Kişisel Verilerin Korunması Kanunu hakkında genel bilgiler - 2
Yazının Giriş Tarihi: 10.12.2019 00:25
Yazının Güncellenme Tarihi: 10.12.2019 00:25
Kişisel Verilerin Korunmasına ilişkin 6698 Sayılı Kanun hakkında genel bilgilerimize devam ediyoruz.
Kişisel veri gerçek kişinin diğer kişilerden ayırt edilmesine, bilinmesine, tanınmasına yol açan-açabilen her türlü veridir. Bu verilerin kişinin kendisi dışında kaydedilmesi veya kullanılması ise kişisel verilerin işlenmesidir.
Kişisel verilerimizi ve bunların işlenmesini tanıdık.
Peki kimdir bu kişisel verilerimizi işleyenler ve işlenmesinden sorumlu olanlar. Kabul edemeyeceğimiz işlemelerde kimi muhatap alacağız. Kim koruyor/korumuyor kişisel haklarımızı… Kim özel hayatımıza müdahale edilmesinin yolunu açıyor.
Bu soruları cevaplayalım şimdi de:
Kişisel verilerimizin işlenme amacını belirleyen, bu sistemi kuran ve sistemde karar verme yetkisi bulunan gerçek veya tüzel kişi veri sorumlusudur. Sistem içinde kişisel verileri işleyen uygulayıcı ise veri işleyen olarak adlandırılır.
Kişisel verilerimizin işleme amacı dışında kullanılması nedeni ile oluşan suçlardan sorumluluk veri sorumlusuna aittir.
Kişisel Verilerin Korunmasına ilişkin 6698 Sayılı Kanunda, kişisel verilerin işlenme ilkeleri belirlemiş, işlenme şartlara bağlanmış, aydınlatma zorunluluğu getirilmiş, veri sorumlularının sicile kayıt olması kurala bağlanmış, kanun kapsamındaki kişi hakları sayılmış, teknik ve idari tedbirler alınması düzenlenmiş, kullanılma süresi dolan kişisel verilerin imhası kurallara bağlanmış, tüm bunların denetlenmesi yöntemi belirlenmiştir.
Kişisel verilerin işlenmesi, hukuka ve dürüstlük kurallarına uygun, hak kötüye kullanılmadan, şeffaf, güncel ve doğru, hukuka uygun bir amaçla, amaç ile ölçülü ve amaç ile uyumlu süre için olmalıdır.
Hukuka uygunluk incelediğimiz kanuna uygunluk olduğu kadar tüm genel hukuk ilkelerine uygunluk anlamındadır.
Bu kapsamda kişisel verinin işlenmesi sürecinde hakkın kötüye kullanılmamasına özen gösterilmelidir. Bir hakkın varlığı kötüye kullanıma izin vermeyecektir. Kişisel verilerinin işlenmesine izin veren ilgili kişinin izninin amacına ve bilgilendirme sınırlarına özen göstererek kullanımı esastır. Dürüstçe bilgilendirmek, bilgilendirme kapsamında alınan onaya dayalı olarak ve kişisel verinin elde edilme amacına uygun kullanım, hakkın kötüye kullanılması sınırlarını belirleyecektir.
Kişinin, kişisel verilerinin kullanılmasına izin verirken öngöremeyeceği bir durumda kullanılması hakkın kötüye kullanılmasıdır. Dürüstçe değildir. Şeffaf değildir.
Örneğin her türlü fotoğraflarımızı paylaştığımız Facebook sitesindeki fotoğrafların hangisinin kimler tarafından görülebileceğini belirleyebilmekteyiz. Bu rızamızın kapsamıdır. Ancak bu fotoğraflara erişebilen kişilerin iznimiz dışında kullanımını sağlayan, ya da izin dışında kullanımını engelleyecek tedbirleri almayan site Kurul tarafından ceza kararına konu olmuştur.
Ayrıca kişisel bilgilerimizi fotoğraflarımızı sayfamızda görerek indirip izinsiz kullanan kişiler açısından da ayrı bir suç oluştuğunu belirtmekte yarar bulunmaktadır.
