Hazırlık bitti, şimdi uyum zamanı

7 Nisan 2016 tarihinde yürürlüğe giren Kişisel Verilerin Korunması Kanunu kapsamında şirketlere uyum çalışmaları için verilen altı aylık süre 7 Ekim itibariyle doldu. Bireysel ve kurumsal farkındalığın gelişmesi, kimlere ait, hangi verilerin nasıl saklandığı ve saklanması gerektiği konusunda bir strateji artık şart. Zira yasada öngörülen şartlara uymayan şirketleri, ihlalin tipine göre ihlal başına 5 bin TL’den başlayıp 1 milyon TL’ye kadar çıkabilen para cezası ile 1-4.5 yıl arası hapis cezası bekliyor.
Avrupa Birliği (AB) direktifleri paralelinde kişisel verilere dair çerçeve bir düzenlemeyi hedefleyen Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihinde yürürlüğe girerken, şirketlerin kanuna uyumlu hale gelmesi için verilen süre 7 Ekim’de sona erdi. Yani, yükümlülüklere uyum sağlamayan şirketleri idari ve cezai yaptırımlar bekliyor. Veri işleme; yasada açıkça tanımlanmış teknik bir terim ve verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veri üzerinde her türlü işlemi ifade etmek için kullanılıyor.
Kanunda kişisel veri ise kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanıyor. Bu anlamda, herhangi bir bireyi tanımlayabilecek unsurların tamamı kişisel veri olarak görülecek, her olay özelinde ilgili kişisel veri kapsamı genişletilebilecek. Burada  en önemli konu herhangi bir şekilde kişisel veri toplayan, işleyen ve saklayan tüzel ve gerçek kişilerin, kendi işleyişleri açısından bu tanımları yapmaları, bunu yaparken de hukuki anlamda uzmanlardan görüş almaları. Detayları EY Türkiye Vergi ve Hukuk Bölümü Şirket Ortağı Ahmet Sağlı ve EY Türkiye Danışmanlık Bölümü Direktörü Ümit Şen anlatıyor:
 
Yasa çerçevesinde kişisel verileri nasıl korumak gerekiyor? 
Ahmet Sağlı: Kişisel verilerin korunması aslında veri güvenliğiyle uğraşan profesyoneller için tanımı basit, fakat uygulamada birçok zorluğu beraberinde getiren bir konu. Bir kurum nezdinde düşünüldüğünde; güvenliğinin sağlanmasına yönelik önlemlerin alınabilmesi için öncelikle kişisel veri olarak nasıl bir veri kümesine sahip olunduğunun anlaşılması, bunun gerek iş yapma şekilleri gerekse ilgili bilgi sistemlerindeki işlenme ve depolanma unsurları açısından bir envanter mantığında yönetilebilmesi faydalı olur. Hangi veri unsurun nasıl ve hangi önlemlerle korunabileceği kararı sağlıklı olarak ancak bu şekilde verilebilir. Kanun’a uyum ve veri güvenliği konusunda mevcut durumda denetimlerin yaptırılması kişisel veri sorumlusunun görevlerinden biri. Bu anlamda, özellikle kurumlarda önümüzdeki dönemde bu alanda iç denetim ve/veya dış denetim çalışmalarının yapılmaya başlanacağını öngörebiliriz. Ancak Kişisel Verilerin Korunması Kurumu altında Kurul’un da teşkiliyle, önümüzdeki dönemlerde uygulamalara yönelik tariflerle birlikte denetim gereksinimleri açısından ek yükümlülükler getirilebileceği tahmin edilmekte. AB’deki örnekleri incelediğimizde, özellikle belirli ülkelerde sektörel bazda denetim yükümlülüklerinin mevzuatta yer aldığını ve bunun düzenli olarak uygulandığını görüyoruz.
 
