Kişisel verileri toplayan toplayana

Farkında mısınız? Kişisel verileri neredeyse herkes topluyor. Bir de bu toplanan verilerimiz o kadar çok noktaya dağılıyor ki… Sonra da şaşırıyoruz, hiç telefonumuzu vermediğimiz bir şirketin bize bir şey satmak için aramasına… Kişisel Verileri Koruma Kanunu bu duruma bir çeki düzen verecek…

Bir fuara gittim. Basın kayıt bankosuna gittim. Daha önceden kayıt yaptırmadığımı söylediğim için doldurmam için bana bir form uzattılar. 3 sütundan oluşan bir liste. Benden önce gelenler de doldurmuşlar. Adı Soyadı, Yayın, TCKN sütunları var.

Yıllardır basın toplantılarına, etkinliklere katılıyoruz. Eskiden beri gelen alışkanlıklar var. İsim soyisim, çalışılan yayın, cep telefonu, e-posta sorulmasına alıştık aslında da TCKN’nin istendiğini ilk kez görüyorum.

Bu bilgiyi ne için istediklerini sordum. “Bilmiyorum, bu şekilde isteniyor” gibi bir cevap verdi çalışan. Muhtemelen bir ajanstan 2 günlüğüne oraya getirilen birisi olduğu için bilmemesi normal tabii. Bu şekilde insanların TC numaralarını almalarının artık bir suç olabileceğini söylediğimde yetkiliyi çağırdılar. Yetkili de ne kadar yetkili bilemiyorum tabii. Çünkü ona da bu bilgiyi ne için istediklerini sorduğumda ondan da bir cevap alamadım. Benim bunu soruyor olmama şaşırmış gibi bakıyordu. Kişisel Verileri Koruma Kanunu’na göre bu verileri ne amaçla topladıklarını, nasıl saklayacaklarını, kimlerle paylaşacaklarını, nasıl işleyeceklerini, ne kadar süre saklayacaklarını bana bildirmeleri, beni aydınlatmaları gerektiğini söyledim. Bu şekilde herkesin elinde dolaşacak bir forma adımı, soyadımı ve TC numaramı yazmayacağımı söyledim. “Tamam siz yazmayabilirsiniz” dedi sadece…

Peki nedir bu Kişisel Verileri Koruma Kanunu?

Geçtiğimiz yıl yürürlüğe girdi ama şirketlerin konuyu idrak edip uygulamaya başlaması gerekiyor önce. Kanun yürürlükte ama şirketlerin bir kısmı yeni yeni uyanıyor, birer ikişer aydınlatma bildirimlerini sitelerinde yayınlamaya başlıyorlar.

Şirketlerin hali böyle olunca, vatandaşlar da bu aydınlatma bildirimleri gördükçe, uygulamadaki farklılıkları fark ettikçe, “demek bundan sonra böyle olacak” diye uygulamayı göre göre öğrenecekleri dönüşüm süreci yeni başlıyor.

Kişisel Verileri Koruma Kanunu yürürlükte

AB müktesebatı ile uyum çalışmaları kapsamında, Avrupa Birliğinin 95/46/EC direktifine uygun bir şekilde Türkiye de 6698 sayılı Kişisel Verilerin Korunması Kanunu hazırladı. Kanun 24 Mart 2016’da kabul edildi, 7 Nisan 2016 tarihinde yayımlanarak yürürlüğe girdi. Kanunda sayılan 9 madde ise yayımlanma tarihinden 6 ay sonra yani 7 Ekim 2016 tarihinde yürürlüğe girmiş oldu.

Peki bundan sonra ne yapacağız?

Konunun şirketlere bakan yönü oldukça önemli. Çünkü kanuna uymayanlara 1 milyon liraya kadar para ve 3 yıla kadar hapis cezası verilebilecek. Kişisel verilerin kanuna uygun olarak işlenmesi, bireylerin bilgilendirilmesi ve işi biten verilerin silinmesi gerekiyor. Sonra lazım olur diye bir kenarda tutmak da suç.

Para cezası gerektiren suçlar

Kanunun hükümlerine uymayanların karşılaşacağı para cezaları şöyle:

  • Aydınlatma yükümlülüğünü yerine getirmeyenlere 5.000 TL’den 100.000 TL’ye kadar,
  • Veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyenlere 15.000 TL’den 1.000.000 TL’ye kadar,
  • Kurul tarafından verilen kararları yerine getirmeyenlere 25.000 TL’den 1.000.000 TL’ye kadar,
  • Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne uymayanlara 20.000 TL’den 1.000.000 TL’ye kadar idari para cezası verilecek.
Hapis cezası gerektiren suçlar

Özel hayatın korunmasını ve güvence altına alınmasını temin etme amacını taşıyan Türk Ceza Kanununun 135. maddesi, hukuka aykırı olarak kişisel verileri kaydeden kişilere altı aydan üç yıla kadar hapis cezası öngörüyor. Bu suçu kamu görevlisi, görevinin gerektirdiği yetkiyi kötüye kullanarak işlemesi halinde ceza yarı oranında artırılarak uygulanıyor. Benzeri şekilde belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi halinde de ceza yarı oranında artırılıyor. Örneğin serbest çalışan bir doktorun kendisine gelen hastaların tahlil ve diğer raporlarını depolaması kişisel verilerin kaydedilmesi suçunu oluşturuyor.

