Kişisel verileri işleme faaliyeti gösteren gerçek veya tüzel kişi veri sorumluların bu eylemi gerçekleştirirken bazı hususlara dikkat etmesi gerekir. Bu yazımızda dikkat edilmesi gereken temel ilkeleri ele alacağız.
Kişisel verilerin işlenmesinde;
- Hukuka ve dürüstlük kuralına uygun olma,
Veri sorumlusu kişisel verileri işlerken hukuka uygun hareket etmeli, kanun hükümlerinin belirlediği kurallara uymalıdır. Ayrıca hukukumuzun temel ilkelerinden olan dürüstlük kuralına uygun hareket etmelidir. İlgili kişinin öngörmediği veya öngörmesini gerektiren bir durumun olmaması halinde ortaya çıkan sonuçları veri sorumlusu dürüstlük kuralına uygun olarak önlemeli ve hakkını kötüye kullanmamalıdır. Örneğin; veri sorumlusu, ilgili kişinin talebiyle ya da saklama süresinin bitmesiyle kişisel verileri imha etmesi gerekir. Bu bilgilere tekrar ulaşılmayacak şekilde engellemek imha politikasının doğasında vardır. Ancak tüzel kişi makul olmayan sayıda personelini bu kişisel verileri saklamada görevlendirmiş ise, silinen kişisel veriler bu personellerce tekrar erişilecek olması dürüstlük kuralına aykırılık teşkil edecektir.
- Doğru ve gerektiğinde güncel olma,
Veri sorumlusu kişisel verileri doğru şekilde işlemeli ve güncel olmasına dikkat etmesi gerekir. Veri güncelliğine ilişkin özen yükümlülüğünü veri sorumlusu bazı durumlarda aktif şekilde yerine getirmesi gerekir. ‘İşlenen bu bilgileri ilgili kişi için sonuç doğuracak ise örneğin; ilgili kişiye kredi vermek’ ya da ilgili kişiye fatura, hesap belgesi vs. gibi mali bilgilerinin e-posta adresine gönderilmesi gibi durumlarda veri sorumlusu verinin güncelliğine aktif özen göstermelidir. Veri sorumlusu, ilgili kişiye işlenen kişisel verilerini güncelleme yolunu her zaman ve kolaylıkla açmalıdır.
- Belirli, açık ve meşru amaçlar için işlenme,
Veri sorumlusu kişisel verileri işleme faaliyetini gerçekleştirirken ilgili kişiye bu eylemini belirli ve açık bir şekilde açıklaması ve ilgili kişi tarafından bunun açık bir şekilde anlaşılır olması gerekir. Kanunun veri sorumlusuna yüklediği en önemli sorumluluklardan biri de aydınlatma yükümlülüğü ve ilgilinin açık rızasını alması şartıdır. Bunların yerine getirilmesi ile hukuka uygun veri işleme faaliyetinin gerçekleştiğinin ispatı kolaylaşacaktır.
Ayrıca veri sorumlusu Kanunda sayılan hangi amaçlar doğrultusunda veri işlediğini açık şekilde belirtmelidir. Veri sorumlusu tarafından meşru olmayan amaçla işlenen kişisel veri işleme faaliyeti hukuka aykırıdır. Bu durumda veri sorumlusu yaptırım ile karşı karşıya kalabilmektedir. Aslında bakıldığı zaman dürüstlük kuralı bu ilkenin de temelini oluşturmaktadır.
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
Veri sorumlusu kişisel verileri işleme faaliyetini yerine getirirken ileride şu amaçla da verileri kullanabilirim düşüncesi ile yani amacı dışında veri işleyemez. Veri işleme faaliyetini, amacı doğrultusunda ve sınırları dâhilinde yerine getirmekle yükümlüdür. Şayet veri sorumlusunun veri işleme amacında değişiklik meydana geldiyse yeni amacı içinde veri işleme faaliyetine ilişkin şartları tekrar gözden geçirmesi gerekecektir. Örneğin; bir hastane ilgili kişinin iletişim bilgilerini tahlil ya da randevu bilgileri gibi hastayı bilgilendirmek amaçlı işlemiş ise daha sonrasında hastane bu bilgileri pazarlama faaliyeti için de kullanabilmesi için tekrardan şartları yerine getirmesi gerekecektir. İlgili kişiyi aydınlatması ve açık rızasını alması gibi hususlara dikkat etmesi gerekecektir. Çünkü kişisel verileri işleme amacı ile bağlı ve sınırlı olması gerekir.
