Ekim ayı sonunda Resmi Gazete’de yayımlanan yönetmelik 1 Ocak 2018’den itibaren kişisel veri bulunduran her kurumun hayatını değiştirecek.

Bilgi teknolojilerinin gelişmesiyle her gün milyonlarca noktada depolanan kişisel verilere ulaşım kolaylaşınca, veri güvenliğini korumaya yönelik düzenlemelere hız verildi.

 

KPMG Türkiye Şirket Ortağı Av. Onur Küçük, ‘Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 1 Ocak 2018 itibarı ile yürürlüğe gireceğini belirtti. Küçük, “1,5 ay sonra, gerçek kişilere ait kişisel veri bulunduran tüm kamu ve özel kurumlar, bulundurdukları kişisel verileri, silme, yok etme veya anonim hale getirme yükümlülüklerinin ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde bu verileri silmek, yok etmek veya anonim hale getirmek zorunda, aksi halde TCK uyarınca cezai işlem uygulanacak” uyarısında bulundu.

Onur Küçük, “Kişisel Verileri Koruma Kanunu’nun 4’üncü maddesi, kişisel verilerin ilgili mevzuatta süre belirtilmesi halinde, söz konusu süre boyunca saklanmasını öngörüyor. İlgili mevzuatta süre öngörülmemiş olması halinde ise kişisel veriler işlendikleri amaç için gerektiği kadar saklanabilir. Kişisel verilerin işlenmesini gerektiren şartların tamamı ortadan kalktığında, kurumlar bu verileri kendiliğinden veya veri sahibinin talebi üzerine silmeli, yok etmeli ya da anonim hale getirmeli” dedi.

Kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm bilgilerin ‘kişisel veri’ olarak değerlendirildiğini vurgulayan Küçük, şöyle devam etti:

Kişinin adı, soyadı, doğum yeri, doğum tarihi gibi kimlik bilgileri kişisel veridir. Ancak telefon numarasından pasaport numarasına, taşıt plakasından sosyal güvenlik numarasına, parmak izinden IP adresine kadar günlük hayatın her aşamasında kayıt altına alınan bilgiler de kişisel veri kapsamında düşünülmeli. Düzenleme gereği, bu tür verileri kayıt altında tutan kurum ve kuruluşlar verileri periyodik olarak silecek, yok edecek veya anonim hale getirecek. Kurumlar, verilerin silindiğine, yok edildiğine veya anonim hale getirildiğine ilişkin kayıtları üç yıl muhafaza edecek. Burada kişisel verilerin yok edilmesi, bu verilerin hiç kimse için hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini tanımlıyor.

Kişisel veriyi korumayı amaçlayan imha süreçlerinin hukuki ve teknik önlemler alınarak ve sistemler kurularak yönetilmesi gerektiğini ifade eden Küçük, “Aksi halde Kişisel Verilerin Korunması Kanunu’nun (KVKK) atıfta bulunduğu Türk Ceza Kanunu’nda (TCK) öngörülen hapis cezasını içeren müeyyidelerle karşı karşıya kalınabilir. KVKK’nın 17’nci maddesi ve TCK’nın 138’inci maddesi; kanunla belirlenen sürelerin geçmesine rağmen verileri sistem içinde yok etmekle yükümlü olanların, görevlerini yapmadıkları takdirde bir yıldan iki yıla kadar hapisle cezalandırılmasını öngörüyor” diye konuştu.

 

KPMG, son yıllarda önem kazanan siber güvenliğe şirketlerin bakış açısını incelemişti.

28 ülkeden 800 şirketin faaliyet raporlarının mercek altına alındığı araştırmada, Avrupalıların hassas bir tavırla yaklaştığı siber güvenliğe Türkiye’deki şirketlerin aynı önemi göstermediği ortaya çıktı. KPMG Danışmanlık Bölümü Şirket Ortağı Tanıl Durkaya, “Araştırmaya katılan 20 şirketin 18’inin faaliyet raporlarında, siber güvenlikle ilgili tek satır bilgilendirme bulunmuyor” dedi.

KPMG’nin Raporuna Göre Türkiye Siber Güvenliği Hafife Alıyor