Kişisel Verilerin Korunması Kanunu yürürlüğe girdi. Avrupa Birliği ülkeleri veri koruma konusunda alışkanlıklarını oturtmuş durumda ve yeni güncellemelerle yoluna devam ediyor. Biz ara ara gündeme gelen Kanun hakkında duyarsızlaştığımızdan olsa gerek henüz kendimizi hazırlayamasak da bu sefer gerçekten kişisel verilerin korunması konusunda ülkemizde ciddiye alınması gereken yeni bir dönem başladı.
Kanun, belirli ya da belirlenebilir kişilere ait verileri “kişisel veri” olarak tanımlıyor. Önemli olan soru şu: Bu verilerden yola çıkarak bir kişi tespit edilebilir mi? Eğer bu sorunun cevabı evet ise kural olarak kişisel verilerin işlenmesi için veri sahibinden o işlem ile sınırlı rıza alınması gerekiyor. Peki işleme nedir? Kişisel verilerin toplanması, kaydedilmesi, organize edilmesi, saklanması, değiştirilmesi, okunması, transfer yoluyla başkalarına verilmesi, silinmesi gibi sürekli yaptığımız bu işlemler işlemedir. E-ticarette kişisel veriler aktif ve pasif olmak üzere iki şekilde alınıyor. Üyelik, alışveriş aktif veri toplama iken, sitede gezinmek, çerezlerle de pasif veri toplamaya örnek verilebilir.
E-ticaret sitesinden yapılan bir alışverişte tüketicinin isminin, adresinin, e-posta adresinin işlenmesi bu işlem için meşru bir gerekliliktir. Yani işin gereği özel bir rıza aranmıyor. İşte bu işin gereği alınan veriler, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işlenebilirler. Aksi durumda şirketin sorumlulukları gündeme gelir.
Şirketlerin işlenen kişisel veriler ile ilgili sorulan sorulara cevap vermek, şirketteki siber güvenlik tedbirlerini almak gibi 1.000.000 TL’ye varan cezai yaptırımları olan önemli sorumlulukları vardır. Şirketin bu yetkiyi dışarıya devretmesi pek mümkün görünmüyor. Bu sebeple konunun sahipsiz kalmaması için yönetim kuruldan ilgili bir kişiyi atamak gerekecektir. Şimdiden müşterilerden gelecek kişisel veriler ile ilgili talepler için bir işlem zinciri politikası ve iletişim sistemi kurulması yerinde olacaktır.
Önümüzde iki yıl gibi bir uyum süreci var. Bu sürede uygulamaya yönelik yönetmelikler çıkacak, kişisel veri tutan şirketler veri siciline kaydolacaklar, ellerinde tuttukları verileri kanunla uyumlu hâle getirmek, silmek veya anonim hale getirmek zorunda olacaklar.
Şirketlerin tuttuğu verilerin tasnif edilerek kişisel verileri ayırt etmekte fayda var. Sonra bu kişiler veriler arasında hassas veriler var mı? Varsa gerektiği gibi korunuyor mu? Yurt içinde mi tutuluyor? Bu veriler gerekli mi? Müşteri ilişkisi devam ediyor mu? Satış işlemi dışında profil niteliğinde veriler tutulmuş mu? Ve benzeri soruları sorarak uyum sürecine başlanabilir. Bu sorumluluğu daha öngörülebilir kılmak için şirketlerin dış hizmet alması tavsiye edilebilir.
Her sitede bulunan gizlilik taahhütlerinin elden geçirilerek işlenen verilerin neler olduğu, bu verilerin hangi amaçla kullanıldığı, verilerin saklama süresinin belirtildiği, üçüncü şahıslarla paylaşılmadığının taahhüt edildiği gizlilik taahhütlerine dönüştürülebilir. Buna benzer şirketi içi bir bilgi güvenliği politikası oluşturulması da yapılması gerekenler listesine eklenebilir.
Örneğin çerez kullanımı ile ilgili izin almak da iyi bir başlangıç olabilir. Mobil uygulamaların yayınlanacak ilk güncellemede gereksiz olarak eriştikleri kamera, resim galerisi gibi izinleri düzenlenmesinde fayda var.
Bundan sonra siber güvenlik tedbirlerine daha da önem vermek gerekiyor çünkü yaptırımlar söz konusu. Şirket içerisinde her bir cihazın güvenlik tedbirlerini sağlamalısınız. Dışarıdan alınan hizmet açısından zarar durumunda yapılacakları netleştirmenizde fayda var.
Avrupa Birliği kişisel veriler konusunu çok ciddiye alıyor. Bütün üye ülkelerde geçerli olacak regülasyonları sürekli güncelliyor. Biz geç kalmış olabiliriz fakat önemli bir başlangıç ve bundan sonra da bu süreç aralıksız devam edecek. Gecikmiş bu uygulamalara uyum sağlayamayanlar yeni regülasyonlara uyum sağlamakta daha da zorlanacaktır.
Av.Sertel ŞIRACI
0 Yorum Mevcut