Bu temel ilke değerlendirilirken her bir ilgili kişi için ve süreç için ayrı ayrı değerlendirmek gerekir. Bir olay ve kişi için o kişisel verinin işlenmesi sınırlı ve ölçülü bulunabilirken, başka bir kişi için sınırlı ve ölçülü olmayabilir. Bu durum özellikle özel nitelikli kişisel verilerin işlenmesi sırasında karşımıza çıkmaktadır. İşletmenin iş sağlığı ve güvenliği uzmanı tarafından çalışanların sağlık bilgilerine ilişkin verilerin alınması ölçülü kabul edilebilirken, bu bilgileri AR-GE birimin alması bağlantılı ve ölçülü kabul edilemeyecektir.
- Kanunda öngörülen veya işlendikleri amaç için gerekli süreye kadar saklamak, muhafaza etmek,
Kişisel verileri, veri sorumlusu ilgili kanunlarda belirtilen süre sonuna kadar veya işlenme amacı sona erdiği tarihe kadar saklayabilir. Bu süre sonunda kişisel verileri imha etmesi gerekecektir. Kişisel verilerin imha edilmesi ile ilgili yazımıza buradan ulaşabilirsiniz. http://bateknoloji.com/kisisel-verilerinizin-imha-edilmesini-isteme-hakkiniz/ .
Veri sorumlusu amacı biten kişisel verileri başka zaman ihtiyaç duyarım düşüncesi ile saklayamaz. Bu verileri silmesi, yok etmesi veya anonim hale getirmesi gerekir. VERBİS kaydı yapıldığı esnada kişisel verilerin işlenme amacının azami ne kadar süre olduğunun bildirilmesi de gerekir. Bu yasal bir zorunluluktur.
Peki, veri sorumlusu kişisel verileri işleme amacı için gerekli olan azami saklama süresini nasıl belirleyecektir?
Buna ilişkin Kurul bazı unsurları belirlemiştir. Kısaca özetlemek gerekirse;
- Veri sorumlusunun faaliyet gösterdiği çalışma alanındaki genel teamüller,
- Veri sorumlusu ile ilgili kişi arasında kurulan hukuki ilişkinin devam edeceği süre,
- Veri sorumlusunun kişisel verileri işleme amacındaki meşru menfaatinin hukuka ve dürüstlük kuralı dikkate alınarak devam edeceği süre,
- İşlenen kişisel verilerin saklanmasında oluşacak riskin, güncelliğinin, maliyetinin ve yükümlülüklerinin göz önünde bulundurularak devam eden süre,
- İşlenen kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi dikkate alacaktır.
Veri sorumlularının ilgili mevzuatlarda belirtilen sürelere de uyması gerekecektir. Örneğin; Asbestle Çalışmalarda Sağlık ve Güvenlik Önlemleri Hakkında Yönetmeliği’nde sağlık raporlarının 40 yıl saklanacağı hüküm altına alınmıştır. Veri sorumlusu ancak bu sürenin sonunda verileri imha etmesi gerekir.
Yukarıda kısaca veri sorumlularının kişisel verileri işleme faaliyetinde dikkat etmeleri gereken hususları inceledik. Kurul’un yaptırım kararlarını incelediğimizde çoğunlukla veri sorumlularının kişisel verileri hukuka aykırı işleme faaliyetinden dolayı ceza aldıklarını görmekteyiz. Bunun sebebi de yaptırımla karşılaşan veri sorumlularının kişisel verileri işleme faaliyetinde dikkat etmeleri gereken temel ilkelere uymamaları olarak karşımıza çıkmaktadır. Böyle bir yaptırımla karşı karşıya kalmamak adına temel ilkelerin bilinmesi ve dikkat edilmesi veri sorumlularının faydalarına olacağını düşünmekteyiz. Yazımızın sizlere faydalı olmasını diler; aklınıza takılan sorularda bizimle iletişime geçebileceğinizi hatırlatmak isteriz.
