Geçtiğimiz haftalarda yürürlüğe giren Kişisel Verilerin Korunması Kanunu’nun detaylarıyla ele alındığı bir bilgilendirme toplantısı düzenlendi. Kanaat önderleri ve uzmanlar kanunun kapsamı, uygulama aşamasında atılması gereken adımlar ve Avrupa’dan örnekler gibi konuyla ilgili farklı noktalara değinen sunumlar gerçekleştirildi.
Etkinlikte yaptığı konuşmasında yeni kanun ile kurumsal siber güvenlik yatırımlarının bir lüksten zorunluluğa dönüşeceğinin altını çizen PwC Türkiye Bilgi Güvenliği ve Siber Güvenlik Hizmetleri Lideri A. Burak Sadıç şu yorumda bulundu:
“Kanun, özellikle de veri güvenliğine ilişkin yükümlülükleri tanımlayan 12. madde ile siber güvenlik alanını ihmal eden kurumlar için ciddi bir uyarı niteliği taşıyor. Geçtiğimiz haftalarda açıklanan Ulusal Siber Güvenlik Stratejisi de göz önüne alındığında, önümüzdeki senelerde Türkiye’de bu alanda önemli bir dönüşüm yaşanacağını söyleyebiliriz.”
KVK Kanunu nedir?
Kimliği belirli veya belirlenebilir gerçek kişilere ilişkin her türlü bilgiyi kişisel veri olarak tanımlayan kanun kapsamında bu verilerin kamu ve özel sektör kuruluşları tarafından nasıl işleneceğine ilişkin esaslar belirleniyor. TBMM’den geçen kanunla birlikte isim-soyisim, TC Kimlik Numarası, Pasaport Numarası, IP adresi, telefon numarası, resim, video ve ses kayıtları, parmak izleri, özgeçmiş, e-posta adresi gibi verilerin yanı sıra hobiler, tercih ve beğeniler, fiziksel özellikler, gezinti alışkanlıkları gibi veriler de artık “kişisel veri” olarak değerlendiriliyor.
Kişisel verilerin; elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması veya kullanılmasının engellenmesi gibi kişisel veriler üzerinde gerçekleştirilen her türlü işlem “kişisel veri işleme” olarak kabul ediliyor. Kanun kişisel verilerin ancak veri sahibinin açık rızası alınarak, belli bir amaç ve süre ile sınırlı işlenmesini şart koşuyor.
KVK Kanunu sonrası şirketlerin yapması gerekenler…
PwC Türkiye etkinliğinde aktarılan bilgilere göre kişisel verileri işlemek isteyen gerçek veya tüzel kişilerin, hangi verileri ne amaçla işleyecekleri, verilerin kimlere ve hangi yabancı ülkelere aktarılabileceği, verilerin güvenli bir biçimde tutulacağına ilişkin alınan tedbirler gibi bilgileri Kurul başvuru dosyalarında sunması gerekiyor.
Kanun’a aykırı hareket edenlere 1 milyon TL ceza
Kanun’un yayımlandığı 7 Nisan 2016 öncesinde toplanmış kişisel verilerin, iki yıl içinde Kanun hükümlerine uyumlu hale getirilmesi gerekiyor. Veri sahibini aydınlatma, veri güvenliği, veri siciline kaydolma, Kurul’un kararlarını yerini getirme yükümlülüklerine aykırı hareket edenlerin ise 1.000.000 TL’ye kadar yaptırımlarla karşı karşıya kalması söz konusu. Bununla birlikte, Ceza Kanunu’na göre “hukuka aykırı veri işleyenler” için 1 ila 3 yıl arası, hapis cezası öngörülüyor.
Kanun’a uyum çerçevesinde kurumların yapması gereken ilk adımlardan birinin, mevcut kişisel veri işleme süreçlerini analiz edip mevzuata uyumsuz veri işleme faaliyetlerini tespit etmek olduğunu vurgulayan PwC Türkiye Rekabet ve Regülasyon Direktörü Ali Ilıcak şöyle devam etti: “Kanun’da 7 Ekim’e kadar kurulması öngörülen Kişisel Verileri Koruma Kurumu’nun yerinde inceleme yetkisine sahip olması, şirketlerin yasaya uyumunun önemini artırıyor. Kurallar yoruma açık ilkelerden oluştuğu için yol gösterici ikincil mevzuata ve gerekçeli kurul kararlarına ihtiyaç var. Ancak sonradan sorunla karşılaşmak istemeyen kurumsal şirketler, Avrupa uygulamasının derinlemesine çalışarak Kurul’un benimseyeceği yol hakkında şimdiden fikir sahibi olabilir ve iş süreçlerini uygun hale getirebilir.”