Yapay zeka aracı ile özetlenmiştir
Kişisel Verilerin Korunması Kanunu'na göre, kişisel verilerin işlenmesi için genel şartların gerçekleştirilmesi gerekmektedir. Örneğin, işveren çalışanın çocuk sayısını öğrenebilir ancak etnik kökenini bilmesi gereksizdir. Kişisel verilerin işlenmesi için izin alınması önemlidir ve veri sahibinin haklarına saygı gösterilmelidir. Ayrıca, veri sorumlularının belirli kurallara uyması ve verilerin üçüncü kişilere aktarılması da belirli şartlara tabidir.
İçindekiler
1. Kanunlarda açıkça öngörülmüş olması
2. Kişinin rızası alınamayacak durumda olması halinde kişinin korunması için işlemenin zorunlu olması
3. Verinin, bir sözleşmenin kurulması veya ifasıyla direkt ilgili olması
4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi
5. İlgili kişinin kendisi tarafından açıkça paylaşılması
Kişisel Verilerin Korunması Kanunu hakkında bilinmesi gereken bazı önemli detaylar bulunuyor. Bu kanunun amacının, kişisel verilerin işlenmesini engellemek olmadığı bilinmelidir. Temel amaç kişisel verilerin, veri sahibinin izniyle alınmasını sağlamak ve kötü amaçlar için kullanılmasını önlemektir. Bu bağlamda kişisel verilerin işlenmesi, bazı genel şartların gerçekleştirilmesiyle mümkündür. Kanunun gerektirdiği genel şartları bu yazımızda ayrıntılı biçimde işliyoruz.
İşlenmesi için izin alınan bir verinin dahi, kötüye kullanılmasının olumsuz sonuçları olabilir. Örneğin; işveren çalışanına Asgari Geçim İndirimi ödemek için kaç çocuğunun olduğunu öğrenmelidir. Bu kanun ile belirtilmiştir. Ancak etnik kökenini bilmesi, o çalışanın işe yatkınlığını ölçmek veya başka herhangi bir şey için gerekli değildir. Bu bilginin açık rıza ile alınması durumunda bile çalışana yapılacak ayrımcı davranışın karşılığı hem tazminat hem de hapis cezası olacaktır.
Kişinin rızasını almak fiilen imkansız olduğunda, veri sahibinin korunması amacına yönelik olarak verilerin izin almaksızın işlenebilmesi mümkündür. Örneğin, bilinci kapalı durumdaki hastanın hemen ameliyat edilmesi gerektiğinde, test ve tahliller rıza alınmaksızın yapılabilir.
Bir kurum, izin alarak kişisel verilere ulaştığında o verileri kendi çalışma sistemine göre işleyebilir. Şöyle ki, bir e-ticaret sitesinden aldığınız ürünün size ulaştırılması için firma, verilerinizi kargo firması ile paylaşmak durumundadır. Bir başka örnekle; bir sigorta brokerına giderek sigorta poliçesi talep ettiğinizde ilgili broker fiyat teklifi almak amacıyla sigorta şirketlerine sizin bilgilerinizi iletir. Bu durumda da özel şartlar varsa onay gereklidir. Özel şartlar yoksa onay almaksızın bilgilerinizi paylaşabilir.
Tüzel kişilerin pek çok yükümlülüğü bulunur. Örneğin işçi çalıştıran bir kişi, SGK’ya bildirim yapmak durumundadır. Dolayısıyla çalışanının bilgilerini, ilgili kurumlara iletmek durumundadır.
Bir kişi topluluk içinde kendisiyle ilgili bilgiyi paylaştığında bu bilgi artık işlenebilecektir. Ancak bu durumdan mağdur olması halinde şikayetçi olabilir. Örneğin farklı bir dine veya mezhebe mensup olduğunu açıklayan bir vatandaşın bu nedenle ayrımcılığa tabi tutulması durumunda da o vatandaşın tazmin hakkı saklıdır.
Bu madde şu örnekte olduğu gibi bir durumda geçerli olur: Size yönelik darp eylemi gerçekleşeceğini anlayarak gizlice görüntüleri kaydettiniz. Bu durumda ilgili kişiler, görüntülerinin kişisel veri olduğunu öne sürerek çekim yapmanıza karşı çıkabilir veya görüntüler mahkemeye sunulduktan sonra itiraz edebilir. Ancak bu durumda siz de bahsi geçen madde gereğince veriyi kullanabilirsiniz.
Kişinin çıkarları için, kişi ölçüsüz bir şekilde zarar görmüyorsa veri işlenebilir. Örneğin bir mağazanın müşteri için faydalı olabilecek bir kampanya için veri tabanından iletişim bilgilerini çekerek müşteriye bildirimde bulunması mümkündür. Elbette burada elektronik iletişime geçilmesi için önceden izin alınmış olmalıdır.
Açık rıza, kişinin belirli bir konuda, bilgilendirilme ön koşuluyla özgür iradesi ile karar vermesidir. Bir diğer ifadeyle açık rıza, onay beyanıdır. Açık rıza olduğunu söylemek için; belirli bir konuya dair olması, bilgilendirmeye dayalı olması ve özgür iradeyle açıklanması gereklidir. Açık rızanın geri alınması mümkündür. Ancak bunun için geri alma beyanının veri sorumlusuna (işleme faaliyetlerinden sorumlu olan gerçek ya da tüzel kişi) ulaşması, açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetlerin durdurulması gereklidir.
