirmesi ve aydınlatması gereklidir.
• Veri güvenliğinin sağlanması: Veri sorumlusu şirketler; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
• Verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi: Kanun ve ilgili diğer mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, verinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmesi, yok edilmesi veya anonim hale getirilmesi gereklidir.
• Yurt dışına veri aktarımı: Yasa uyarınca kural olarak ilgili kişinin açık rızası olmaksızın yurt dışına veriler aktarılamaz. Kişisel veriler, ancak yasada sayılan sınırlı hallerde ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması durumunda mümkün olmaktadır.

Yasanın, uyum açısından sadece, 7 Nisan 2016 tarihinden önce işlenmiş olan kişisel veriler için bir istisna getirmiş olduğuna dikkat çekilirken, bu verilerin işlenme süreçlerinin de 7 Nisan 2018’e kadar sürecek bir uyum dönemi içinde Kanun hükümlerine uygun hale getirilmesinin beklendiği de belirtildi.

Yasaya göre yükümlülüklerini yerine getirmeyen şirketleri 5 bin TL’den başlayıp 1 milyon TL’ye kadar çıkabilen idari yaptırımlar ile 1 yıldan 4.5 yıla kadar çıkabilen cezai yaptırımlar bekliyor.

Yorumlar

yorumlar

Yazar Hakkında

Benzer yazılar

Yanıt verin.

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir