banner2

İş Merkezleri ve Plazalar büyük cezalar almak durumunda kalabilir...

Türkiye’de kişisel verilerin korunması kanunla güvence altına alınsa da çoğu özel şirket ve kamu kurumu sisteme uyum sağlayamadı. Oysa kanun herhangi bir gerekçeyle bireylerden kimlik istenmesini bile suç sayıyor. Şikayet olması halinde ise ağır cezalar var. Türkiye’de ceza üst sınırı 1 milyon TL’ye, yurtdışında 20 milyon euro ya da küresel cironun yüzde 4’üne kadar çıkıyor.

İş Merkezleri ve Plazalar büyük cezalar almak durumunda kalabilir...

Bilişim Sektörü İş Adamları ve Profesyonelleri Derneği (BİSİAD) Yüksek İstişare Kurulu Başkanı Osman Akın, Kişisel Verilerin Korunması Kanunu (KVKK) ve AB Genel Veri Koruma Yönetmeliği’ne (GDPR) uymayan tüm özel şirketlerin ve kamu kurumlarının ağır cezalarla karşı karşıya kalabileceğini açıkladı. Ceza üst sınırının Türkiye’de 1 milyon TL, AB ülkelerinde de 20 milyon euro ya da küresel cironun yüzde 4’ü kadar olduğunu söyleyen Akın, “AB’ye uyum kapsamında hazırlanan ve Nisan 2016’da Resmi Gazetede yayımlanarak yürürlüğe giren KVKK ile ilgili ülkemizde çok ciddi bir açık var. Kanunun geçici maddesi gereği veri sorumlularının yükümlülüğü yayım tarihinden itibaren 2 yıl sonra yani Nisan 2018’de yürürlüğe girdi. Ancak veri sorumlularının çok büyük bir kısmı kendilerine tanınan bu sürede hazırlıklarını tamamlayamadı” dedi. Bugün gelinen noktada özel ve kamu çoğu kurumun kanunu ihlal ettiğini ileri süren Akın, “Örneğin herhangi bir plazaya ya da iş merkezine gittiğinizi düşünelim. Girişte güvenlik görevlisi kimliğinizi isteyip kişisel bilgilerinizi deftere ya da bilgisayara işliyor. Hatta kimliğiniz saatlerce güvenlikte kalabiliyor. Bu uygulama KVKK’ye göre ciddi bir suç. Şu an plazalar, işletmeler, iş merkezleri gibi özel ya da kamu tüm kurumların çoğu bu suçu işliyor” şeklinde konuştu. Parmak izi, biyometrik fotoğraf gibi verilerin de kanun kapsamında yer aldığını söyleyen Akın, şunları kaydetti:

“Türkiye henüz bu kanunun farkında değil. Kişisel verilerin alınması için mutlaka açık rızanın olması gerekiyor. KVKK sistemleri bu uyumu sağlıyor. Türkiye’de kişisel verilerin başkaları tarafından rastgele kullanılmasını önlüyor. GDPR’ye uyumsa yurtdışı faaliyeti olanlar için çok önemli. Şikayetin AB ülkelerinde yapılması halinde ortaya çıkan cezalar kurumları iflasa bile sürükleyebiliyor.”

“Türkiye’de KVKK’ye uyumlu şirket sayısı 50’yi geçmez”

Bilgi Güvenliği Danışmanı Osman Bolat, Türkiye’de çok az kurumun KVKK’ye uyumlu olduğunu belirterek, “Şu an ülkemizde KVKK’ye uyumlu şirket sayısı 50’yi geçmez Aslında kurumlarımız bu kanuna uyumla ilgili kanuni gereklilikleri biliyor ama teknik çalışmalarda yetersiz kalıyor. Ağırlıklı büyük kurumlar kanuna uyumu sağlamaya çalışıyor. Devlet kurumları da buna dahil” dedi. Türkiye’nin aynı zamanda GDPR’ye de entegre hale gelmesi gerektiğinin altını çizen Bolat, “KVKK sadece Türkiye’yi ilgilendirdiği için ülke sınırlarımız içinde uygulanıyor. GDPR ise AB ve diğer ülkelerde geçerli. Örneğin herhangi bir AB şirketinin ya da vatandaşının kişisel verileri ihlal edilirse GDPR devreye giriyor” ifadelerini kullandı. Bolat, özellikle turizm sektörünün, plazaların, iş merkezlerinin, eğitim ve sağlık kurumlarının cezalarla karşılaşabileceği konusunda uyardı.

