Kişisel verileri korumayanlar 7 Ekim’den sonra ceza alacak!

Türkiye’de 7 Nisan 2016 tarihinde yürürlüğe giren Kişisel Verilerin Korunması Kanunu kapsamında şirketlere uyum çalışmaları için verilen 6 aylık süre 7 Ekim 2016 Cuma günü doluyor. Yasaya göre yükümlülüklerini yerine getirmeyen şirketleri, 5 bin TL’den başlayıp 1 milyon TL’ye kadar çıkabilen para cezası ile 1-4.5 yıl arası hapis cezası bekliyor.

1475587624_sinem_canturk

Sinem Cantürk

Avrupa Birliği (AB) direktifleri çerçevesinde çıkarılan yasada, 7 Ekim 2016’ya kadar 6 aylık cezasız bir dönem öngörüldüğü belirten KPMG Türkiye Şirket Ortağı ve KPMG Türkiye Bilgi Sistemleri Risk Yönetimi Bölüm Başkanı Sinem Cantürk, veri sorumlusu şirketlerin 7 Ekim 2016 Cuma gününe kadar yasada öngörülen şartlara ve veri işlemeye dair kurallara uyum çalışmalarını tamamlamış olmaları gerektiğine dikkat çekti.  Sinem Cantürk’ün yeni dönemle ilgili uyarı ve değerlendirmeleri şöyle:

Yasa ne diyor?

  • Yasaya göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade ediyor. Bu bilgiler çalışanlarınıza, müşterilerinize veya iş ortaklarınıza ait olabilir. 
  • Yasa sadece gerçek kişilere ait kişisel verileri koruma altına aldığından, tüzel kişilere ait veriler yasa kapsamında değil. Yasada tanımlanan ‘özel nitelikli kişisel veriler’ (sağlık, biyometrik özellikler, üyelikler, cinsel yaşam, ırk, din, vs.) ise daha az istisnadan yararlanabiliyor ve işlenmeleri belli kurallara bağlı.
  • Kişisel verilerin ve özel nitelikli kişisel verilerin, ilgilinin ‘açık rızası’ olmaksızın işlenmesi yasak olup, üçüncü kişilere veya yurtdışına aktarılmamalı ve kullanım amaçları bittiğinde silinmeli veya anonimleştirilmeli. Ancak Kanun’da sayılan çok sınırlı haller ile ve yeterli önlemlerin alınması şartıyla açık rıza kuralına bazı istisnalar getirildi.
  • “Veri işleme” yasada açıkça tanımlanmış teknik bir terim ve verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmek için kullanılıyor.

Hangi yükümlülükleri getiriyor?

kisisel-veri-korunmasi-2

  • Aydınlatma: Veri sorumlusu veya yetkilendirdiği kişinin, veri sorumlusunun ve varsa temsilcisinin kimliği,  kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile yasanın 11’inci maddesinde ilgili kişiye sağlanan haklara dair, kişileri bilgilendirmesi ve aydınlatması gereklidir.
  • Veri güvenliğinin sağlanması: Veri sorumlusu şirketler; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
  • Verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi: Kanun ve ilgili diğer mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, verinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmesi, yok edilmesi veya anonim hale getirilmesi gereklidir.
  • Yurtdışına veri aktarımı: Yasa uyarınca kural olarak ilgili kişinin açık rızası olmaksızın yurt dışına veriler aktarılamaz. Kişisel veriler, ancak yasada sayılan sınırlı hallerde ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması durumunda mümkün olmaktadır.

Cezai yaptırımlar neler?

Kişisel Verilerin Korunması Kanunu, uyum açısından sadece, 7 Nisan 2016 tarihinden önce işlenmiş olan kişisel veriler için bir istisna getiriyor. Bu verilerin işlenme süreçlerinin de 7 Nisan 2018’e kadar sürecek bir uyum dönemi içinde Kanun hükümlerine uygun hâle getirilmesi bekleniyor.

Yasaya göre yükümlülüklerini yerine getirmeyen şirketleri 5 bin TL’den başlayıp 1 milyon TL’ye kadar çıkabilen idari yaptırımlar ile 1 yıldan 4.5 yıla kadar çıkabilen cezai yaptırımlar bekliyor.


Yorumlar

yorum

Bir Cevap Yazın