Kişisel veriden mahkum olmamak için ‘o mail’ şart!

Kişisel Verilerin Korunması Kanunu’nda süre 7 Ekim’de doldu, ceza süreci başladı. Kişisel veriyi izinsiz paylaşan şirket yöneticisine 4.5 yıla kadar hapis cezası söz konusu.

YAYINLAMA
GÜNCELLEME

Özlem ERMİŞ BEYHAN

İSTANBUL - Kişisel Verilerin Korunması Kanunu, şirket yöneticilerine hapis cezası getiriyor. Cezadan korunmanın tek yöntemi ise kanuna uyumla ile ilgili şirkette çalışma başlatmış olmak. Kişisel verileri AB normlarında koruyan kanun kapsamında şirketlere uyum çalışmaları için verilen altı aylık süre 7 Ekim’de doldu. Yasaya göre yükümlülüklerini yerine getirmeyen şirketleri, 5 bin TL’den başlayıp 1 milyon TL’ye kadar çıkabilen para cezası ile 1-4.5 yıl arası hapis cezası bekliyor.

Kasıt varsa hapis cezası

Yeni dönemde kişisel verileri kanuna aykırı biçimde kullanan şirketlerin yöneticileri hapis cezası alabilecek. Bundan korunmak için, şirkette kanuna uyum çalışması başlatılmış olması şart. Zira hapis cezası ‘kanuna aykırılığın kasten işlendiği’ durumlarda söz konusu oluyor. Yani kanuna aykırı olarak bir kişisel veri izin alınmadan saklandıysa, şirket yöneticisi bunun gözden kaçan bir uygulama olduğunu, konunun hassasiyetle ele alınıp iş birimlerini uyararak tedbirleri aldığını kanıtlamak durumunda. Burada irade kastı kaldırıyor ve şirket yöneticisi ilgili birimlere gönderdiği mail ile gerekli uyarıları yaptığını ve aktif olarak çalışmaları başlattığını kanıtladığında bir hapis cezasından da kurtuluyor. Konuyla ilgili uzmanlar bu detayın hayatiyetinin altını çizerken, “Tabii ki her şirkette dikkatten kaçan yanlış uygulamalar olabilir. Bunun kasten yapılmadığının kanıtlanabilmesi için yöneticinin kanuna uyum ile ilgili bir çalışma başlattığını, belki gönderdiği bir mail, bir yazılı talimatla kanıtlayabilmesi gerekir. Sadece başlatmış olmak da yetmez, icraya da geçirmek gerekir” dedi.

Kullanmıyorum demek yetmez

Kişisel verilerin ve özel nitelikli kişisel verilerin, ilgilinin ‘açık rızası’ olmaksızın işlenmesi yasak. “Veri işleme” yasada açıkça tanımlanmış teknik bir terim ve verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmek için kullanılıyor. Kişisel verilerin izinsiz üçüncü kişilere veya yurtdışına aktarılması da yasak. Verilerin kullanım amaçları bittiğinde silinmesi veya anonimleştirilmesi gerekiyor. Örneğin bir şirket, daha önceden farklı yöntemlerle topladığı verileri veritabanında tutuyor. Bu verileri kullanmasa bile yani örneğin veritabanındaki mail adreslerine mail göndermiyor olsa bile o adresleri tutuyor olması suç teşkil ediyor.

195 kişilik bir kurul oluşacak

Şirketlerin kanuna uyumu için verilen süre bitti ancak yasaya göre gerekli denetimi yapacak kurul henüz oluşturulamadı. Bunun için parti dağılımlarına uygun olarak 5 üye TBMM tarafından belirlendi. Şimdi 2 üyenin Bakanlar Kurulu, 2 üyenin de Cumhurbaşkanı tarafından atanması gerekiyor. Kurul oluştuktan sonra 195 kişiden oluşan bir Kişisel Verileri Koruma Kurumu oluşturulacak. Bu kurumun oluşumunun 7 Nisan 2017 tarihine kadar tamamlanması zorunlu.

