Kişisel veriler… (Köşe yazısı 27.10.2016 Kayseri Star Haber Gazetesi)

DAVUT GÜLEÇ

GAZETECİ-HİSF KAYSERİ TEMSİLCİSİ

davutgulec@hotmail.com

Son yıllarda kişisel verilerin korunamaması, vatandaşların bilinçsizliği, önüne gelenin kimlik fotokopisi istemesi, gerek seçim liste askıları, Konut Edindirme Fonu, internet açıkları gibi bir çok konudaki açıklık ve hata insanları mağdur etti ve etmeye de devam ediyor.

Öyle ki Türkiye’deki 80 milyon insanın tüm kişisel verilerinin örgütlere satıldığı halen yalanlanmadı.

Bakalım önümüzdeki yıllarda kimlerin başı bu konuda ağrıyacak göreceğiz.

Uzun zamandır eksikliği hissedilen ve kanunlaşması beklenen ‘Kişisel Verilerin Korunması Kanunu’, şirket yöneticilerine hapis cezası getiriyor. Cezadan korunmanın tek yöntemi ise kanuna uyumla ile ilgili şirkette çalışma başlatmak. Kişisel verileri AB normlarında koruyan kanun kapsamında şirketlere uyum çalışmaları için verilen altı aylık süre 7 Ekim’de doldu. Yasaya göre yükümlülüklerini yerine getirmeyen şirketlere, 5 bin TL’den 1 milyon kadar ç para cezası ile 1-4.5 yıl arası hapis cezası verilebilecek.

Yeni dönemde kişisel verileri kanuna aykırı biçimde kullanan şirketlerin yöneticileri hapis cezası alabilecek. Bundan korunmak için, şirkette kanuna uyum çalışması başlatılmış olması şart. Zira hapis cezası ‘kanuna aykırılığın kasten işlendiği’ durumlarda söz konusu oluyor. Dünya Gazetesi’nin bu konudaki haberine göre; kanuna aykırı olarak bir kişisel veri izin alınmadan saklandıysa, şirket yöneticisi bunun gözden kaçan bir uygulama olduğunu, konunun hassasiyetle ele alınıp iş birimlerini uyararak tedbirleri aldığını kanıtlamak durumunda. Burada irade kastı kaldırıyor ve şirket yöneticisi ilgili birimlere gönderdiği mail ile gerekli uyarıları yaptığını ve aktif olarak çalışmaları başlattığını kanıtladığında bir hapis cezasından da kurtuluyor.

Kişisel verilerin ve özel nitelikli kişisel verilerin, ilgilinin ‘açık rızası’ olmaksızın işlenmesi yasak. “Veri işleme” yasada açıkça tanımlanmış teknik bir terim ve verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmek için kullanılıyor. Kişisel verilerin izinsiz üçüncü kişilere veya yurtdışına aktarılması da yasak. Verilerin kullanım amaçları bittiğinde silinmesi veya anonimleştirilmesi gerekiyor. Örneğin bir şirket, daha önceden farklı yöntemlerle topladığı verileri veritabanında tutuyor. Bu verileri kullanmasa bile yani örneğin veritabanındaki mail adreslerine mail göndermiyor olsa bile o adresleri tutuyor olması suç teşkil ediyor.

Şirketlerin kanuna uyumu için verilen süre bitti ancak yasaya göre gerekli denetimi yapacak kurul henüz oluşturulamadı. Bunun için parti dağılımlarına uygun olarak 5 üye TBMM tarafından belirlendi. Şimdi 2 üyenin Bakanlar Kurulu, 2 üyenin de Cumhurbaşkanı tarafından atanması gerekiyor. Kurul oluştuktan sonra 195 kişiden oluşan bir Kişisel Verileri Koruma Kurumu oluşturulacak. Bu kurumun oluşumunun 7 Nisan 2017 tarihine kadar tamamlanması zorunlu.

