KVKK kapsamında dikkat edilmesi gerekenler

Kişisel Verilerin Korunması Kanunu hakkında bilinmesi gereken bazı önemli detaylar bulunuyor. Bu kanunun amacının, kişisel verilerin işlenmesini engellemek olmadığı bilinmelidir. Temel amaç kişisel verilerin, veri sahibinin izniyle alınmasını sağlamak ve kötü amaçlar için kullanılmasını önlemektir. Bu bağlamda kişisel verilerin işlenmesi, bazı genel şartların gerçekleştirilmesiyle mümkündür. Kanunun gerektirdiği genel şartları bu yazımızda ayrıntılı biçimde işliyoruz.

Kanunlarda açıkça öngörülmüş olması

İşlenmesi için izin alınan bir verinin dahi, kötüye kullanılmasının olumsuz sonuçları olabilir. Örneğin; işveren çalışanına Asgari Geçim İndirimi ödemek için kaç çocuğunun olduğunu öğrenmelidir. Bu kanun ile belirtilmiştir. Ancak etnik kökenini bilmesi, o çalışanın işe yatkınlığını ölçmek veya başka herhangi bir şey için gerekli değildir. Bu bilginin açık rıza ile alınması durumunda bile çalışana yapılacak ayrımcı davranışın karşılığı hem tazminat hem de hapis cezası olacaktır.

Kişinin rızası alınamayacak durumda olması halinde kişinin korunması için işlemenin zorunlu olması

Kişinin rızasını almak fiilen imkansız olduğunda, veri sahibinin korunması amacına yönelik olarak verilerin izin almaksızın işlenebilmesi mümkündür. Örneğin, bilinci kapalı durumdaki hastanın hemen ameliyat edilmesi gerektiğinde, test ve tahliller rıza alınmaksızın yapılabilir.

Verinin, bir sözleşmenin kurulması veya ifasıyla direkt ilgili olması

Bir kurum, izin alarak kişisel verilere ulaştığında o verileri kendi çalışma sistemine göre işleyebilir. Şöyle ki, bir e-ticaret sitesinden aldığınız ürünün size ulaştırılması için firma, verilerinizi kargo firması ile paylaşmak durumundadır. Bir başka örnekle; bir sigorta brokerına giderek sigorta poliçesi talep ettiğinizde ilgili broker fiyat teklifi almak amacıyla sigorta şirketlerine sizin bilgilerinizi iletir. Bu durumda da özel şartlar varsa onay gereklidir. Özel şartlar yoksa onay almaksızın bilgilerinizi paylaşabilir.

Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi

Tüzel kişilerin pek çok yükümlülüğü bulunur. Örneğin işçi çalıştıran bir kişi, SGK’ya bildirim yapmak durumundadır.  Dolayısıyla çalışanının bilgilerini, ilgili kurumlara iletmek durumundadır.

İlgili kişinin kendisi tarafından açıkça paylaşılması

Bir kişi topluluk içinde kendisiyle ilgili bilgiyi paylaştığında bu bilgi artık işlenebilecektir. Ancak bu durumdan mağdur olması halinde şikayetçi olabilir. Örneğin farklı bir dine veya mezhebe mensup olduğunu açıklayan bir vatandaşın bu nedenle ayrımcılığa tabi tutulması durumunda da o vatandaşın tazmin hakkı saklıdır.

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması

Bu madde şu örnekte olduğu gibi bir durumda geçerli olur: Size yönelik darp eylemi gerçekleşeceğini anlayarak gizlice görüntüleri kaydettiniz. Bu durumda ilgili kişiler, görüntülerinin kişisel veri olduğunu öne sürerek çekim yapmanıza karşı çıkabilir veya görüntüler mahkemeye sunulduktan sonra itiraz edebilir. Ancak bu durumda siz de bahsi geçen madde gereğince veriyi kullanabilirsiniz.

Veri sorumlusunun meşru menfaatleri için zorunlu olması

Kişinin çıkarları için, kişi ölçüsüz bir şekilde zarar görmüyorsa veri işlenebilir. Örneğin bir mağazanın müşteri için faydalı olabilecek bir kampanya için veri tabanından iletişim bilgilerini çekerek müşteriye bildirimde bulunması mümkündür. Elbette burada elektronik iletişime geçilmesi için önceden izin alınmış olmalıdır.

Açık rıza nedir?

Açık rıza, kişinin belirli bir konuda, bilgilendirilme ön koşuluyla özgür iradesi ile karar vermesidir. Bir diğer ifadeyle açık rıza, onay beyanıdır.  Açık rıza olduğunu söylemek için; belirli bir konuya dair olması, bilgilendirmeye dayalı olması ve özgür iradeyle açıklanması gereklidir. Açık rızanın geri alınması mümkündür. Ancak bunun için geri alma beyanının veri sorumlusuna (işleme faaliyetlerinden sorumlu olan gerçek ya da tüzel kişi) ulaşması, açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetlerin durdurulması gereklidir.

Veri sahibinin aydınlatılması nedir?