Veri sorumlusu, açık rızaya dayalı olarak veya diğer şartların gerçekleşmesi halinde veri işleme eyleminin öncesinde ve yapıldığı sırada; veri sahibine, yürüteceği veri işleme faaliyeti ile ilgili birtakım bilgileri vermek zorundadır. Veri sorumlusu, veri sahibine; varsa temsilcisinin kimliği, verilerin hangi amaçla işleneceği, verilerin kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi, kişinin sahibi olduğu hakları hakkında bilgilendirme yapmalıdır.
Veri sahibi;
Kanun’un 7. Maddesi gereğince veri sorumlusu, açık rıza ile veya diğer şartlar ile elde ettiği verileri, veri işleme faaliyetini gerektiren durum ortadan kalktıysa silmek zorundadır. Örneğin bir müşterisine ürünü hakkında bilgi veren şirket, müşterinin hizmet almak istememesi halinde müşteri ile ilgili verileri silmek zorundadır.
İlgili kişiler, verilerini işleyen şirketlere ulaşarak unutulma hakkını kullanmak istediğini bildirdiğinde ilgili şirketler, sadece diğer işleme halleri için ihtiyaç olması halinde bu verileri saklayabilir ve yalnızca bu amaçla ihtiyacın doğması halinde bu verilere ulaşabilirler.
Saklama gerekliliği olmadığında verileri tamamen silmek ya da anonim hale getirmek zorunludur. Bu durumu bir örnekle açıklayım: Unutulma talep eden müşterisi olan bir şirket, ileride açılacak bir davada delil olmak üzere bu müşterinin ödeme ve satın alma bilgilerini saklamaya ticari belge saklama süresi kadar devam edebilir. Sakladığı bu bilgileri ancak mahkemeye taşınan bir anlaşmazlık olması durumunda ya da vergi denetimi olması durumunda kullanabilir.
Veri sorumluları kişisel verileri üçüncü kişilerle paylaşırken bazı kurallar çerçevesinde hareket etmek zorundadır. Verilerin ülke sınırları dışına çıkarılması durumunda da, yurtdışındaki sunucuda depolama gibi belli kurallar uygulanmaktadır. Üçüncü kişiye aktarma ile ilgili kurallar, veri sorumlularından veri işleyenlere yapılan aktarmalarda uygulanmamaktadır.
Üçüncü kişiye veri aktarımı için gereken şartların olmaması durumunda açık rıza ile üçüncü kişilere gönderim yapılabilir. Örneğin bir kişi, yangın sigorta poliçesi aldığı sigorta şirketine hayat sigortası alma talebini ilettiğinde, kişinin bilgileri hayat sigortası şirketine aktarılabilir.
Veri yurtdışına gönderilecekse, gönderilecek ülkenin ya yeterli bir koruma düzeyi (mevzuat) bulunmalı ya da böyle bir ülkede olmayan bir şirkete gönderim için ilgili şirket tarafından bir taahhüt verilerek kurumdan izin alınmalıdır. Örneğin Sibirya’ya sunucu kuran bir Türk şirketi, verileri burada depolamak için (yurtdışına aktarım), belirttiğimiz şartları sağlamalıdır.
Hukuki yükümlülüklerin yerine getirilmesinde asıl sorumlu olan, veri işleme faaliyetlerinin nedenini ve nasıl yapıldığını/yapılacağını açıklayabilme yetisi olan kişidir. Veri sorumlusu bazı durumlarda üçüncü kişilerden destek almaktadır. Örneğin, bir çağrı merkezinde sorumlu, işin kontrolünü ve organizasyonunu yapan asıl şirkettir.
Veri sorumluları, kişisel verileri korumak için idari ve teknik tüm önlemleri (verilere sadece belirli kişilerin ulaşabilmesi gibi) almalıdır. Verilere ulaşma yetkisi bulunan kişilerin verilere neden, ne kadar süre eriştiğini belirleyen şifreleme teknikleri veri sorumlusunun alabileceği önlemlerden biridir. Bu önlemlerin alınmaması durumunda çeşitli cezalar ile karşılaşılması olasıdır.
Veri sorumluları sicili, KVKK kapsamındaki kişilerin kayıt yaptırmakta olduğu sicil olup Kişisel Verileri Koruma Kurumu tarafından tutulmaktadır.
Av. Sezgin Karakaş
Bu internet sitesinde yer alan tüm içerikler, ziyaretçilere bilgi verilmesi amacıyla hazırlanmış olup tavsiye amacı taşımaz. Logo sitede yer alan bilgilerin doğruluğu, güncelliği ve kullanılması konusunda herhangi bir güvence sunmaz. İlgili bilgiler kullanılmadan önce ilgili konu hakkında bir profesyonelle ile görüşülmesi tavsiye edilir. Logo bu sitede yer alan içerikler sebebiyle doğabilecek zararlar bakımından sorumluluk kabul etmez. Lütfen siteyi ve sitedeki bilgileri kullanmadan önce Kullanım Koşulları’nı okuduğunuzdan emin olunuz.
Ürünler hakkında bilgi isteyebilir, demo talebinde bulunabilirsiniz. Uzmanlarımız sizi ihtiyacınıza göre en doğru çözüme yönlendirecektir.