Kişisel Verilerin Korunması Kanunu hakkında bilinmesi gereken bazı önemli detaylar bulunuyor. Bu kanunun amacının, kişisel verilerin işlenmesini engellemek olmadığı bilinmelidir. Temel amaç kişisel verilerin, veri sahibinin izniyle alınmasını sağlamak ve kötü amaçlar için kullanılmasını önlemektir. Bu bağlamda kişisel verilerin işlenmesi, bazı genel şartların gerçekleştirilmesiyle mümkündür. Kanunun gerektirdiği genel şartları bu yazımızda ayrıntılı biçimde işliyoruz.
KANUNLARDA AÇIKÇA ÖNGÖRÜLMÜŞ OLMASI
İşlenmesi için izin alınan bir verinin dahi, kötüye kullanılmasının olumsuz sonuçları olabilir. Örneğin; işveren çalışanına Asgari Geçim İndirimi ödemek için kaç çocuğunun olduğunu öğrenmelidir. Bu kanun ile belirtilmiştir. Ancak etnik kökenini bilmesi, o çalışanın işe yatkınlığını ölçmek veya başka herhangi bir şey için gerekli değildir. Bu bilginin açık rıza ile alınması durumunda bile çalışana yapılacak ayrımcı davranışın karşılığı hem tazminat hem de hapis cezası olacaktır.
KİŞİNİN RIZASI ALINAMAYACAK DURUMDA OLMASI HALİNDE KİŞİNİN KORUNMASI İÇİN İŞLEMENİN ZORUNLU OLMASI
Kişinin rızasını almak fiilen imkansız olduğunda, veri sahibinin korunması amacına yönelik olarak verilerin izin almaksızın işlenebilmesi mümkündür. Örneğin, bilinci kapalı durumdaki hastanın hemen ameliyat edilmesi gerektiğinde, test ve tahliller rıza alınmaksızın yapılabilir.
VERİNİN, BİR SÖZLEŞMENİN KURULMASI VEYA İFASIYLA DİREKT İLGİLİ OLMASI
Bir kurum, izin alarak kişisel verilere ulaştığında o verileri kendi çalışma sistemine göre işleyebilir. Şöyle ki, bir e-ticaret sitesinden aldığınız ürünün size ulaştırılması için firma, verilerinizi kargo firması ile paylaşmak durumundadır. Bir başka örnekle; bir sigorta brokerına giderek sigorta poliçesi talep ettiğinizde ilgili broker fiyat teklifi almak amacıyla sigorta şirketlerine sizin bilgilerinizi iletir. Bu durumda da özel şartlar varsa onay gereklidir. Özel şartlar yoksa onay almaksızın bilgilerinizi paylaşabilir.
VERİ SORUMLUSUNUN HUKUKİ YÜKÜMLÜLÜĞÜNÜ YERİNE GETİRMESİ
Tüzel kişilerin pek çok yükümlülüğü bulunur. Örneğin işçi çalıştıran bir kişi, SGK’ya bildirim yapmak durumundadır. Dolayısıyla çalışanının bilgilerini, ilgili kurumlara iletmek durumundadır.
İLGİLİ KİŞİNİN KENDİSİ TARAFINDAN AÇIKÇA PAYLAŞILMASI
Bir kişi topluluk içinde kendisiyle ilgili bilgiyi paylaştığında bu bilgi artık işlenebilecektir. Ancak bu durumdan mağdur olması halinde şikayetçi olabilir. Örneğin farklı bir dine veya mezhebe mensup olduğunu açıklayan bir vatandaşın bu nedenle ayrımcılığa tabi tutulması durumunda da o vatandaşın tazmin hakkı saklıdır.
BİR HAKKIN TESİSİ, KULLANILMASI VEYA KORUNMASI İÇİN VERİ İŞLEMENİN ZORUNLU OLMASI
Bu madde şu örnekte olduğu gibi bir durumda geçerli olur: Size yönelik darp eylemi gerçekleşeceğini anlayarak gizlice görüntüleri kaydettiniz. Bu durumda ilgili kişiler, görüntülerinin kişisel veri olduğunu öne sürerek çekim yapmanıza karşı çıkabilir veya görüntüler mahkemeye sunulduktan sonra itiraz edebilir. Ancak bu durumda siz de bahsi geçen madde gereğince veriyi kullanabilirsiniz.
VERİ SORUMLUSUNUN MEŞRU MENFAATLERİ İÇİN ZORUNLU OLMASI
Kişinin çıkarları için, kişi ölçüsüz bir şekilde zarar görmüyorsa veri işlenebilir. Örneğin bir mağazanın müşteri için faydalı olabilecek bir kampanya için veri tabanından iletişim bilgilerini çekerek müşteriye bildirimde bulunması mümkündür. Elbette burada elektronik iletişime geçilmesi için önceden izin alınmış olmalıdır.
AÇIK RIZA NEDİR?
Açık rıza, kişinin belirli bir konuda, bilgilendirilme ön koşuluyla özgür iradesi ile karar vermesidir. Bir diğer ifadeyle açık rıza, onay beyanıdır. Açık rıza olduğunu söylemek için; belirli bir konuya dair olması, bilgilendirmeye dayalı olması ve özgür iradeyle açıklanması gereklidir. Açık rızanın geri alınması mümkündür. Ancak bunun için geri alma beyanının veri sorumlusuna (işleme faaliyetlerinden sorumlu olan gerçek ya da tüzel kişi) ulaşması, açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetlerin durdurulması gereklidir.
