Beyaz Şapka Beyazsapka Kasım 2017 - Page 42

Doç. Dr. Murat Volkan DÜLGER İstanbul Medipol Üniversitesi Hukuk Fakültesi Ceza Hukuku, Ceza Muhakemesi Hukuku ve Bilişim Hukuku öğretim üyesi, Avukat. 42 Ayrıca ilgili kişi, şirketler ya da kurumlarda genellikle dijital her türlü ve- rinin depolanması, aktarılması ve korunmasına ilişkin alt yapı hizmetlerini sunan “bilgi teknolojileri / BT” birimi ya da bu birimin çalışanlarının dışında bulunan kişilerdir. Yönetmeliğin bu tespiti son derece yerinde ve uygula- manın gerçekleriyle örtüşür biçimdedir. Bizim de farkındalık eğitimlerinde ve yürüttüğümüz uyum süreçlerinde gözlemlediğimiz önemli bir husus, BT biriminin kişisel veriler de dahil olmak üzere her türlü veriden sorumlu olduğuna ilişkin yanlış algıdır. Oysa BT birimi Yönetmelikte de gayet güzel bir biçimde ifade edildiği üzere yalnızca verilerin depolanması, korunma- sı, yedeklenmesi, iletilmesi ve işlemeye uygun halde bulundurulmasından sorumludur. Kişisel verileri kaydeden ve işleyenler ise eğer bir şirketten söz ediyorsak; pazarlama, satın alma, insan kaynaklar gibi diğer iş birimleridir. İşte yönetmelikle getirilen bu tanımla “ilgili kullanıcının” bu iş birimleri ol- duğu açıklığa kavuşturulmuştur. Sonuç yerine ana başlıklar Yönetmeliğin incelenmesi sonucu ulaştığım ve dikkate alınması gerekti- ğini düşündüğüm ana başlıklar şunlardır: “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik”, 30224 sayılı ve 28.10.2017 Resmi Gazete’de yayın- landı. Yönetmeliğin 14. maddesine göre yürürlüğe giriş tarihi 1 Ocak 2018 olarak belirlendi. Yönetmeliğin dikkatleri üzerine çeken ilk düzenlemesi “Tanımlar” baş- lıklı 4. maddenin 1. fıkrasının (e) bendinde düzenlenen kişisel veri işleme envanterinin tanımlanmış olması. Yönetmeliğin bu maddesiyle kişisel veri envanterinde bulunması ge- reken asgari şartlar belirlendiği gibi, bu envanterin bulunması Yönetme- liğin bütününden çıkan anlam gereğince bir zorunluluk haline getirilmiş. Yönetmelik gereğince kişisel veri envanterinde bulunması gereken as- gari hususlar şunlardır: Kişisel veri işleme amacı, veri kategorisi, aktarılan