Örnek uygulamalar başladı

Şirketler kanunun emrettiği aydınlatma bildirimini internet sitelerinden yayınlamaya başladılar. Bunun ilk örneklerinden birisi Koç Holding oldu. SMS ile bildirim yaptığı için Turkcell’in de bilgilendirme metnini yayınladığından haberim oldu. İnternette bulduğum bir diğer örnek Ekin Teknoloji‘nin metni oldu. Gümüştaş Madencilik şirketi PDF olarak yayınlamayı tercih etmiş. Mercedes Benz‘in açıklama metni de arama sonucunda gelenler arasında. Zorlu  PSMHepsiPaydivanYemeksepetiBiletix ve daha fazlası elbette var…

Kanun yürürlükte ancak yönetmelik henüz çıkmadı. Kanuna göre de yönetmeliğin yayımlanması için zaten daha süre var. Kanunun yayımlanmasından itibaren 1 yıl içinde yönetmeliğin çıkması gerekiyor. 7 Nisan 2017’ye kadar yani… Şirketlerin bildirimlerini biraz incelerseniz, benzer yönleri olduğu gibi uygulamada her şirket kendine göre bir yöntem belirlemiş gibi görünüyor. Bazıları e-posta ile bize sorabilirsiniz derken, bazıları ıslak imzalı yazı gönderilmesini veya dijital imzalı e-posta ile kayıtlı e-posta adreslerine başvuruda bulunulması gerektiğini söylüyor. Bazıları internet sitesindeki bir forma yönlendiriyor. Henüz yönetmelik olmadığına göre, bu tür farklılıklar normal olsa gerek.

Hukukçu değilim ancak bu bildirim metinlerini okurken, kişisel verilerimizin aslında ne kadar çok üçüncü kişi ile paylaşılmakta olduğunu ve bundan sonra da bizim iznimizle paylaşılmaya devam edeceğini görmüş oldum. Kanuna göre kişilere tanınan haklar arasında bulunan “Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme” hakkını ne ölçüde karşılıyor emin olamadım.

Şirketler diyor ki, kişisel verilerinizi “birlikte çalıştığımız özel-tüzel kişilerle, kamu kurum ve kuruluşlarıyla, Türkiye’de veya yurt dışında mukim olan  ilgili 3. kişi gerçek kişi/tüzel kişilerle, sigorta şirketleri, bankalar ile, iş ortaklarımızla, tedarikçilerimizle, hissedarlarımızla, özel kişilere, grup şirketleri ile, program ortağı kuruluşlarla, hizmet alınan ve verilen kuruluşlarla ve hizmet aldığımız, işbirliği yaptığımız, program ortağı kuruluşlarla… paylaşabiliriz, devredebiliriz, gerektiğinde yurt dışına aktarabiliriz…

Bu genel bilgilendirme metninde paylaşılacak üçüncü parti kişi, kurum ve kuruluşlar isim isim sayılmıyor. Ancak insanlar formları doldururken bu bilgilerin nasıl işleneceği, ne kadar süre tutulacağı, kimlerle paylaşılacağı net bir şekilde bir şekilde belirtilecek mi hep birlikte yaşayıp göreceğiz.

Diğer türlüsü, *kanun bildirim yayınlamamız emrediyordu, biz de kanundaki ifadeleri kullanarak bildirimi yayınladık, sorumluluktan kurtulduk” diye iş yapmış olmanın ötesine pek geçmeyebilir.

Su aka aka yolunu bulur demiş ecdat. Hele bir yönetmelik de çıksın. Şirketler de neyi nasıl yapmaları gerektiğini daha net görebilsinler. Bu metinler belki revize de edilir, bilgilerimiz alınırken şirket şirket, kurum kurum sayılarak bilgilendirme yapılır belki. Yapılmaz mı sizce?

Haberi xTRlarge.com’da

2017 başından itibaren xTRlarge.com’da Kıdemli Editör olarak çalışıyorum. Kişisel Verileri Koruma Kanunu ile ilgili bir haber çalışmam xTRlarge.com‘da yayınlandı. Daha fazla bilgi için haberi okumanızı öneriyorum. Şirketler yükümlülüklerini yerine getireceklerdir şüphesiz. Bireyler olarak bizler de kanunu okuyup anlamaya çalışmasak dahi, en azından bilgilenmeliyiz. Bize doldurmamız için verilen her formu doldurmamalıyız. Bizler kendimizle ilgili bilgilere sahip çıkmalıyız. Bu anlamda bu kanunun çıkması vatandaşları şirketerlere karşı koruması bakımından oldukça faydalı oldu. Vatandaş, şimdilik sadece şirketlere karşı koruma altında ama hiç yoktan iyidir sonuçta…