Hapis cezası yolda

Bundan birkaç yıl önce gerçekleştirdiğimiz CIO Ödülleri etkinliğinde konuşan o dönemin BTK Başkanı Tayfun Acarer şöyle demişti, “Kişisel verilerin ülke sınırları dışına çıkarılmasını engelleyeceğiz, bu konuda her şirket şimdiden önlemini alsın.”

Konu aslında gayet net ve basit. Bulut servisler bu kadar yaygınlaşırken, artık verinin nerede, hangi sunucuda, hangi veri merkezinde olduğu bile bilinmezken, Türkiye finans sektörü başta olmak üzere bir dizi regülasyon ile bu verileri koruma altına almaya çalıştı. Yani kanunlarımız diyor ki, Murat Yıldız’a ait olan kişisel veriler ve özellikle finansal verilerin Türkiye sınırları içerisindeki sunucularda barındırılması şarttır. Devlet burada kurumlara bir zorlaştırma yolu tercih ederken, vatandaşının kişisel haklarını koruma altına almak istiyor. 

Hal böyle olunca Google, Microsoft ve Amazon gibi kurumsal bulut servisi sağlayıcılar için sıkıntılı bir süreç başlamış oldu. Bu ve benzeri kurumlara ait servislerin birçoğu ABD merkezli sunucularda saklanıyor. Avrupa Birliği tarafından getirilmiş bazı regülasyonlar sebebiyle benzer sunucular Avrupa’da da var. Ancak dünyanın en önemli pazarlarından biri olan Türkiye tek başına bu küresel devleri ikna edip, ülke sınırları içerisinde de veri merkezleri oluşturmalarını sağlayamıyor. 

Tüm bu süreç devam ederken, yepyeni bir kanun geldi. Kişisel Bilgilerin Mahremiyetinin Korunması Kanunu gereği artık tüm kişisel verilerin saklanabilmesi için sizden tekrar izin alınması gerekiyor. Üstelik bu verilerin nasıl saklandığı ve hangi tip veriler olduğu da çok önemli. Örneğin bir ürün satın aldığınızda satıcı mecburen vergi bilgilerinizi almak ve saklamak zorunda. Ancak kurumsal CRM’e hangi ürünü aldığınızı, yaşınızı, cinsiyetinizi ve buna benzer başka bilgileri eklemeyebilmesi için sizden izin alması gerekiyor. Daha da önemlisi bugüne kadar sakladıkları tüm veri için de aynı izni almaları veya imha etmeleri gerekecek. Peki bu veriler imha edilmez, ya da kullanılmaya devam edilirse ne olacak? Ceza Kanunu’nda 135. maddede karşılığı şu şekilde belirlenmiş: 

(1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye “bir yıldan” üç yıla kadar hapis cezası verilir.

(2) Kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgileri kişisel veri olarak kaydeden kimse, yukarıdaki fıkra hükmüne göre cezalandırılır.

Kişisel verilerin korunmasına yönelik olarak geliştirilen bu yeni kanun birçok sektörü baştan şekillendirecek gibi görünüyor. Örneğin fütursuzca kimlik bilginizi ve hatta göz retinanızı tarayarak saklayan plaza güvenlikleri bu bilgileri saklamak için sizden izin talep edecek. Fatura bilgisi haricinde doğum gününüzü ya da tuttuğunuz takımı, evli ya da bekar olduğunuzu CRM verisine kaydetmiş olan bankalar, perakende zincirleri… yani tüm sadakat kart programına sahip işletmeler, bu verileri saklayabilmek için tüm müşterilerinden onay almak zorundalar. Çağrı merkezlerine ve iletişimcilere daha fazla iş düşecek. Birkaç ay sonra yürürlüğe girecek olan kanun için şimdiden hazırlıklarınızı yapıp, verilerinizi gözden geçirmenizde fayda var. Aksi halde iş işten geçmiş olabilir.