Kişisel verilerin işlenmesi bir süreçtir. Anlık doğrular her zaman değişebilir. Örneğin kişisel veri olan medeni durum, boşanma kararı ile değişebilir. Kişi yeniden evlenebilir. Bu durumda güncel olmayan eski eşle ilgili bilgi, artık kullanılamaz. Kimse birisinin eski eşi olarak bilinmek istemez.
Kişinin her yaşta başka eğitimler alarak kendisini geliştirmesi de mümkündür. Her üniversite mezunu bir tarihte lise mezunudur. Liseden mezun olunan tarih için doğru olan bu veri, üniversite mezunu olduktan sonra artık güncel değildir. Doğru olması yetmemektedir. Bu nedenle kişisel veriler güncellenmeli ve güncel hali işlenmelidir.
Bu noktada kişinin kişisel verilerinin güncellenmesini isteme hakkı bulunduğunu belirtmeliyiz.
Kişisel veriler elde edildikleri ve kullanılacağının açıklandığı amaç dışında kullanılamazlar. Amaç meşru bir amaç olmalıdır. Sübjektif amaçlardan bahsedilemez. Kişisel verilerin işlenmesine yönelik amacın, basit, sade, anlaşılabilir, net olarak açıklanması gereklidir. Karmakarışık, uzun ve teknik ifadeler içeren amaç dürüstlük kuralına uygun değildir. Amaç onay alınan konu ile ilgili olmalıdır.
Bir market zincirinin sadakat programı kartını alarak sözleşmeyi onaylayan tüketicinin, aldığı kart kendisine bir takım indirim ve avantajlar sağlamaktadır. Bu kartı almayan kişi indirimlerden faydalanamayacaktır. Bu indirimlerden yararlanmak için bilgilerini paylaşması dürüstlük kuralına uygundur. Ancak sözleşmelerde özel nitelikli bilgilerin istenmesi genel anlamda dürüstlük kuralına, özel anlamda amaca aykırıdır.
Açıklanan meşru amacın dürüstlük kuralına uygun süre içinde kullanılması asıldır. Amaç nedir? İşe alınmadır. Amaç nedir? Bankadan kredi kartı alınmasıdır. Amaç nedir? Taraflar arasında bir sözleşme kurulmasıdır. Gibi gibi… Bu amaçlara bağlı başkaca konular gündeme geldiğinde asıl amaç kapsamı dışında işlemeye devam edilemez. Amaç her değiştiğinde ya da genişlediğinde, belki de yön değiştirdiğinde yeniden onay alınması gerekmektedir.
Basit bir örnekle açıklayalım. AVM’de şahsen bir dükkan kiralayalım. Kira sözleşmesini AVM’yi yöneten firma ile yaptığımızda her türlü bilgiyi istemekteler. Kaldı ki ciromuzu da öğrenip kirayı ona göre almaktadır. Kira sözleşmesi sona erdikten sonra, artık amaç gerçekleşip bitmiş, sözleşme sona ermiş, kişisel verilerimizin işlenme olasılığı kalmamıştır. Başka yerde dükkan işletmeye başlayınca eski ciromuz ve kişisel verilerimiz kullanılamaz. Bu durum amacın gerekleri nedeni ile süre sınırlandırmasıdır.
Öğrenciliğinde garsonluk yapan kişinin, okuyup tıp profesörü olduğunu düşünelim. Garsonluk yaptığı işyerinin kişisel verilerini saklaması ya da kullanması mümkün değildir. İş ilişkisi bitmiş, amaç gerçekleşmiştir. Artık kişisel veriler saklanamaz.
Eğer veri sorumlusu kanundan kaynaklanan sebeple işleme yapıyorsa, kanunla belirlenen süre dolduğunda veya amaç gerçekleştiğinde artık veri işleme yapılamayacaktır.
Bu durumlarda kişisel veriler silinecek, imha edilecek ya da anonim hale getirilecektir. Kişinin bunları isteme hakkı vardır. Aksi durum Ceza Kanunundaki verileri yok etmeme suçunu oluşturacaktır.
Bize ayrılan yer yine doldu.. Konuya yeni yılda devam edeceğiz…
Yorum Ekle
Yorumlar
Sizlere daha iyi hizmet sunabilmek adına sitemizde çerez konumlandırmaktayız. Kişisel verileriniz, KVKK ve GDPR
kapsamında toplanıp işlenir. Sitemizi kullanarak, çerezleri kullanmamızı kabul etmiş olacaksınız.
