E-Ticaret ve İnternet Hukuku Derneği tarafından düzenlenen E-Hukuk Sohbetleri'nin 6.sı gerçekleşti. StartersHub'da düzenlenen söyleşinin bu ayki konuğu, İstanbul Bilgi Üniversitesi Bilişim ve Teknoloji Hukuku Enstitüsü Direktörü Leyla Keser oldu. Son dönemde gerek özel sektör, gerek kamunun yakından takip ettiği ve hukukçuların yoğun katılım gösterdiği programda “Kişisel Verilerin Korunması Kanunu'nun Getirdikleri” konusu tartışıldı.
“Kişisel Verilerin Korunması Kanunu” AB ile vizelerin kaldırılması için kriter
Konuşmasında 2008'den beri ülkemizde kişisel verilerin korunmasına yönelik çalışmalar yapıldığını ve o tarihten bu yana kanunun çıkmasını hızlandıran bazı etkenler olduğunu belirten Keser, “AB'ye giriş sürecinde kişisel verilerin güvenliği hakkında bir kanunumuz olmadığı için güvenli olmayan ülke statüsünde yer alıyorduk. Bu kanun, AB ile vizelerin kaldırılmasına dair yapılan görüşmelerdeki maddelerden de biriydi. Nihayetinde ‘Kişisel Verilerin Korunması Kanunu' çıktı ve bu kanunla veriye sahip olan tüm kurum ve kuruluşların ‘aydınlatma' maddesi gereği verinin ait olduğu kişiyi bilgilendirmesi zorunlu hale geldi.” dedi.
Kişisel Veriler haricinde bir de “Özel Nitelikli Kişisel Veri” kavramı olduğuna dikkat çeken Keser, bu kavramın tanımını ise şu şekilde özetledi: "İfşa edildiği vakit bireyi toplum ve devlet karşısında ayrımcılık tehlikesi ile karşı karşıya bırakacak ırk, din, genetik, biyometrik, sağlık, cinsel bilgiler gibi verilerdir."
“Banka ve sigorta sektörleri için özel kurallar oluşturulmalı”
Kanunun yürülükteki metninde sağlık ve cinsel hayata ilişkin kişisel verilere ilişkin sınırlandırma nedeniyle sigorta şirketlerinin ya da şirketlerdeki insan kaynakları departmanlarının elleri ve kollarının bağlanmış vaziyette olduğunu ifade eden Keser konuşmasını şu şekilde sürdürdü: “Bu kurumların bünyelerinde ciddi anlamda ‘Özel Nitelikli' kişisel veri var ancak bu kurumlar bu verilerin işlenmesi ve kişinin rızası alınması konusunda ne yapacaklarını bilemiyorlar.
Ayrıca regüle edilen sektörlere özel düzenlemelerin çıkartılması da gerekiyor. Kişisel Verilerin Korunması Kanunu'na dair bir takım sektör spesifik uygulamalar da var. Sağlık sektörü böyle bir atılım yaptı. Ellerinde yüksek boyutlarda kişisel veri var. Bunların uygulamayı aksatmaması adına ayrı bir komisyon kuruldu. Bunun benzerini bankalar ve sigorta şirketlerinin de yapması gerekiyor.”
“Kanunun ihlali hapis cezasına neden olabilir”
Şu anda yürürlükte olan kanuna göre kurumların; Aydınlatma Yükümlülüğünün İhlali, Verilerin Güvenliği İhlali, Sicil Kaydı İhlali ve Kurul Kararı İhlali olmak üzere 4 konuda idari para cezası ile yükümlü olacaklarını belirten Keser'e göre bu 4 unsur dışında tüm ihlaller ise suç kapsamına girmekte ve hapis cezası ile karşılık bulmakta. Bunların en önemli özelliğinin ise şikayete bağlı suçlar olmamaları, yani davadan kaçınma şansın bulunmaması.
“Avrupa bu konuda 1995'ten beri çalışıyor”
Kişisel Veri konusunda, AB'deki uygulamaları Türkiye'de uygulamaya başladıklarını dile getiren Keser, “Avrupa'da 1995 yılından itibaren kişisel veri ile ilgili çalışmalar yapılıyor. Bu kanun ortaya çıkmadan önce bunu deneyimleyip gözlemleyebildikleri 20 yıllık bir süreç söz konusu. Avrupa'da bu esnada hangi madde nasıl çalışıyor, hangisi verimli hangisi uygulamayı aksatıyor gibi konular gözlemlenebildi. Ülkemizde yürürlükte olan Kanun işte AB'nin bu büyük tecrübe ve mirası üzerine oturmaktadır. Veri koruması bir kültür, birikim ve tecrübe ile son derece ilintili olduğundan, AB'de yeni yürürlüğe giren Genel Veri Koruması Tüzüğünü ise zaman içerisinde AB'deki uygulama yansımalarını deneyimleyerek göreceğiz.” şeklinde konuştu.
“Verilerin yurtiçi ve yurtdışı transferlerinin tespiti en zor kısım”
Bu süreçte şirketlerin yeni kanuna uyum sağlamasının 1 yılı bulabileceğini de sözlerine ekleyen Keser, “Bunun da en zor ayağını veri analizi ve veri transferi analizleri oluşturuyor. Türkiye'deki mevcut kanunla lokalizasyona dair bir sınırlama getirilmiyor. Ancak Avrupa'daki bazı ülkelerde sunucuların ABD'de olması dolayısıyla veri transferi hakkında itiraz oldu ve davacı taraf haklı bulundu. Şu anda veri işleyen pek çok şirketin Avrupa'da, İrlanda'da sunucuları mevcut.” dedi.
YORUMLAR