Kişisel Verilerin Korunması Kanunu Uyum Süreci

6698 Sayılı Kişisel Verilerin Korunması Kanunu 07 Nisan 2016 tarihinde resmi gazetede yayınlanarak yürürlüğe girmiştir. Kanunla verilen görevleri yerine getirmek amacıyla Kişisel Verileri Koruma Kurumu kurulmuştur.

Kanunun amacı,  kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Kanun özel sektörde ve kamu sektöründe belirli sınırlamalarla kişisel verilerin korunması ve işlenmesine dair süreçler ile yükümlülükleri düzenlemektedir.

Günlük hayatımızdaki birçok işlemi gerçekleştirirken kimlik bilgileri, kredi kartı bilgileri, sosyal ve kültürel bilgiler, sağlık verileri, adli veriler, banka hesap bilgileri, kamera görüntüleri, IP Adresi bilgileri, konum bilgileri gibi kişisel verilerimizi kullanıyoruz. Kayıt altına alınan, depolanan veya işlenen bu veriler, niteliklerine göre bizim için kişisel veri vasfını koruyor.

Kanun’da yer alan ve kişilerin hassas verileri olan ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri, biyometrik ve genetik verileri özel nitelikli kişisel veriler olarak tanımlanıyor.

Kurumlar da faaliyet alanlarına göre çeşitli sebeplerle kişisel verileri veya özel nitelikli kişisel verileri işliyor. Kurumunuz tamamen veya kısmen otomatik yollarla kişisel verileri işliyorsa kanun kapsamına giriyorsunuz demektir. Veri işleyen kurumlar kanunda veri sorumlusu olarak kabul ediliyor.

Kişisel veriler ve özel nitelikli kişisel veriler ilgili kişinin açık rızası olmadan işlenemeyecektir. Ancak kanunda belirtilen bazı istisnai durumlarda yeterli önlemlerin alınması şartıyla veriler açık rıza almaksızın işlenebilecektir.

‘Veri İşlemek’ kanunda belirtilen bir terimdir ve “kişisel verilerin tamamen veya kısmen otomatik ve otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi” gibi veriler üzerinde gerçekleştirilen her türlü işlem anlamına gelmektedir.

07.04.2016 tarihinden önce işlenmiş olan veriler, 2 yıl süreyle yani 07.04.2018 tarihine kadar kanun hükümlerine uygun hale getirilmelidir. 07.04.2016 tarihinden itibaren işlenmiş olan veriler bir yıl içerisinde kanuna uygun olacak şekilde işlenmek zorundadır.  07.10.2016 tarihine kadar 6 aylık cezasız bir dönem öngörülmekte ve bu tarihe kadar kurumlar kurallara uyum çalışmalarını bitirmekle yükümlüdürler. Kanundaki kurallara uyum sağlanamaması durumunda, 1 ve 3 yıl arasında değişen hapis cezaları ile ihlal başına 1 milyon TL’ye kadar varan para cezaları gibi ağır hükümler uygulanabilir.

 

Kanunun 07.04.2016 tarihinden itibaren yürürlüğe girdiğini dikkate alırsak, önümüzdeki 6 aylık süreçte kanuna uyum sağlanmalı ve bu konudaki faaliyetler yerine getirilmelidir. Bizim önerimiz:

Kurum içerisinde veri sorumlusu belirlenmeli ve Kişisel Verileri Koruma Kurumu tarafından oluşturulacak olan Veri Sorumluları Siciline başvurular hazırlanmalı,

Kurumda bulunan her seviyedeki çalışana farkındalık eğitimi verilmeli,

Teknolojinin getirdiği yenilikler takip edilmeli,

Açık rıza sistemi IT mimarisi ile uyumlu hale getirilmeli,

Veriler tek başlarına anlam ifade edemeyecek şekilde dağıtık olarak tutulmalı,

Oluşturulacak olan ekibin hangi veriyi nasıl güvence altına alacağını anlatan süreçler oluşturulmalı,

Süreçlerin etkin bir şekilde çalışmasına yardımcı olacak teknoloji tesis edilmeli,

İşlenen, kaydedilen ve saklanan verilerin log’ları tutulmalı,

Kimin hangi veriye ulaşacağı belirlenmeli,

Güvenlik ekibi oluşturulmalı,

Çevresel olarak fiziksel güvenlik önlemleri alınmalı,

Tutulan verilerin güvenlik tedbirleri alınmalı ve güvenlik testleri yapılmalı,

Kurumun web sitesinde gizlilik kontrolü yapılmalı,

Verinin üçüncü kişilerle paylaşılması durumunda watermarking (paylaşılan verinin işaretlenmesi) yapılmalı,

Bilgi paylaşımında bulunulan üçüncü taraflarla ilgili güvenlik kontrolleri yapılmalı,

Tutulan kişisel veriler sınıflandırılmalı ve şifrelenmeli. Şifreler uygun şekilde saklanmalı,

Elektronik ticaret engellenmeyecek şekilde kişisel veriler korunmalı,

Yabancı ortaklı şirketler iletişim içinde oldukları ülkelerin politikalarını dikkate alarak veri paylaşım politikası belirlemeli.

 

Ayrıca, kanunda yer alan bazı haklar ve yükümlülükler bulunmaktadır. İlgili kişi Veri Sorumlusuna başvurarak;

Verinin nasıl işlendiği hakkında bilgi talep etme,

İşlenen verinin amacına uygun olup olmadığını öğrenme,

Verilerinin yurt içinde veya yurt dışında üçüncü taraf firma/kurumlara aktarıldığını öğrenme,

Yanlış işlenmiş verilerinizin düzeltilmesini isteme,

Verilerin silinmesini veya yok edilmesini talep etme,

Kişinin aleyhine ortaya çıkan sonuca itiraz etme,

Kanuna aykırı olarak işlenen verinin sonucunca doğacak zararın giderilmesini talep etme,

haklarına sahiptir.

 

https://www.resmigazete.gov.tr/

Bğlantılı Yazılar