Mobile logo
Top

Kişisel Verileri İşlerken Nelere Dikkat Etmek Gerekir?

Bilgi Bankası Nasıl? Veri Koruma Yazı

Kişisel Verileri İşlerken Nelere Dikkat Etmek Gerekir?

Kişisel verileri işlemek birçok iş yeri için gerek kanuni gerekse de ticari sebeplerle kaçınılmaz olsa da bu faaliyetler esnasında yapılması/yapılmaması gereken birçok husus bulunmakta. Özellikle hukuka aykırı olarak işleme halinde uğranılabilecek idari para ve hapis cezaları ile ödenmek zorunda kalınacak tazminatlar göz önüne alındığında kurallara riayet etmenin ne denli önemli olduğu bir kez daha açığa çıkıyor. Bu yazının amacı yalnızca kişisel verileri işlerken dikkat edilmesi gerekenleri irdelemek olup farklı yönlerden bilgi edinmek için “Kişisel Verilerin İşlenmesi Nedir?” ve “Veri Sorumlusu- Veri İşleyen Ayrımı” başlıklı yazılarımızı da okuyabilirsiniz.

1) Veri İşleme Şartlarına Sahip Olmak

Kişisel verileri işlemeye başlamadan önce evvela veri sorumlusunun “veri işleme şartlarından en az birine” sahip olması gerekmektedir. Bu kapsamda genel kural olarak Kanun, kişisel verileri işlemeden önce veri sahiplerinden açık rıza alma zorunluluğunu temel prensip olarak kabul etmiştir.

Açık rıza veri sahibinin belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızasını ifade etmekte olup örneğin müşterilerinin beğendiği ürünlere ilişkin verileri işlemek isteyen bir e-ticaret sitesi, bu faaliyetlerine başlamadan önce müşterisinden bu faaliyetine ilişkin açık bir rıza almak zorundadır.

Açık rızanın ne olduğuna ilişkin daha detaylı bilgi edinmek için “Açık Rıza Nedir?” başlıklı yazımızı inceleyebilirsiniz.

Her ne kadar açık rıza temel bir prensip olarak sunulsa da Kanun, bazı hallerde açık rıza olmadan da kişisel verilerin işlenebilmesine izin vermektedir. Kanunda sayılan diğer veri işleme şartları aşağıdaki şekildedir:

  • Kanunlarda açıkça öngörülme,
  • Fiili imkânsızlık,
  • Bir sözleşmenin kurulması veya ifası için gerekli olma,
  • Veri sorumlusunun hukuki yükümlülüğü,
  • İlgili kişinin kendisi tarafından alenileştirilme,
  • Bir hakkın tesisi, kullanılması veya korunması,
  • Veri sorumlusunun meşru menfaati

Dolayısıyla örneğin bir işveren 4857 sayılı İş Kanunu uyarınca yükümlü olduğu için personelinin özlük bilgilerini işlerken veya Linked-in’de (mezuniyet yılı, iş tecrübesi gibi) veri sahibi tarafından zaten alenileştirilmiş kişisel verileri işlerken veri sahibinden açık rıza almakla mükellef değildir.

Konuyla ilgili daha detaylı bilgi edinmek için açık rıza dışındaki veri işleme şartlarının incelendiği “Hangi Hallerde Açık Rıza Gerekmez?” başlıklı yazımızı okuyabilirsiniz.

Hassas Verilere İlişkin Özel Durum:

Kişinin ırk, etnik köken, din, mezhep, siyasi görüş gibi bilgileri Kanun’da hassas veri olarak düzenlenmiş olup bu veriler yalnızca açık rıza ile veya Kanunlarda öngörülmesi halinde işlenebilir.

Sağlık ve cinsel hayata ilişkin hassas kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.

Dolayısıyla örneğin, kişinin kan grubu veya resmi (örneğin; sedef hastalığı olması halinde) sağlık verisi niteliğinde olduğu için eğer yukarıdaki şartları taşımıyorsa veri sahibinin açık rızası olmaksızın işlenemeyecektir.

Hassas veriler ile ilgili daha detaylı bilgi edinmek için “Hassas Veri Nedir?” başlıklı yazımızı inceleyebilirsiniz.

2) Genel İlkelere Uygun Hareket Etmek

Her ne kadar veri işleme şartlarına sahip olunsa da Veri sorumluları kişisel veri üzerinde sınırsız yetkiye sahip olmayıp ancak belirli ilkeler dâhilinde bu kişisel verileri işleyebilecektir. Bu kapsamda veri sorumlularının kişisel veri işlerken dikkat etmesi gereken ilkeler aşağıdaki şekilde sıralanmaktadır

  • Hukuka ve dürüstlük kurallarına uygun olma.
  • Doğru ve gerektiğinde güncel olma.
  • Belirli, açık ve meşru amaçlar için işlenme.
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Bu kapsamda her ne kadar veri sahibinden bu yönde açık rıza alınsa dahi kişisel veriler (örneğin kişilerin ırklarına göre kategorize edilerek ayrımcılığa tabi tutulması gibi ) hukuka aykırı bir amaçla işlenemez veya sınırsız süre boyunca saklanamaz. Daha geniş kapsamlı bilgi edinmek için kişisel veri işlemede uyulması gereken genel ilkelerin anlatıldığı Açık Rıza Almak Sınırsız Özgürlük Verir mi?” başlıklı yazımızı inceleyebilirsiniz.

