7 Nisan 2016 tarihinde yürürlüğe giren “Kişisel Verilerin Korunması Kanunu” kapsamında şirketlere uyum çalışmaları için verilen altı aylık süre 7 Ekim’de doluyor. KPMG Türkiye Bilgi Sistemleri Risk Yönetimi Bölüm Başkanı ve Şirket Ortağı Sinem Cantürk, bu tarihten sonra yasada öngörülen şartlara ve veri işlemeye dair koşulları yerine getirmeyen şirketlerin ciddi cezalarla karşı karşıya kalacağını söyledi. Yasaya göre yükümlülüklerini yerine getirmeyen şirketleri, 5 bin TL’den başlayıp 1 milyon TL’ye kadar çıkabilen para cezası ile 1-4,5 yıl arası hapis cezası bekliyor 5 bin-1 milyon TL para, 1-4,5 yıl hapis cezası yolda Avrupa Birliği’nin direktiflerine uygun olarak kişisel verilere dair çerçeve bir düzenleme getirmeyi amaçlayan “Kişisel Verilerin Korunması Kanunu” 7 Nisan 2016 tarihinde yürürlüğe girdi. Şirketlerin kanuna uyumlu hale gelmesi için verilen süre ise 7 Ekim 2016 tarihinde sona eriyor. Buna göre yükümlülüklere uyum sağlamayan şirketleri ise idari ve cezai yaptırımlar bekliyor. Güncelleme şart KPMG Türkiye KPMG Türkiye Bilgi Sistemleri Risk Yönetimi Bölüm Başkanı ve Şirket Ortağı Sinem Cantürk konuyla ilgili yaptığı değerlendirmede “Şirketlerin uyum yükümlülüklerini yerine getirmesi için öncelikle mevcut durumlarını analiz etmesi, işledikleri kişisel verileri bir envanter olarak ortaya koyması, Kanun’a uygun olacak şekilde kişisel veri işleme prosedürlerini oluşturması ve mevcut sözleşmelerini güncellemesi gerekiyor” dedi. Yasada 7 Ekim 2016’ya kadar 6 aylık cezasız bir dönem öngörüldüğünden, veri sorumlusu şirketlerin 7 Ekim 2016’ya kadar yasada öngörülen şartlara ve veri işlemeye dair kurallara uyum çalışmalarını tamamlamış olurlarsa, Kanun’daki cezai yaptırımlara konu olmayabileceğini belirten Cantürk, “İhlal durumunda, ihlalin tipine göre ihlal başına 5 bin liradan 1 milyon liraya kadar idari para cezası verilebilmekte; yine ihlalin niteliğine göre 1 yıldan 4.5 yıla kadar hapis cezasıyla sonuçlanabilmektedir” dedi. Yasa ne diyor? Yasaya göre kişisel verinin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade ettiğini söyleyen Sinem Cantürk, “Bu bilgiler çalışanlarınıza, müşterilerinize veya iş ortaklarınıza ait olabilir. Yasa sadece gerçek kişilere ait kişisel verileri koruma altına aldığından, tüzel kişilere ait veriler yasa kapsamında değil. Yasada tanımlanan ‘özel nitelikli kişisel veriler’ (sağlık, biyometrik özellikler, üyelikler, cinsel yaşam, ırk, din, vs.) ise daha az istisnadan yararlanabiliyor ve işlenmeleri belli kurallara bağlı” dedi. Cantürk “Kişisel verilerin ve özel nitelikli kişisel verilerin, ilgilinin ‘açık rızası’ olmaksızın işlenmesi yasak olup, üçüncü kişilere veya yurtdışına aktarılmamalı ve kullanım amaçları bittiğinde silinmeli veya anonimleştirilmelidir. Ancak Kanun’da sayılan çok sınırlı haller ile ve yeterli önlemlerin alınması şartıyla açık rıza kuralına bazı istisnalar getirilmiştir” uyarısını da yaptı. “Veri işleme” yasada açıkça tanımlanmış teknik bir terim ve verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmek için kullanılıyor.   Uyum yükümlülükleri Kanunun hem özel sektör, hem de belirli sınırlamalara tabi olarak kamu sektörü için kişisel verilerin korunması ve işlenmesine dair süreçler ile yükümlülükleri düzenlediğini belirten Sinem Cantürk yükümlülükleri ise şöyle sıraladı: Aydınlatma: Veri sorumlusu veya yetkilendirdiği kişinin, veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile yasanın 11’inci maddesinde ilgili kişiye sağlanan haklara dair, kişileri bilgilendirmesi ve aydınlatması gereklidir. Veri güvenliğinin sağlanması: Veri sorumlusu şirketler; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi: Kanun ve ilgili diğer mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, verinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmesi, yok edilmesi veya anonim hale getirilmesi gereklidir. Yurtdışına veri aktarımı: Yasa uyarınca kural olarak ilgili kişinin açık rızası olmaksızın yurt dışına veriler aktarılamaz. Kişisel veriler, ancak yasada sayılan sınırlı hallerde ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması durumunda mümkün olmaktadır. Cezai yaptırımlar kapıda Yasanın, uyum açısından sadece, 7 Nisan 2016 tarihinden önce işlenmiş olan kişisel veriler için bir istisna getirmiş olduğuna dikkat çeken Sinem Cantürk, bu verilerin işlenme süreçlerinin de 7 Nisan 2018’e kadar sürecek bir uyum dönemi içinde Kanun hükümlerine uygun hâle getirilmesinin beklendiğini belirtti. Yasaya göre yükümlülüklerini yerine getirmeyen şirketleri 5 bin TL’den başlayıp 1 milyon TL’ye kadar çıkabilen idari yaptırımlar ile 1 yıldan 4.5 yıla kadar çıkabilen cezai yaptırımlar bekliyor.