AB yeni versiyona geçiyor

Kişisel Verilerin Korunması Kanunu, Türkiye’yi nihayet bu alanda AB normlarına uygun hale getirdi. Ancak Avrupa Birliği kuralları daha da sıkılaştıracağı yeni bir seviyeye geçmek için gün sayıyor. Mayıs 2018’de AB’nin veri koruma regulasyonunda bir üst versiyona çıkmaya hazırlanırken Türkiye’de kurumların hali hazırda uygulanan kanuna uyumu için 5 yıllık bir sürece ihtiyaç duyduğu belirtiliyor.

Bankalar, hastaneler ve telekomcular müşteriden imza almak için sıraya girecek

Birçok holdinge konu ile ilgili danışmanlık hizmeti veren KPMG Ortağı Sinem Cantürk, önümüzdeki dönemde özellikle finans, sağlık ve telekomünikasyon sektöründen şirketlerin müşterilerine kişisel verilerini tutabilmek için izin alacakları belgeler imzalatacaklarını söyledi. Cantürk, “Şirketler müşterisine ‘Kişisel verini tutuyorum, bunu şu amaçla kullanacağım’ demek zorunda. Eğer müşteri onay vermezse o veriyi yok etme mecburiyeti var” dedi. Konu ile ilgili bir şikayet hattı da kurulacağını anlatan Cantürk, şirketlerin kanuna göre yılda bir kez kendini denetletmesi gerektiğini de vurguladı. Cantürk’e göre önümüzdeki günlerde konu ile ilgili en büyük zorluk, müşterilerden gerekli imzayı almada yaşanacak. Cantürk, kişisel verinin tanımında da sıkıntı olduğunu belirterek, “Sadece TC kimlik numarası, telefon ve adres değil, size şirketinizin verdiği arabanın plakası da çalışanın kullandığı bilgisayarın IP adresi de kişisel veri kapsamına giriyor. Bizde hiç kişisel veri yok, tutmuyoruz diyen şirkette bile en az 20 bin civarında kişisel veri çıkıyor” dedi. Kan grubu, din, dil, ırk, sendikalılık hali gibi kişisel verilerin ise hassas kişisel veri kapsamına girdiğini ve kişinin izni olsa bile paylaşılamayacağını vurgulayan Cantürk, şirketlerin Kişisel Verileri Koruma Kurulu’na başvurup bir sicil numarası alması ve çalışmalara bir an önce başlanması gerektiğini vurguladı.

Nasıl ceza kesiliyor?

► Kişisel verilerinizin istemediğiniz şekilde kullanıldığını düşünüyorsanız önce o şirkete başvuruyor ve kişisel verilerinizin silinmesini isteyebiliyorsunuz. Kanun burada kişilere geniş haklar veriyor. Bu kapsamda şirketlere yazılı olarak başvurup verilerinizin ne amaçla kullanıldığını, ne şekilde işlendiğini, kimlerle paylaşıldığını sorma hakkına sahipsiniz.

► Başvurulan şirketin 30 gün içinde kişiye geri dönüşte bulunup bir yanıt vermesi gerekiyor. Bu yapılmaz ya da kişi yanıtı beğenmezse, Kişisel Verileri Koruma Kurulu’na şikayette bulunabiliyor.

► Kurul şikayeti 60 gün içinde değerlendirmek durumunda. Bu değerlendirme sonrasında eğer bir ihlal görüyorsa bunun ortadan kaldırılmasını şirketten talep ediyor.

► Kurul ihlalin boyutunun büyük olduğuna karar verirse yasada belirtilen para cezalarına hükmediyor.

► Kanuna göre kişisel verilerin korunmasında ihbar müessesesi de var. Buna göre herhangi biri “Şu şirkette kişisel verilerin kullanımında kanuna aykırılık var” diye ihbarda bulunabiliyor. Kurul, bu ihbarı ciddi bulursa bir inceleme başlatıyor.

► Hapis cezası ise savcılığa suç duyurusunda bulunulması sonrası söz konusu olabiliyor. Yasaya göre kişisel verilerinizin kasıtlı olarak kanuna aykırı biçimde kullanıldığını düşünüyorsanız savcılığa suç duyurusunda bulunma hakkına sahipsiniz.

Bu konularda ilginizi çekebilir