3) İşleme Amacı Kalktığında Silme, Yok Etme veya Anonimleştirme

Kanun genel ilkelerde değindiği bu hususu önemine binaen ayrı bir başlıkta daha düzenlemiş olup veri sorumluları; kişisel verileri işlemeyi gerektiren bütün sebeplerin ortadan kalkması halinde işlenen kişisel verileri silmek, yok etmek veya anonim hale getirmekle yükümlü tutulmuştur. Bu kurala uyulmaması halinde ise veri sorumluları hakkında bir yıldan iki yıla kadar hapis cezasına hükmedilir.

Dolayısıyla örneğin bütün veri işleme amacı ortadan kalkmasına rağmen personelinin veya müşterilerinin verilerini saklamaya devam eden veri sorumluları hakkında bir yıldan iki yıla kadar hapis cezası verilecektir.

Daha detaylı bilgi için “Kişisel Verilerin Anonim Hale Getirilmesi” başlıklı yazımızı inceleyebilirsiniz.

4) Kişisel Verilerin Yurt İçinde veya Yurt Dışına Aktarılması

Veri depolamada maliyet avantajı, ticari ortaklıklar, üçüncü kişilerden hizmet alma vb. amaçlarla elde edilen kişisel veriler yurt içi veya yurt dışındaki üçüncü kişilere aktarılmak zorunda kalınsa da bunun için veri sahibinden usulüne uygun şekilde açık rıza almak gerekmektedir. Açık rızanın olmadığı hallerde veri işleme şartlarından en az birine sahip olunması zorunludur. Ancak açık rıza olmadığı halde kişisel veriler yurt dışına aktarılacaksa bu durumda veri aktarılacak ülkenin Kurul tarafından “yeterli korumanın bulunduğu ülke” olarak ilan edilmesi veya veri aktaran ile veri aktarılan arasında bir taahhütname bulunması ve Kurul’un aktarıma izin vermesi gerekmektedir. Bu kurallara uyulmaması halinde veri aktaran hakkında 4 yıla kadar hapis cezasına hükmedilecek olup daha detaylı bilgi için “Kişisel Verilerin Aktarılması” ve “Kişisel Verilerin Yurt dışına Aktarılması” başlıklı yazıları inceleyebilirsiniz.

5) Veri Sahibinin Aydınlatılması

Veri sorumlusu, kişisel verileri elde etme esnasında bizzat veya yetkilendirdiği kişi aracılığıyla veri sahibini aydınlatmakla mükelleftir. Aydınlatma yükümlülüğü kapsamında veri sorumlusu, veri sahibini

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • Veri sahibinin hakları

hususlarında gerekli bilgiyi vermekle yükümlüdür. Bu hususlara uyulmaması halinde Kurul tarafından veri sorumlusu hakkında 100.000 TL’ye kadar idari para cezası verilebilecek olup aydınlatma yükümlülüğü ile ilgili daha detaylı bilgi edinmek için “Aydınlatma Yükümlülüğü Nedir” başlıklı yazımızı inceleyebilirsiniz.

6) Veri Güvenliğine İlişkin Tedbirler Alma

Kişisel verileri işleyen veri sorumlusu;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla mükelleftir. Hatta veri sorumlusu, kişisel verileri (Pazar Araştırma Şirketi, bulut platformu gibi) veri işleyenlere aktarması halinde, işbu kişisel verilerin güvenliğine ilişkin alınması gereken tedbirlerden de sorumlu olup gerekli özenin gösterilmemesi halinde veri sorumlusu hakkında 1.000.000 TL’ye kadar idari para cezasına hükmedilebilecektir.

7) Veri Sorumluları Siciline Kayıt Yaptırma

Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Sicili’ne kayıt yaptırmak zorundadır.

Ancak bu kural her veri sorumlusu için mutlak olmayıp Kurul; işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi objektif kriterleri göz önüne alarak bu kurala birtakım istisnalar getirmektedir.

Veri Sorumluları Sicili’ne kayıt yaptırmakla yükümlü olmasına rağmen bu yükümlülüğünü getirmeyenler hakkında Kurul tarafından 1.000.000 TL’ye kadar idari para cezasına hükmedilebilecek olup konuyla ilgili daha detaylı bilgi için “Veri Sorumluları Sicili” başlıklı yazımızı inceleyebilirsiniz.

8) Talep Halinde Veri Sahiplerini Bilgilendirme

Tüzel kişi veri sorumlularıVeri Sorumluları Sicili Hakkında Yönetmelik uyarınca bünyelerinde bir irtibat kişisi atamakla mükellef olup bu irtibat kişisinin görevi Kurul ve veri sahipleri ile iletişimi sağlamaktır. Veri sorumlusu, veri sahiplerinin taleplerini irtibat kişisi aracılığıyla, en geç otuz gün içinde ücretsiz olarak sonuçlandırmakla mükelleftir. Cevabın yeterli bulunmaması, olumsuz olması ve cevap verilmemesi halinde veri sahiplerinin Veri sorumlusunu Kurul’a şikayet etme hakkı saklı olup konuyla ilgili daha detaylı bilgi almak için “Kişisel Verileri Koruma Kurumu’na Nasıl Şikâyette Bulunulur?” başlıklı yazımızı inceleyebilirsiniz.

15 Şubat 2018
0
0
veri işleme
Related Posts
Kişisel Sağlık Verilerinin İşlenmesi
 10 Mart 2018
Konum Verisinin İşlenmesi
 6 Şubat 2018
Kişisel Verileri Dijital Ortamda Tutmak
 12 Ocak 2018
Oğuz Yavuz
Oğuz Yavuz
Yorum Bulunmuyor

Yorum Yapın