Kişisel Verilerin Korunması Kanunu, Türkiye’yi nihayet bu alanda AB normlarına uygun hale getirdi. Ancak Avrupa Birliği kuralları daha da sıkılaştıracağı yeni bir seviyeye geçmek için gün sayıyor. Mayıs 2018’de AB’nin veri koruma regulasyonunda bir üst versiyona çıkmaya hazırlanırken Türkiye’de kurumların hali hazırda uygulanan kanuna uyumu için 5 yıllık bir sürece ihtiyaç duyduğu belirtiliyor.

Birçok holdinge konu ile ilgili danışmanlık hizmeti veren KPMG Ortağı Sinem Cantürk, önümüzdeki dönemde özellikle finans, sağlık ve telekomünikasyon sektöründen şirketlerin müşterilerine kişisel verilerini tutabilmek için izin alacakları belgeler imzalatacaklarını belirtti.

Cantürk “Şirketler müşterisine ‘Kişisel verini tutuyorum, bunu şu amaçla kullanacağım’ demek zorunda. Eğer müşteri onay vermezse o veriyi yok etme mecburiyeti var. Bu konuda bir şikayet hattı da kurulacak. Şirketler kanuna göre yılda bir kez kendini denetletmesi gerekiyor. Önümüzdeki günlerde konu ile ilgili en büyük zorluk, müşterilerden gerekli imzayı almada yaşanacak. Kişisel verinin tanımında da sıkıntı var. Sadece TC kimlik numarası, telefon ve adres değil, size şirketinizin verdiği arabanın plakası da çalışanın kullandığı bilgisayarın IP adresi de kişisel veri kapsamına giriyor. Bizde hiç kişisel veri yok, tutmuyoruz diyen şirkette bile en az 20 bin civarında kişisel veri çıkıyor. Kan grubu, din, dil, ırk, sendikalılık hali gibi kişisel verilerin ise hassas kişisel veri kapsamına giriyor. Kişinin izni olsa bile paylaşılamayacak. Şirketler Kişisel Verileri Koruma Kurulu’na başvurup bir sicil numarası alması ve çalışmalara bir an önce başlaması gerekiyor. Bu kanun neler getiriyor?

-Kişisel verilerinizin istemediğiniz şekilde kullanıldığını düşünüyorsanız önce o şirkete başvuruyor ve kişisel verilerinizin silinmesini isteyebiliyorsunuz. Kanun burada kişilere geniş haklar veriyor. Bu kapsamda şirketlere yazılı olarak başvurup verilerinizin ne amaçla kullanıldığını, ne şekilde işlendiğini, kimlerle paylaşıldığını sorma hakkına sahipsiniz.

-Başvurulan şirketin 30 gün içinde kişiye geri dönüşte bulunup bir yanıt vermesi gerekiyor. Bu yapılmaz ya da kişi yanıtı beğenmezse, Kişisel Verileri Koruma Kurulu’na şikayette bulunabiliyor.

-Kurul şikayeti 60 gün içinde değerlendirmek durumunda. Bu değerlendirme sonrasında eğer bir ihlal görüyorsa bunun ortadan kaldırılmasını şirketten talep ediyor.

-Kurul ihlalin boyutunun büyük olduğuna karar verirse yasada belirtilen para cezalarına hükmediyor.

-Kanuna göre kişisel verilerin korunmasında ihbar müessesesi de var. Buna göre herhangi biri “Şu şirkette kişisel verilerin kullanımında kanuna aykırılık var” diye ihbarda bulunabiliyor. Kurul, bu ihbarı ciddi bulursa bir inceleme başlatıyor.

-Hapis cezası ise savcılığa suç duyurusunda bulunulması sonrası söz konusu olabiliyor. Yasaya göre kişisel verilerinizin kasıtlı olarak kanuna aykırı biçimde kullanıldığını düşünüyorsanız savcılığa suç duyurusunda bulunma hakkına sahipsiniz.