Kişisel verileri korumak adına hangi sektörler ve hangi ölçeklerde şirketler, ne gibi önlemler almak ve bunları kontrol etmek zorunda?
Ahmet Sağlı: Kişisel Verilerin Korunması Kanunu; Türkiye’de yine kanunda tanımı yapılan kişisel verileri tamamen ya da kısmen otomatik olarak veya bir veri kayıt sisteminin parçası olarak toplayan, işleyen, saklayan tüm tüzel ve gerçek kişiler için geçerli. Mevcut haliyle herhangi bir sektör ya da ölçek sınırlaması olmayıp, kişisel verileri toplayan, işleyen saklayan tüm tüzel ve gerçek kişiler kanuna tabi. Bununla birlikte kanun; bankacılık, sigorta ve emeklilik, ilaç firmaları ve hastaneleri içeren sağlık, telekomünikasyon, enerji ve perakende gibi kişisel verilerin yoğun işlendiği sektörleri yakından ilgilendirmekte. Kişisel veri toplayan tüm tüzel ve gerçek kişiler, kanunda belirtilen tanımlar ve istisnalar çerçevesinde öncelikle kişisel verilerin tanımını yapıp tespit ederek, bunların veri kayıt sistemlerine girişi, işlenişi ve depolanması amacıyla ilgili kişisel veri sahibinin açık rızasını da alacak şekilde gerekli iş akışlarını ve işlemleri yerine getirmek durumunda. Bu iş akışları, aynı zamanda kişisel veri envanterinin oluşmasına yardımcı olması amacıyla önemli. Zira, kişisel veri işleyen tarafından hangi kategorilerde kişisel verilerin işlendiğinin, bunların yurtiçinde ve yurtdışında kimlerle paylaşılmasının öngörüldüğünün ve kişisel veri güvenliğine karşı alınmış önlemler gibi bilgilerin kanun kapsamında kurulan Kişisel Verilerin Korunması Kurumu nezdinde kayıt ettirilmesi zorunlu. Devamında, söz konusu verilerin gerek şirket içinde gerekse üçüncü taraflarla paylaşımı sırasında gizlilik ve bütünlük açısından güvenliğinin sağlanması için gerekli önlemlerin teknolojik yatırımlarla desteklenecek şekilde alınması da önemli. 
 
Kamu ve özel sektörde bu verileri korumak adına uygulama ve gerekliliklerde nasıl bir süreç var? 
Ümit Şen: Özel sektörde şirket ve kurumların kişisel verilerin işlenmesi ile ilgili tüm süreçleri kanuna uyumlu hale getirmeleri esas. Kanun 7 Ekim 2016 tarihi itibariyle tüm hükümleriyle yürürlükte olduğundan bu süreçlerin şirket ve kurumlar tarafından ivedilikle yerine getirilmesi gerek. Esasen, kişisel verilerin işlenmesine ilişkin uyum gereksinimleri açısından kanun nezdinde kamu sektörü açısından da farklı bir beklenti var. Buradaki en önemli konu, belirli kamu kuruluşlarında çok önemli kişisel verilerin saklanması ve işlenmesi. Burada tüm kimlik ve adres bilgileriniz, sahip olunan gayrimenkullere ilişkin tapu kayıtları, çalışma ve emeklilik hayatınıza dair bilgiler, tüm sağlık kayıtlarınız ve sahip olduğunuz taşıtlara ilişkin bilgiler gibi bir kişisel veri sahibini tanımlayabilecek veri kümesi bulunmakta. Bu anlamda kamu kuruluşlarının da kanuna uyum konusunda belirttiğimiz çalışmaları yürüteceği, yürütmesi gerektiği  değerlendirilmekte. Bununla birlikte, kanun ile ilgili olarak ileride düzenlenecek ikincil mevzuat ile söz konusu bilgilerin bir kısmı kanun kapsamında istisnalara girebilir ve kişisel verilerin kanunda tarif edildiği gibi açık rıza alınmadan işlenmemesi gerektiğine dair hükümlerin bu tür verilere uygulanmaması gündeme gelebilir.
 
Verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi başlığında bireylerin farkındalığını nasıl değerlendiriyorsunuz? 
Ümit Şen: Bu konu özellikle yoğun şekilde kişisel veri işleyen şirket ve kurumların en önemli gündem maddelerinden biri. Nitekim ilgili olabilecek diğer yasal mevzuat hükümlerinin saklı kalması koşuluyla kanuna göre kişisel verinin işlenmesine ilişkin amaç ortadan kalktığında ya da ilgili kişinin talebi üzerine bunların silinmesi, yok edilmesi ve anonim hale getirilmesi gerek. Kanunda da ifade edildiği şekilde, ikincil mevzuatın düzenlenmesi beklenmekle birlikte, bahsettiğimiz bir envanter çalışması olmadan hangi verinin hangi kayıt sisteminde saklandığını tespit etmek ve bilmek her defasında ciddi bir çalışma gerektirecek.
 
