Kişisel verilerini korumayan yanacak!

Kişisel Verilerin Korunması Kanunu kapsamında şirketlere uyum çalışmaları için verilen altı aylık süre 7 Ekim’de doluyor. Yasaya göre yükümlülüklerini yerine getirmeyenler 1 milyon TL'yi bulan ceza ödeyebilir.

Kişisel verilerini korumayan yanacak!

Avrupa Birliği’nin direktiflerine uygun olarak kişisel verilere dair çerçeve bir düzenleme getirmeyi amaçlayan “Kişisel Verilerin Korunması Kanunu” 7 Nisan 2016 tarihinde yürürlüğe girdi. Şirketlerin kanuna uyumlu hale gelmesi için verilen süre ise 7 Ekim 2016 tarihinde sona eriyor. Buna göre yükümlülüklere uyum sağlamayan şirketleri ise idari ve cezai yaptırımlar bekliyor. 

Yasa ne diyor? 

Yasaya göre kişisel verinin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade ettiğini söyleyen Sinem Cantürk, “Bu bilgiler çalışanlarınıza, müşterilerinize veya iş ortaklarınıza ait olabilir. Yasa sadece gerçek kişilere ait kişisel verileri koruma altına aldığından, tüzel kişilere ait veriler yasa kapsamında değil. Yasada tanımlanan ‘özel nitelikli kişisel veriler’ (sağlık, biyometrik özellikler, üyelikler, cinsel yaşam, ırk, din, vs.) ise daha az istisnadan yararlanabiliyor ve işlenmeleri belli kurallara bağlı” dedi. 

Cantürk “Kişisel verilerin ve özel nitelikli kişisel verilerin, ilgilinin ‘açık rızası’ olmaksızın işlenmesi yasak olup, üçüncü kişilere veya yurtdışına aktarılmamalı ve kullanım amaçları bittiğinde silinmeli veya anonimleştirilmelidir. Ancak Kanun’da sayılan çok sınırlı haller ile ve yeterli önlemlerin alınması şartıyla açık rıza kuralına bazı istisnalar getirilmiştir” uyarısını da yaptı. 

“Veri işleme” yasada açıkça tanımlanmış teknik bir terim ve verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmek için kullanılıyor.

Uyum yükümlülükleri

Kanunun hem özel sektör, hem de belirli sınırlamalara tabi olarak kamu sektörü için kişisel verilerin korunması ve işlenmesine dair süreçler ile yükümlülükleri düzenlediğini belirten Sinem Cantürk yükümlülükleri ise şöyle sıraladı:

  • Aydınlatma: Veri sorumlusu veya yetkilendirdiği kişinin, veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile yasanın 11’inci maddesinde ilgili kişiye sağlanan haklara dair, kişileri bilgilendirmesi ve aydınlatması gereklidir.
  • Veri güvenliğinin sağlanması: Veri sorumlusu şirketler; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. 
  • Verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi: Kanun ve ilgili diğer mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, verinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmesi, yok edilmesi veya anonim hale getirilmesi gereklidir.
  • Yurtdışına veri aktarımı: Yasa uyarınca kural olarak ilgili kişinin açık rızası olmaksızın yurt dışına veriler aktarılamaz. Kişisel veriler, ancak yasada sayılan sınırlı hallerde ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması durumunda mümkün olmaktadır.

Cezai yaptırımlar kapıda

Yasanın, uyum açısından sadece, 7 Nisan 2016 tarihinden önce işlenmiş olan kişisel veriler için bir istisna getirmiş olduğuna dikkat çeken Sinem Cantürk, bu verilerin işlenme süreçlerinin de 7 Nisan 2018’e kadar sürecek bir uyum dönemi içinde Kanun hükümlerine uygun hâle getirilmesinin beklendiğini belirtti. 

Yasaya göre yükümlülüklerini yerine getirmeyen şirketleri 5 bin TL’den başlayıp 1 milyon TL’ye kadar çıkabilen idari yaptırımlar ile 1 yıldan 4.5 yıla kadar çıkabilen cezai yaptırımlar bekliyor.