En son gelişmelerden anında haberdar olmak için 'İZİN VER' butonuna tıklayınız.
Web.tv
Tülin Kavasoğlu
Kişisel Verilerin Korunması Kanunu hakkında genel bilgiler - 2
Kişisel Verilerin Korunmasına ilişkin 6698 Sayılı Kanun hakkında genel bilgilerimize devam ediyoruz.
Kişisel veri gerçek kişinin diğer kişilerden ayırt edilmesine, bilinmesine, tanınmasına yol açan-açabilen her türlü veridir. Bu verilerin kişinin kendisi dışında kaydedilmesi veya kullanılması ise kişisel verilerin işlenmesidir.
Kişisel verilerimizi ve bunların işlenmesini tanıdık.
Peki kimdir bu kişisel verilerimizi işleyenler ve işlenmesinden sorumlu olanlar. Kabul edemeyeceğimiz işlemelerde kimi muhatap alacağız. Kim koruyor/korumuyor kişisel haklarımızı… Kim özel hayatımıza müdahale edilmesinin yolunu açıyor.
Bu soruları cevaplayalım şimdi de:
Kişisel verilerimizin işlenme amacını belirleyen, bu sistemi kuran ve sistemde karar verme yetkisi bulunan gerçek veya tüzel kişi veri sorumlusudur. Sistem içinde kişisel verileri işleyen uygulayıcı ise veri işleyen olarak adlandırılır.
Kişisel verilerimizin işleme amacı dışında kullanılması nedeni ile oluşan suçlardan sorumluluk veri sorumlusuna aittir.
Kişisel Verilerin Korunmasına ilişkin 6698 Sayılı Kanunda, kişisel verilerin işlenme ilkeleri belirlemiş, işlenme şartlara bağlanmış, aydınlatma zorunluluğu getirilmiş, veri sorumlularının sicile kayıt olması kurala bağlanmış, kanun kapsamındaki kişi hakları sayılmış, teknik ve idari tedbirler alınması düzenlenmiş, kullanılma süresi dolan kişisel verilerin imhası kurallara bağlanmış, tüm bunların denetlenmesi yöntemi belirlenmiştir.
Kişisel verilerin işlenmesi, hukuka ve dürüstlük kurallarına uygun, hak kötüye kullanılmadan, şeffaf, güncel ve doğru, hukuka uygun bir amaçla, amaç ile ölçülü ve amaç ile uyumlu süre için olmalıdır.
Hukuka uygunluk incelediğimiz kanuna uygunluk olduğu kadar tüm genel hukuk ilkelerine uygunluk anlamındadır.
Bu kapsamda kişisel verinin işlenmesi sürecinde hakkın kötüye kullanılmamasına özen gösterilmelidir. Bir hakkın varlığı kötüye kullanıma izin vermeyecektir. Kişisel verilerinin işlenmesine izin veren ilgili kişinin izninin amacına ve bilgilendirme sınırlarına özen göstererek kullanımı esastır. Dürüstçe bilgilendirmek, bilgilendirme kapsamında alınan onaya dayalı olarak ve kişisel verinin elde edilme amacına uygun kullanım, hakkın kötüye kullanılması sınırlarını belirleyecektir.
Kişinin, kişisel verilerinin kullanılmasına izin verirken öngöremeyeceği bir durumda kullanılması hakkın kötüye kullanılmasıdır. Dürüstçe değildir. Şeffaf değildir.
Örneğin her türlü fotoğraflarımızı paylaştığımız Facebook sitesindeki fotoğrafların hangisinin kimler tarafından görülebileceğini belirleyebilmekteyiz. Bu rızamızın kapsamıdır. Ancak bu fotoğraflara erişebilen kişilerin iznimiz dışında kullanımını sağlayan, ya da izin dışında kullanımını engelleyecek tedbirleri almayan site Kurul tarafından ceza kararına konu olmuştur.
Ayrıca kişisel bilgilerimizi fotoğraflarımızı sayfamızda görerek indirip izinsiz kullanan kişiler açısından da ayrı bir suç oluştuğunu belirtmekte yarar bulunmaktadır.
