Yeni düzenlemeler bir gereklilik

E-Ticaret ve İnternet Hukuku Derneği tarafından düzenlenen E-Hukuk Sohbetleri’nin 6’ıncısı StartersHub’da düzenlendi ve konuğu, İstanbul Bilgi Üniversitesi Bilişim ve Teknoloji Hukuku Enstitüsü Direktörü Leyla Keser oldu. Programda “Kişisel Verilerin Korunması Kanunu’nun Getirdikleri” konusu ele alındı. 2008'den beri Türkiye’de kişisel verilerin korunmasına yönelik çalışmalar yapıldığını belirten Keser, “AB’ye giriş sürecinde kişisel verilerin güvenliği hakkında kanunumuz olmadığı için ‘güvenli olmayan ülke’ statüsündeydik. Bu kanun, AB ile vizelerin kaldırılmasına dair görüşmelerdeki maddelerden biriydi. Nihayetinde ‘Kişisel Verilerin Korunması Kanunu’ çıktı ve bu kanunla veriye sahip olan tüm kurum ve kuruluşların ‘aydınlatma’ maddesi gereği verinin ait olduğu kişiyi bilgilendirmesi zorunlu hale geldi” bilgisini verdi. Kişisel Veriler’in yanında “Özel Nitelikli Kişisel Veri” kavramına da dikkat çeken Keser, bu kavramın tanımını şöyle yaptı: “İfşa edildiği vakit, bireyi toplum ve devlet karşısında ayrımcılık tehlikesi ile karşı karşıya bırakacak ırk, din, genetik, biyometrik, sağlık, cinsel bilgiler gibi veriler.”
“Bu kurumların bünyelerinde ciddi anlamda ‘Özel Nitelikli’ kişisel veri var, ancak kurumlar bu verilerin işlenmesi ve kişinin rızası alınması konusunda ne yapacaklarını bilemiyorlar” diyen Leyla Keser, şöyle devam etti: 
“Regüle edilen sektörlere özel düzenlemelerin çıkartılması gerek. Kişisel Verilerin Korunması Kanunu’na dair bir takım sektör spesifik uygulamalar da var. Sağlık sektörü böyle bir atılım yaptı. Ellerinde yüksek boyutlarda kişisel verilerin uygulamayı aksatmaması adına ayrı bir komisyon kuruldu. Bunun benzerini bankalar ve sigorta şirketlerinin de yapması gerek.”
 
Kurumsal uyum 1 yılı alabilecek
 
Yürürlükte olan kanuna göre kurumların; Aydınlatma Yükümlülüğünün İhlali, Verilerin Güvenliği İhlali, Sicil Kaydı İhlali ve Kurul Kararı İhlali olmak üzere 4 konuda idari para cezası ile yükümlü olacaklarını belirten Keser’e göre, bu unsurlar dışında tüm ihlaller suç kapsamına girmekte ve hapis cezası ile karşılık bulmakta. Bunların en önemli özelliği ise şikayete bağlı suçlar olmamaları, yani davadan kaçınma şansının olmaması. Kişisel Veri konusunda AB'deki uygulamaları Türkiye'de uygulamaya başladıklarını belirten Keser, “Avrupa'da 1995 yılından itibaren kişisel veri ile ilgili çalışmalar yapılıyor. Avrupa'da bu esnada hangi madde nasıl çalışıyor, hangisi verimli, hangisi uygulamayı aksatıyor gibi konular gözlemlenebildi. Ülkemizde yürürlükte olan kanun AB’nin bu tecrübe ve mirası üzerine oturmakta. AB’de yeni yürürlüğe giren Genel Veri Koruması Tüzüğü’nü ise zaman içerisinde AB’deki uygulama yansımalarını deneyimleyerek göreceğiz” dedi. Bu süreçte şirketlerin yeni kanuna uyum sağlamasının 1 yılı bulabileceği yorumunu yapan Keser, şu detayları paylaştı:
“Bunun en zor ayağını veri analizi ve veri transferi analizleri oluşturuyor. Türkiye'deki mevcut kanunla lokalizasyona dair sınırlama getirilmiyor. Ancak, Avrupa'da bazı ülkelerde sunucuların ABD'de olması dolayısıyla veri transferi hakkında itiraz oldu ve davacı taraf haklı bulundu. Şu anda veri işleyen pek çok şirketin Avrupa'da, İrlanda'da sunucuları mevcut.”