Kişisel Verilerin Korunumu Kanunu ve Uygulamaları Hakkında

1 Star2 Stars3 Stars4 Stars5 Stars
(No Ratings Yet)
Loading...
Share

siber-foto

Konu 1980’lerden beri gündemde

Kişisel verilerin korunması serüveni 80’li yıllarda başladı. Dünyada hızla yayılan dijitalleşme akımıyla, eski zamanlarda kağıtlara basılan ve kilitler arkasında muhafaza edilen bilgilere erişim kolaylaştı. 1981 yılında Avrupa Konseyi bünyesinde hazırlanan “Kişisel Verilerin Otomatik İşleme Tâbi Tutulması Karşısında Bireylerin Korunmasına İlişkin Sözleşme”, kişisel verilerin korunması alanında bir ilki gerçekleştirdi. Sözleşme uyarınca, dijital ortama aktarılan ve hızla dolaşıma giren verilerin/bilgilerin korunması sağlanacak, korunamadığında ise bunun sorumluları bilinebilecekti. Türkiye aynı yıl diğer Konsey üyeleriyle birlikte sözleşmeyi imzaladı. Ancak sözleşmeyi onaylamayı 35 yıl boyunca erteledi. Böylece sözleşmenin imzacı devletlere yüklediği yükümlülüklerden de bugüne dek muaf kaldı.(1)

Kanun da öne çıkan başlıklar neler?

  • Kanun, belirli ya da belirlenebilir kişilere ait verileri “kişisel veri” olarak tanımlıyor. Örneğin, adınız ile birlikte yaşınızın bir dosyada kaydedilmesi kişisel veri olarak değerlendirilmiyor. Zira sadece ad ve yaş bilgisinden yola çıkarak kişinin kimliğinin saptanabilmesi mümkün değil.
  • Firmaların sahip olduğu kişisel verileri üç grupta toplayabiliriz;
    • Çalışanlarına ait kişisel veriler,
    • İş ortaklarına ait kişisel veriler,
    • Müşterilerine ait kişisel veriler.
  • Kişisel verilerin işlenmesi için veri sahibinden açık rıza alımının şart.
  • Kişisel veriler güncel olarak tutulmalı ve amacına yeterli sürede saklanacak.
  • Kişinin hakkındaki verileri öğrenme, yanlışları düzeltme ve sildirme hakkı vardır.
  • Hassas veriler olarak nitelenen kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik veriler, açık rıza olsa da birtakım ilave tedbirlerle işlenebilecek.
  • Kamu kurumları lehine getirilen geniş istisnalar nedeniyle kişisel verilerin daha ziyade özel kuruluşlara karşı korunmasının esas alındığı anlaşılıyor.
  • Sağlık ya da iletişim verilerimiz üçüncü kişilere usulsüz olarak devredilemeyecek, üçüncü kişilerle paylaşılması ya da şahsi çıkar için kullanılması mümkün olmayacak.

Kanunun uygulaması – istemeyerek – ötelenmiş oldu

51007.04.2016 tarihinde yürürlüğe girmiş olan kişisel verilerin korunması kanunu ( 6698 ) (Resmi Gazete yazısına bu linkten ulaşabilirsiniz) 07.10.2016 tarihinde, resmi olarak açıklanmasa da, ertelenmiş oldu. Yasa ve gerekçeli karar incelendiğinde 6 ay sonraya referans eden bir çok madde vardı ve bu maddelerin yerine getirilmemesi durumunda cezaların devreye gireceği belirtilmişti. Bütün bu cezaların kesilmesi ve özellikle ortada kalan konuların aydınlatılması için yönetmelik çıkarması beklenen Kişisel Verileri Koruma Kurulunun kurulması bu tarihe yetişemedi. Bu gecikmeye karşılık kurulun kurulum süreci devam etmesi bize yasanın yalnızca geciktiğini ve iptal olmayacağını gösteriyor. (2)

Kanuna uyumluluğun sağlanması için şirketler neler yapmalıdır?

