PwC, Kişisel Verilerin Korunması Kanunu’nu anlattı
Uluslararası denetim, danışmanlık ve vergi hizmetleri şirketi PwC Türkiye uzun zamandır ülke gündeminde olan ve geçtiğimiz haftalarda yürürlüğe giren Kişisel Verilerin Korunması Kanunu’nun detaylarıyla ele alındığı bir bilgilendirme toplantısı düzenledi. Kanaat önderleri ve uzmanlar kanunun kapsamı, uygulama aşamasında atılması gereken adımlar ve Avrupa’dan örnekler gibi konuyla ilgili farklı noktalara değinen sunumlar gerçekleştirdi.
Etkinlikte yaptığı konuşmasında yeni kanun ile kurumsal siber güvenlik yatırımlarının bir lüksten zorunluluğa dönüşeceğinin altını çizen PwC Türkiye Bilgi Güvenliği ve Siber Güvenlik Hizmetleri Lideri A. Burak Sadıç şu yorumda bulundu: “Kanun, özellikle de veri güvenliğine ilişkin yükümlülükleri tanımlayan 12. madde ile siber güvenlik alanını ihmal eden kurumlar için ciddi bir uyarı niteliği taşıyor. Geçtiğimiz haftalarda açıklanan Ulusal Siber Güvenlik Stratejisi de göz önüne alındığında, önümüzdeki senelerde Türkiye’de bu alanda önemli bir dönüşüm yaşanacağını söyleyebiliriz.”
ŞİRKETLER NE YAPMALI?
PwC Türkiye etkinliğinde aktarılan bilgilere göre kişisel verileri işlemek isteyen gerçek veya tüzel kişilerin, hangi verileri ne amaçla işleyecekleri, verilerin kimlere ve hangi yabancı ülkelere aktarılabileceği, verilerin güvenli bir biçimde tutulacağına ilişkin alınan tedbirler gibi bilgileri Kurul başvuru dosyalarında sunması gerekiyor.
Kanun’un yayımlandığı 7 Nisan 2016 öncesinde toplanmış kişisel verilerin, iki yıl içinde Kanun hükümlerine uyumlu hale getirilmesi gerekiyor. Veri sahibini aydınlatma, veri güvenliği, veri siciline kaydolma, Kurul’un kararlarını yerini getirme yükümlülüklerine aykırı hareket edenlerin ise 1 milyon liraya kadar yaptırımlarla karşı karşıya kalması söz konusu. Bununla birlikte, Ceza Kanunu’na göre “hukuka aykırı veri işleyenler” için 1 ila 3 yıl arası, hapis cezası öngörülüyor.
Kanun’a uyum çerçevesinde kurumların yapması gereken ilk adımlardan birinin, mevcut kişisel veri işleme süreçlerini analiz edip mevzuata uyumsuz veri işleme faaliyetlerini tespit etmek olduğunu vurgulayan PwC Türkiye Rekabet ve Regülasyon Direktörü Ali Ilıcak şöyle devam etti: “Kanun’da 7 Ekim’e kadar kurulması öngörülen Kişisel Verileri Koruma Kurumu’nun yerinde inceleme yetkisine sahip olması, şirketlerin yasaya uyumunun önemini artırıyor. Kurallar yoruma açık ilkelerden oluştuğu için yol gösterici ikincil mevzuata ve gerekçeli kurul kararlarına ihtiyaç var. Ancak sonradan sorunla karşılaşmak istemeyen kurumsal şirketler, Avrupa uygulamasının derinlemesine çalışarak Kurul’un benimseyeceği yol hakkında şimdiden fikir sahibi olabilir ve iş süreçlerini uygun hale getirebilir.”