Para cezasının yanı sıra cezai ve hukuki sorumluluğu var

Kişisel verilerin korunmasıyla ilgili işletmelerin özellikle açık rızaya dikkat etmediğini söyleyen Bilişim Hukukçusu Dr. Cankat Taşkın, bunun idari para cezasının yanı sıra cezai ve hukuki sorumluluğu olduğunu vurguladı. Bunun Türkiye’de ve Avrupa’da hukuki örnekleri olduğuna işaret eden Taşkın, “Örneğin siz işletme olarak kişisel verilerimi kullanıp beni zarara sokarsanız tazminat talebinde bulunabilirim. Sorumluluktan kurtulma gibi bir durum yok. İdari para cezası, Kişisel Verileri Koruma Kurulu’nun uyguladığı bir yaptırım. Bunun dışında zarar gören bireyler Cumhuriyet savcılıklarına suç duyurusunda bulunabilecekleri gibi tazminat davası açabilir” şeklinde konuştu. Verinin ancak ilgili kişinin verdiği sınır dahilinde kullanılabileceğini belirten Taşkın, “İşletmeler; veriyi işlerken, paylaşırken ve kullanırken bu sınırlara bağlı kalmalı ve korumak için gereken teknik önlemleri almalı” dedi.

KVKK’ye göre hak ihlalinde bulunan veri sorumlularını ne tür cezalar bekliyor?

Türkiye’de Kişisel Verilerin Korunması Kanunu’na (KVKK) uymayan veri sorumluları 1 milyon TL’ye kadar idari para cezasıyla karşı karşıya kalabilir. Bu hak ihlalinin idari para cezasının yanı sıra cezai ve hukuki sorumluluğu da var.

Avrupa Birliği’ne uyum kapsamında hazırlanan ve Nisan 2016’da Resmi Gazetede yayımlanarak yürürlüğe giren 6698 sayılı KVKK ile ilgili Türkiye’de çok ciddi açıklar bulunuyor. Kanunun geçici maddesi gereği veri sorumlularının yükümlülüğü yayım tarihinden itibaren iki yıl sonra yani Nisan 2018’de başladı. Buna göre, kanunun yayımı tarihinden önce işlenmiş kişisel verilerin iki yıl içinde kanun hükümlerine uygun hale getirileceği, kanun hükümlerine aykırı olduğu tespit edilen kişisel verilerin derhal silineceği, yok edileceği ya da anonim hale getirileceği hükme bağlandı. Yine bu kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızaların bir yıl (Nisan 2017) içinde aksine bir irade beyanında bulunulmaması halinde kanuna uygun kabul edileceğine hükmedildi.

Netice itibariyle, tüm veri sorumlularının bu süreler içinde hem kendi sistemlerini oluşturması hem de ilgili rızaları alması gerekiyordu. Ancak veri sorumlularının çok büyük bir kısmı kendilerine tanınan bu sürede hazırlıklarını tamamlayamadı.

Bugün gelinen noktada, KVKK kapsamında düzenlendiği şekli ile ihlale yol açan eylemlerde bulunan veri sorumlularını şikayet olması halinde 1 milyon TL’ye kadar idari para cezaları bekliyor. Bu hak ihlalinin idari para cezasının yanı sıra cezai ve hukuki sorumluluğu da var. Örneğin veri sahibi kişinin genel hükümlere göre tazminat davası açma hakkı da bulunuyor.

Plazalar ve iş merkezleri yüksek cezalarla karşılaşabilir

Kişisel Verilerin Korunması Kanunu’na (KVKK) uyulmaması halinde 1 milyon TL’ye kadar idari para cezasıyla karşılaşabilecek veri sorumlularından biri de plazalar ve iş merkezleri gibi işletmeler.

Örneğin herhangi bir plazaya müşteri ya da ziyaretçi olarak gittiğimizi düşünelim. Plaza girişinde güvenlik görevlisi kimliğimizi isteyip kişisel bilgilerimizi deftere ya da bilgisayara işliyor. Kimliğiniz saatlerce güvenlikte kalabiliyor. Kimliğimizde vatandaşlık numaramızdan doğum tarihimize kadar tüm verilerimizin olduğu düşünüldüğünde uygulamanın ne kadar yanlış olduğu ortaya çıkıyor. Herhangi bir veri sızıntısı ya da hırsızlığı durumunda veri sahibi ihlal edilmiş oluyor. Parmak izi, biyometrik fotoğraf gibi veriler de bu kapsamda yer alıyor.

İşte, KVKK de bu uygulamayı ciddi bir suç olarak görüyor. Şu an KVKK’ye uyum sağlamayan plazalar ve iş merkezleri gibi işletmeler bu suçu işliyor. Kanun, sadece özel şirketleri değil, kamu kurumlarını da kapsıyor. Türkiye ise bu kanunun henüz farkında değil.

KVKK’ye göre, kişisel verilerin alınması için mutlaka açık rızanın olması gerekiyor. Veri sahibinin şikayetçi olması halinde plazalar ya da iş merkezleri gibi işletmeleri üst sınırı 1 milyon TL’ye kadar çıkan idari para cezaları bekliyor. Bu hak ihlalinin idari para cezasının yanı sıra cezai ve hukuki sorumluluğu da bulunuyor.

Güncelleme Tarihi: 11 Şubat 2019, 11:27
YORUM EKLE
SIRADAKİ HABER