Veri sorumlusu, açık rızaya dayalı olarak veya diğer şartların gerçekleşmesi halinde veri işleme eyleminin öncesinde ve yapıldığı sırada; veri sahibine, yürüteceği veri işleme faaliyeti ile ilgili birtakım bilgileri vermek zorundadır. Veri sorumlusu, veri sahibine; varsa temsilcisinin kimliği, verilerin hangi amaçla işleneceği, verilerin kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi, kişinin sahibi olduğu hakları hakkında bilgilendirme yapmalıdır.

İlgili kişinin hakları nelerdir?

Veri sahibi;

• Verilerinin işlenip işlenmediğini öğrenme
• Verileri işlenmişse buna ilişkin bilgi talep etme
• Verilerin işlenme amacını öğrenme ve bunların amaca uygunluğunu sorgulama
• Kişisel verilerin aktarıldığı üçüncü kişileri bilme
• Verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme
• Verilerin silinmesini veya yok edilmesini isteme
• Kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme haklarına sahiptir.

Kişisel verilerin silinmesi ve Unutulma Hakkı

Kanun’un 7. Maddesi gereğince veri sorumlusu, açık rıza ile veya diğer şartlar ile elde ettiği verileri, veri işleme faaliyetini gerektiren durum ortadan kalktıysa silmek zorundadır. Örneğin bir müşterisine ürünü hakkında bilgi veren şirket, müşterinin hizmet almak istememesi halinde müşteri ile ilgili verileri silmek zorundadır.

İlgili kişiler, verilerini işleyen şirketlere ulaşarak unutulma hakkını kullanmak istediğini bildirdiğinde ilgili şirketler, sadece diğer işleme halleri için ihtiyaç olması halinde bu verileri saklayabilir ve yalnızca bu amaçla ihtiyacın doğması halinde bu verilere ulaşabilirler.

Saklama gerekliliği olmadığında verileri tamamen silmek ya da anonim hale getirmek zorunludur. Bu durumu bir örnekle açıklayım: Unutulma talep eden müşterisi olan bir şirket, ileride açılacak bir davada delil olmak üzere bu müşterinin ödeme ve satın alma bilgilerini saklamaya ticari belge saklama süresi kadar devam edebilir. Sakladığı bu bilgileri ancak mahkemeye taşınan bir anlaşmazlık olması durumunda ya da vergi denetimi olması durumunda kullanabilir.

Kişisel verilerin üçüncü kişilere aktarılması şartları

Veri sorumluları kişisel verileri üçüncü kişilerle paylaşırken bazı kurallar çerçevesinde hareket etmek zorundadır. Verilerin ülke sınırları dışına çıkarılması durumunda da, yurtdışındaki sunucuda depolama gibi belli kurallar uygulanmaktadır. Üçüncü kişiye aktarma ile ilgili kurallar, veri sorumlularından veri işleyenlere yapılan aktarmalarda uygulanmamaktadır.

Üçüncü kişiye veri aktarımı için gereken şartların olmaması durumunda açık rıza ile üçüncü kişilere gönderim yapılabilir. Örneğin bir kişi, yangın sigorta poliçesi aldığı sigorta şirketine hayat sigortası alma talebini ilettiğinde, kişinin bilgileri hayat sigortası şirketine aktarılabilir.

Veri yurtdışına gönderilecekse, gönderilecek ülkenin ya yeterli bir koruma düzeyi (mevzuat) bulunmalı ya da böyle bir ülkede olmayan bir şirkete gönderim için ilgili şirket tarafından bir taahhüt verilerek kurumdan izin alınmalıdır. Örneğin Sibirya’ya sunucu kuran bir Türk şirketi, verileri burada depolamak için (yurtdışına aktarım), belirttiğimiz şartları sağlamalıdır.

Veri işlenmesinde sorumlu kimdir?

Hukuki yükümlülüklerin yerine getirilmesinde asıl sorumlu olan, veri işleme faaliyetlerinin nedenini ve nasıl yapıldığını/yapılacağını açıklayabilme yetisi olan kişidir. Veri sorumlusu bazı durumlarda üçüncü kişilerden destek almaktadır. Örneğin, bir çağrı merkezinde sorumlu, işin kontrolünü ve organizasyonunu yapan asıl şirkettir.

Veri sorumluları, kişisel verileri korumak için idari ve teknik tüm önlemleri (verilere sadece belirli kişilerin ulaşabilmesi gibi) almalıdır. Verilere ulaşma yetkisi bulunan kişilerin verilere neden, ne kadar süre eriştiğini belirleyen şifreleme teknikleri veri sorumlusunun alabileceği önlemlerden biridir. Bu önlemlerin alınmaması durumunda çeşitli cezalar ile karşılaşılması olasıdır.

Veri Sorumluları Sicili nedir?

Veri sorumluları sicili, KVKK kapsamındaki kişilerin kayıt yaptırmakta olduğu sicil olup Kişisel Verileri Koruma Kurumu tarafından tutulmaktadır.

 

Av. Sezgin Karakaş