Kişisel verilerin işlenmesi bir süreçtir. Anlık doğrular her zaman değişebilir. Örneğin kişisel veri olan medeni durum, boşanma kararı ile değişebilir. Kişi yeniden evlenebilir. Bu durumda güncel olmayan eski eşle ilgili bilgi, artık kullanılamaz. Kimse birisinin eski eşi olarak bilinmek istemez.
Kişinin her yaşta başka eğitimler alarak kendisini geliştirmesi de mümkündür. Her üniversite mezunu bir tarihte lise mezunudur. Liseden mezun olunan tarih için doğru olan bu veri, üniversite mezunu olduktan sonra artık güncel değildir. Doğru olması yetmemektedir. Bu nedenle kişisel veriler güncellenmeli ve güncel hali işlenmelidir.
Bu noktada kişinin kişisel verilerinin güncellenmesini isteme hakkı bulunduğunu belirtmeliyiz.
Kişisel veriler elde edildikleri ve kullanılacağının açıklandığı amaç dışında kullanılamazlar. Amaç meşru bir amaç olmalıdır. Sübjektif amaçlardan bahsedilemez. Kişisel verilerin işlenmesine yönelik amacın, basit, sade, anlaşılabilir, net olarak açıklanması gereklidir. Karmakarışık, uzun ve teknik ifadeler içeren amaç dürüstlük kuralına uygun değildir. Amaç onay alınan konu ile ilgili olmalıdır.
Bir market zincirinin sadakat programı kartını alarak sözleşmeyi onaylayan tüketicinin, aldığı kart kendisine bir takım indirim ve avantajlar sağlamaktadır. Bu kartı almayan kişi indirimlerden faydalanamayacaktır. Bu indirimlerden yararlanmak için bilgilerini paylaşması dürüstlük kuralına uygundur. Ancak sözleşmelerde özel nitelikli bilgilerin istenmesi genel anlamda dürüstlük kuralına, özel anlamda amaca aykırıdır.
Açıklanan meşru amacın dürüstlük kuralına uygun süre içinde kullanılması asıldır. Amaç nedir? İşe alınmadır. Amaç nedir? Bankadan kredi kartı alınmasıdır. Amaç nedir? Taraflar arasında bir sözleşme kurulmasıdır. Gibi gibi… Bu amaçlara bağlı başkaca konular gündeme geldiğinde asıl amaç kapsamı dışında işlemeye devam edilemez. Amaç her değiştiğinde ya da genişlediğinde, belki de yön değiştirdiğinde yeniden onay alınması gerekmektedir.
Basit bir örnekle açıklayalım. AVM’de şahsen bir dükkan kiralayalım. Kira sözleşmesini AVM’yi yöneten firma ile yaptığımızda her türlü bilgiyi istemekteler. Kaldı ki ciromuzu da öğrenip kirayı ona göre almaktadır. Kira sözleşmesi sona erdikten sonra, artık amaç gerçekleşip bitmiş, sözleşme sona ermiş, kişisel verilerimizin işlenme olasılığı kalmamıştır. Başka yerde dükkan işletmeye başlayınca eski ciromuz ve kişisel verilerimiz kullanılamaz. Bu durum amacın gerekleri nedeni ile süre sınırlandırmasıdır.
Öğrenciliğinde garsonluk yapan kişinin, okuyup tıp profesörü olduğunu düşünelim. Garsonluk yaptığı işyerinin kişisel verilerini saklaması ya da kullanması mümkün değildir. İş ilişkisi bitmiş, amaç gerçekleşmiştir. Artık kişisel veriler saklanamaz.
Eğer veri sorumlusu kanundan kaynaklanan sebeple işleme yapıyorsa, kanunla belirlenen süre dolduğunda veya amaç gerçekleştiğinde artık veri işleme yapılamayacaktır.
Bu durumlarda kişisel veriler silinecek, imha edilecek ya da anonim hale getirilecektir. Kişinin bunları isteme hakkı vardır. Aksi durum Ceza Kanunundaki verileri yok etmeme suçunu oluşturacaktır.
Bize ayrılan yer yine doldu.. Konuya yeni yılda devam edeceğiz…