AB direktifleri bu yasal çerçevede nasıl bir yere sahip? 
Ahmet Sağlı: AB, dünyada çok uzun süredir kişisel verilerin korunmasına yönelik düzenlemelerin olduğu bölgelerin başında. AB, 30 yılı aşkın bir tarihçeyle birlikte 1995’ten beri bu konuda direktiflere sahip ve bunların ülke yasal düzenlemelerine sirayet eden uygulamalarla ciddi şekilde incelenmesi gereken bir konumda. Bizim kanunumuzun da AB direktifleriyle paralellik taşıdığını göz önüne alırsak, AB’deki geçmiş ve mevcut uygulamaların tüm yönleriyle ve örnekleriyle ele alınması ülkemizdeki uygulamalara kılavuzluk etmesi açısından da önemli.
 
Şirketler, uyum yükümlülüklerini belirlemeden önce neler yapmalı? 
Ahmet Sağlı: Aslında en doğru yöntem öncelikle tüm kişisel veri toplama, işleme ve saklama yapısının anlaşılması, kanun beklentileri açısından eksikliklerin tespit edilmesi ve 7 Ekim 2016 tarihinde yürürlüğe giren kanun hükümlerinin öncelikli olarak değerlendirilmesi olacak. Söz konusu eksikler tespit edildiğinde, kişisel veri envanteri eşliğinde ilgili süreçlerin buna göre yerine getirilmesi, kişisel veri işlenmesi ile ilgili şirket için gerekli yetkilendirmelerin yapılması ve bir yandan da bu verilerin güvenliğinin sağlanması adına önlemlerinin ele alınması gerek. Temel olarak şirket ve kurum organizasyonu içerisinde farklı birimlerin bir araya gelerek ortak bir çalışma yapması ve her birimin gerekli katkı ve desteği vererek sorumluluk alması önemli. Bu bağlamda, şirket ve kurumların hukuk birimleri başta olmak üzere, kişisel veri işleme süreçleriyle ilgili bilgi teknolojileri, insan kaynakları, satış ve pazarlama gibi birimlerin oluşturduğu bir çalışma grubunun oluşturulması özellikle uyum sürecinde faydalı olacak. Kanun tarafından getirilen idari para cezaları ve cezai müeyyideler düşünüldüğünde; şirket ve kurumlarda yönetim kurulları başta olmak üzere yönetim kadrolarının tüm uyum sürecinde sevk ve idareden sorumlu olması ve şirket genelinde bu konuda farkındalığı artırıcı çalışmaların yapılmasını sağlamaları, ileride doğabilecek sorunları engellemek açısından önemli. 
 
Şirketleri ne gibi yaptırımlar bekliyor? 
Ümit Şen: Kanunda getirilen yükümlülüklere uyulmaması durumunda bazı yaptırımlar öngörülüyor. Kanunda Suçlar ve Kabahatler başlıklarında ortaya konduğu şekilde belirli maddelerin ihlal edilmesi aydınlatma yükümlerine uyulmaması, kişisel veri güvenliği için yeterli önlemlerin alınmaması, Kurul’un kararlarına uyulmaması ya da belirlenecek sicile kayıt olunmaması gibi durumlarda 1 milyon TL’ye kadar idari para cezası öngörülmüş durumda. Ancak bunun ötesinde, kanunda belirtilen şekilde kişisel verilerin işlenmesine ilişkin şartlar ortadan kalktığında bunların silinmesi, imha edilmesi ya da anonimleştirilmesi hükmüne aykırı davrananlar hakkında ve kişisel verilerin işlenmesi ile ilgili cezalar bakımından Türk Ceza Kanunu’nun ilgili hükümlerine atıf yapılmış ve hapis cezası ile sonuçlanabilecek cezai müeyyideler öngörülmüş durumda.