VERİ SAHİBİNİN AYDINLATILMASI NEDİR?
Veri sorumlusu, açık rızaya dayalı olarak veya diğer şartların gerçekleşmesi halinde veri işleme eyleminin öncesinde ve yapıldığı sırada; veri sahibine, yürüteceği veri işleme faaliyeti ile ilgili birtakım bilgileri vermek zorundadır. Veri sorumlusu, veri sahibine; varsa temsilcisinin kimliği, verilerin hangi amaçla işleneceği, verilerin kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi, kişinin sahibi olduğu hakları hakkında bilgilendirme yapmalıdır.
İLGİLİ KİŞİNİN HAKLARI NELERDİR?
Veri sahibi;
Verilerinin işlenip işlenmediğini öğrenme
Verileri işlenmişse buna ilişkin bilgi talep etme
Verilerin işlenme amacını öğrenme ve bunların amaca uygunluğunu sorgulama
Kişisel verilerin aktarıldığı üçüncü kişileri bilme
Verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme
Verilerin silinmesini veya yok edilmesini isteme
Kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme haklarına sahiptir.
KİŞİSEL VERİLERİN SİLİNMESİ VE UNUTULMA HAKKI
Kanun’un 7. Maddesi gereğince veri sorumlusu, açık rıza ile veya diğer şartlar ile elde ettiği verileri, veri işleme faaliyetini gerektiren durum ortadan kalktıysa silmek zorundadır. Örneğin bir müşterisine ürünü hakkında bilgi veren şirket, müşterinin hizmet almak istememesi halinde müşteri ile ilgili verileri silmek zorundadır.
İlgili kişiler, verilerini işleyen şirketlere ulaşarak unutulma hakkını kullanmak istediğini bildirdiğinde ilgili şirketler, sadece diğer işleme halleri için ihtiyaç olması halinde bu verileri saklayabilir ve yalnızca bu amaçla ihtiyacın doğması halinde bu verilere ulaşabilirler.
Saklama gerekliliği olmadığında verileri tamamen silmek ya da anonim hale getirmek zorunludur. Bu durumu bir örnekle açıklayım: Unutulma talep eden müşterisi olan bir şirket, ileride açılacak bir davada delil olmak üzere bu müşterinin ödeme ve satın alma bilgilerini saklamaya ticari belge saklama süresi kadar devam edebilir. Sakladığı bu bilgileri ancak mahkemeye taşınan bir anlaşmazlık olması durumunda ya da vergi denetimi olması durumunda kullanabilir.
KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLERE AKTARILMASI ŞARTLARI
Veri sorumluları kişisel verileri üçüncü kişilerle paylaşırken bazı kurallar çerçevesinde hareket etmek zorundadır. Verilerin ülke sınırları dışına çıkarılması durumunda da, yurtdışındaki sunucuda depolama gibi belli kurallar uygulanmaktadır. Üçüncü kişiye aktarma ile ilgili kurallar, veri sorumlularından veri işleyenlere yapılan aktarmalarda uygulanmamaktadır.
Üçüncü kişiye veri aktarımı için gereken şartların olmaması durumunda açık rıza ile üçüncü kişilere gönderim yapılabilir. Örneğin bir kişi, yangın sigorta poliçesi aldığı sigorta şirketine hayat sigortası alma talebini ilettiğinde, kişinin bilgileri hayat sigortası şirketine aktarılabilir.
Veri yurtdışına gönderilecekse, gönderilecek ülkenin ya yeterli bir koruma düzeyi (mevzuat) bulunmalı ya da böyle bir ülkede olmayan bir şirkete gönderim için ilgili şirket tarafından bir taahhüt verilerek kurumdan izin alınmalıdır. Örneğin Sibirya’ya sunucu kuran bir Türk şirketi, verileri burada depolamak için (yurtdışına aktarım), belirttiğimiz şartları sağlamalıdır.
VERİ İŞLENMESİNDE SORUMLU KİMDİR?
Hukuki yükümlülüklerin yerine getirilmesinde asıl sorumlu olan, veri işleme faaliyetlerinin nedenini ve nasıl yapıldığını/yapılacağını açıklayabilme yetisi olan kişidir. Veri sorumlusu bazı durumlarda üçüncü kişilerden destek almaktadır. Örneğin, bir çağrı merkezinde sorumlu, işin kontrolünü ve organizasyonunu yapan asıl şirkettir.
Veri sorumluları, kişisel verileri korumak için idari ve teknik tüm önlemleri (verilere sadece belirli kişilerin ulaşabilmesi gibi) almalıdır. Verilere ulaşma yetkisi bulunan kişilerin verilere neden, ne kadar süre eriştiğini belirleyen şifreleme teknikleri veri sorumlusunun alabileceği önlemlerden biridir. Bu önlemlerin alınmaması durumunda çeşitli cezalar ile karşılaşılması olasıdır.
VERİ SORUMLULARI SİCİLİ NEDİR?
Veri sorumluları sicili, KVKK kapsamındaki kişilerin kayıt yaptırmakta olduğu sicil olup Kişisel Verileri Koruma Kurumu tarafından tutulmaktadır.
Kaynak: https://blog.logo.com.tr/kvkk-kapsaminda-dikkat-edilmesi-gerekenler/