Uygulama Süre Bilgileri

Kanun’un yayımı tarihinden önce işlenmiş olan kişisel verilerin ise, Kanun’un yayımı tarihinden itibaren 2 yıl içinde Kanun’a uygun hale getirileceği belirtilerek geçiş süreci tanınmıştır. Kanundaki diğer ayrıntılı düzenlemelere ilişkin olarak ise Kanun’un yayımı tarihinden itibaren 1 yıl içinde gerekli ikincil düzenlemelerin yayımlanacağı belirtilmiştir. (3)

Kişisel verilerin üçüncü kişilere veya yurt dışına aktarılması, ilgili kişinin hakları, başvuru ve şikayet, suçlar ve idari para cezalarına ilişkin hükümleri Kanun’un yayımı tarihinden itibaren 6 ay sonra yürürlüğe girecektir. Bu hükümler haricindeki diğer hükümler ise Kanun’un yayımı tarihiyle birlikte yürürlüğe girecektir. (3)

Uygulama Aksiyonları

icerik-hirsizligi-durumunda-yapilmasi-gerekenlerBu süre zarfında firmalar nasıl bu konuna uyum sağlayacaklar? Sorunun cevabını konusunun uzmanı danışman ve hukuk personellerinin yorumlarından derlemeye çalıştım. Bu aksiyon tanımları elbette birer tavsiye niteliğinde olup kanuni veya kabul görmüş bir uygulama olmadığını hatırlatmak isterim. (1)(3)(4)

  • Öncelikle sorumlular belirlenip konuya firma içerisinde liderlik edecek ekip oluşturulur.
  • Hangi veriyi nasıl güvence altına alacağını anlatan süreçlerin oluşturulması gerekiyor.
  • Daha sonra bu süreçlerin etkin bir şekilde çalışmasına yardımcı olacak teknolojinin tesis edilmesi gerekiyor.
  • Kurulan bu yapının tasarlandığı gibi çalıştığından emin olmak için düzenli denetimlere tabi tutuluyor olması gerekiyor.
  • Firmaların kişisel veri işlenmesi alanında bir envanter çıkarmaya ihtiyaçları bulunuyor. Firma içinde kimler, kimlere ait hangi kişisel verileri işliyor, saklıyor ve bu kişisel verileri üçüncü kişilere aktarıyorlar mı yoksa aktarmıyorlar mı?
  • Envanter çalışmasına dayanarak kişisel verilerin işlenmesi ile ilgili mevcut durumun ve olası risklerin tespit edilmesi gerekiyor.
  • Kişisel verilerin işlenmesi ve saklanması firmalar açısından potansiyel bir sorumluluk kaynağıdır. Bu nedenle, mevcut uygulamalarda işlenen ve saklanan kişisel verilerin ne kadarının işlerin aksamadan devam etmesi için gerekli olduğunun, ne kadarının kanunen getirilmiş bir zorunluluk çerçevesinde işlenip, saklandığının belirlenmesi de gereklidir. Eğer bir kişisel verinin işlenip, saklanması firmanın operasyonları açısından gerekli veya kanunen zorunlu değilse, o verinin alınmamasını, bir şekilde alınırsa bile hemen silinmesini temin etmek gereklidir.
  • İlgili kişilerden kişisel verilerinin işlenmesine ilişkin rıza alınması amacıyla beyan metinleri hazırlanmalı.
  • Çalışanlara gerekli şirket içi eğitimler verilmeli
  • Gerçek veya tüzel kişiler tarafından çalışanlar, müşteri ve iş ortakları ve veri işleyenlerle imzalanmış ve/veya imzalanacak sözleşmelere ilişkin gerekli tadil çalışmaları yapılmalıdır.

Kanunun Uygulanışı (Devlet Tarafı)

Kanun ile Kişisel Verileri Koruma Kurumu (“Kurum”) düzenlenmiştir. Kurum’un bünyesinde kurulacak olan Kişisel Verileri Koruma Kurulu (“Kurul”) Türkiye Büyük Millet Meclisi, Bakanlar Kurulu ve Cumhurbaşkanınca seçilecek olan 9 üyeden oluşacak olup, söz konusu Kanun ve diğer mevzuatla verilen görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak yerine getirecektir. (4)

Kurulun öncelikli görevleri arasında, kişisel verilerin temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak, hakların ihlal edildiğini ileri sürenlerin şikayetlerini karara bağlamak, gerekli görüldüğü takdirde idari yaptırımlara karar vermek, resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak bulunuyor. (4)

Kanunun oluşturduğu iş fırsatları

veri-hirsizligiYasanın çıkmasından sonra geçen 6 aylık sürede dış kaynak kullanımı, bilgi teknolojileri hizmet sağlayıcı ve entegratör firmalar bu yasayı kendilerine göre yorumlayıp yeni iş fırsatları yaratmayı planladılar. Bu şirketleri alttaki kategorilere göre gruplayabiliriz. (2)

  • Database Yönetimi Yapan Şirketler: Yasa ile beraber veri tekilleştirilmesi çok önemli bir konu oldu. Ortak databaselerin kullanılması , özellikle de bigdata çözümleri ile müşteri bilgilerini birleştirerek ve tekilleştirerek gerekli açık rıza onaylarının bu alt yapı üzerinde saklayan ürünler ve hizmetler öne çıktı.
  • SMS / EMail Gönderimi Sağlayan Şirketler: Açık rıza onaylarının alınması için kişilere yollanacak sms/emailler için ilgili şirketler paketlerini duyurdular.
  • Sistem ve Güvenlik Hizmeti Sağlayan Şirketler: Datanın güvenliği, ilgili işletmeyi ve veri uzmanını doğrudan ilgilendirdiği için özellikle güvenlik şirketleri Penetrasyon Testi , DLP, Loglama veya Firewall gibi hizmetlerine ağırlık verdiler.
  • Çağrı Merkezleri: Açık rıza alınma durumunda kişiler ile yapılan görüşmeler ve bu görüşmelerin ses kayıtlarının özellikle de CRM ile entegrasyonunun yapılması çok önemli oldu. Çağrı Merkezler özellikle eski müşterilerin aranıp onay alınması için çeşitli paketlerini sunmaya başladılar.
  • Hukuk Şirketleri: Yasa ilk çıktığında herkes bu yasanın gerekliliklerini sadece Hukukçuların çözeceğini ve şirketlerde bu iş ile ilgili bölümlerin hukuk departmanları olacağını düşündü. Yasanın detayı yavaş yavaş anlaşılmaya başlandığında, bu işten sorumlu olması gereken departmanın Bilgi Teknolojileri departmanı ve destek alacakları bölümün de hukuk ekipleri olduğu ortaya çıktı. Bünyesinde Hukuk departmanı olmayan işletmelere dışarıdan bu hizmeti vermek için bir çok Hukuk Bürosu çalışmalara başladı.
  • Denetim Şirketleri: Finans şirketleri ve Borsaya açık şirketler belli dönemlerde bağımsız denetim şirketlerinden Bilgi Teknolojileri denetimi almaktalar. Kurulacak olan Kişisel Verileri Koruma Kurumu tüm şirketleri kendisi denetleyemeyecektir. Bu kapsamda ilgili kurum bağımsız denetim şirketleri ile veya denetim görevini üstlenecek yeni şirketler ile çalışacak. Kurulacak olan kurum ile bu pazarın hareketleneceği öngörülmektedir.
  • Eğitim Şirketleri: Veri Uzmanı kavramı yasa ile hayatımıza giren en büyük değişiklik. Yurt dışı örneklerine baktığımızda veri uzmanlarının belirli sertifikalara sahip olması gerektiği görülmektedir. Muhtemelen ülkemizde de tıpkı ISG Uzmanlarında olduğu gibi veri uzmanlarının sınıflandırılıp ilgili eğitim/sertifikalarını alması istenecek . Bu eğitimlerin içerikleri ve eğitim verecek şirketler yine kurumun oluşmasından sonra netleşecek. Belki de yetkili sınav merkezleri oluşacak.

Yukarıdaki tüm şirketler Kişisel Verileri Koruma Kurumunun kurulmasını bekliyor. Özellikle yasada tam net olmayan bazı maddelerin detaylandırılacağı bir yönetmelik çıkması tüm kamuoyunu ilgilendiriyor. Açık rızanın alınma ve saklanma şekli, alınması istenen güvenlik tedbirleri, datanın anonim yapılması ve gerektiğinde geri dönülebilmesi konuları hakkında şu an herkesin bir yorumu var.

 

Kaynaklar:

(1) Pehlivan,O.K., Kişisel Verilerin Korunması Kanunu ne vadediyor? 2016. Aljazeera Turk.

(2) Topal, H.C., Kişisel Verilerin Korunması Kanunu Ertelendi, Ama Yeni İş Fırsatları Devam Ediyor. 2016. LinkedIn Blog.

(3) Yazıcıoğlu, B., Kişisel Verilerin Korunması Kanunu’na uyum için neler yapılmalı. 2016. Dünya Gazetesi.

(4) Nalbantoğlu, L., İşmen, T., Salihoğlu, C.V., Kişisel verilerin korunmasında en büyük sorumluluk bireyde. 2016. Deloitte Times.

 

 

Share

Leave a Reply

Copy Protected by Chetan's WP-Copyprotect.