Kişisel verilerin korunması kanunu ve firmalara düşen yükümlülükler
Kimlik bilgilerinizin; telefon numaranızın, kan grubunuzun veya başka kişisel bilgilerinizin açıkça internet ortamında dolaşmasını yada iletişim bilgilerinizi izinsiz kullanarak size reklam amaçlı SMS ler, e-mailler gönderilmesini yada telefon ile aranarak ürün-hizmet pazarlamaya çalışılmasını istermisiniz? Elbette yanıtınız “Hayır” olacaktır. Peki bunu engellemenin yolu yada kanunu varmıdır? Evet vardır.
Birincisi; son zamanlarda kullanımı oldukça yaygınlaşan sosyal medya ve internet kullanımında kişisel olduğunu düşündüğünüz verilerinizi her ortamda kullanmamak, paylaşmamak yada vermemek.
İkincisi; Kişisel Verilerin Korunması Kanunu(KVKK), 24.03.2016 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girdi. Ekim 2018 başında veri korumada yeni bir düzenlemeye daha giden Türkiye’de artık veri işleyen tüm kişi ve kurumların bu tür işlemleri yapmadan önce Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kaydolması ve orada belirtilen kuralları yerine getirmesi gerekiyor.
KVKK kapsamında başta Belediyeler, Hastaneler, Üniversiteler,özel şirketler vs. olmak üzere bu konuya çok dikkat etmeli, gerekli sunucu sızma testlerini yaptırarak sistemlerini güvence altına almalı onaylı şirketlerin verdiği sertifikalara sahip olmalıdırlar.
“Kanuna göre, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti, biyometrik ve genetik verilerinin ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Örneğin *retina, parmak izi gibi sistemlerle giriş çıkışları denetleyen işverenlerin, bu konuda Kanunun açık hükmü gereği işçinin onayını alması gerekiyor.”
Şimdi firmaların bu çerçevede dikkat etmesi gereken konulara biraz değinelim.
Kişisel verilerin korunması ile ilgili genel yasal çerçeve nedir?
Kanun, özellikle iş ilişkilerinde önemli sonuçlar doğuracak. İşe giriş aşamasından iş sözleşmesinin ifası ve sona erme süreçlerine kadar Kanunun dikkate alınması gerekecek.
Kişisel verilerin işlenmesinde temel ilkeler neler? Gizli kamera ile çekim yapılamaz!
İşyerinde video kamera uygulamalarını örnek alarak, bu ilkeler ışığında değerlendirebiliriz: Öncelikle bu uygulama hukuka ve dürüstlük kuralına uygun olmalı. Buna göre gizli kamera ile çekim yapamazsınız. Belirli, açık ve meşru amaç için işlenme koşuluna gelirsek; kamera uygulamasını yapacaksanız, bunu meşrulaştırmanız gerekli. Örneğin, iş sağlığı ve güvenliği veya genel güvenlik meşru gerekçeler olarak kabul edilebilir. Ancak, iş güvenliği amacı ile kullanıyorsanız, bununla sınırlı kalmalı ve ölçülü olmalısınız. Yani, işçilerin giyinme soyunma odalarına kamera koyamazsınız. Kameraları ölçülü uygulamak durumundasınız. Çalışanlarına rahatsız edecek ve temel haklarına zarar verecek boyutlara getiremezsiniz.
Kanuna göre, kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmelisiniz. Buna göre, kamera kayıtlarını mevzuatta öngörülen süre sonunda silmek durumundasınız.
Kanun işe alım süreçlerinde nasıl rol oynuyor? İş başvuru formlarına dikkat!
Öncelikle iş başvuru formlarının tasarımının gözden geçirilmesi gerekecek. Özellikle Kanunda hassas veriler kapsamında yer alan dernek ve sendika üyeliği, cinsel yaşam, ceza mahkumiyeti, sağlık bilgileri gibi hususların işlenmesinde çok dikkatli olmak gerekiyor. Adayın yazılı olarak belirttiği referansların aranması ve bunlardan bilgi istenmesi mümkün. Buna karşılık, adayın açıkça belirtmediği referansların aranarak aday hakkında bilgi toplanması Batı Avrupa hukuklarında hukuka aykırı bir davranış olarak kabul ediliyor.
Kişisel verilerin işlenmesinde çalışanın onayı mutlaka gerekli mi? İşçi parmak izini vermek zorunda değil!
Kişisel verilerin işlenmesinde, kural olarak ilgilinin açık ve bilgilendirmeye dayanan rızası olmalı. Ancak bunun istisnaları da var. Genel nitelikteki kişisel verilerin işlenmesinde rıza olmasa da belirli koşullar varsa bunların işlenmesine kanun izin veriyor. Ancak, hassas (özel nitelikli) veriler bakımından ise farklı bir durum söz konusu. Bu nitelikteki verileri işlerken çok dikkatli olmak gerekiyor. Kanuna göre, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri ve özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasak.
Hatta ilgilinin rızasının bile bu gibi verilerin işlenmesinde yeterli olup olmayacağı, Batı Avrupa’da tartışılıyor.
Kişisel verilerin devrinde nelere dikkat etmek gerekli? HUKUKA AYKIRI VERİ DEVRİ 2-4 YIL HAPİS CEZASI GETİRİYOR!
Dokümantasyon ve İnsan Kaynakları prosedürleri nasıl olmalıdır?
Kişisel Verilerin Korunması Kanunu yürürlüğe girince, bazı danışmanlık kuruluşları uzun bir taahhütname hazırladılar ve bunları işçiye imzalatıldığında sorunun çözüleceği yönünde görüş bildirdiler. Ancak; kanun her şeyden önce bilgilendirmeye dayalı açık rızadan söz ediyor. Yani işverenin birincil yükümlülüğü, çalışanı bilgilendirmek. Buna göre, kişisel verilerin kim tarafından işlendiği, hangi amaçla işlendiği, bunların nasıl aktarıldığı, ilgili kişinin hakları (erişme, düzeltme, silinmesini talep etme gibi) konularda prosedürler hazırlanmalı ve çalışanın bilgisine sunulmalı. Ancak bundan sonra çalışanın rızasını alabilirsiniz.
Peki Kanun Kapsamında Kanun’un İstisnalar başlıklı 28. maddesinde öngörülen haller saklı kalmak kaydıyla, Kanun’un 11. maddesi çerçevesinde veri işleyen şirketlere başvurarak kullanabileceğiniz haklarımız nelerdir?
a.Kişisel verilerinizin işlenip işlenmediğini öğrenme,
b.Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
c.Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
d.Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme,
e.Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f.Yukarıdaki (d) ve (e) maddeleri uyarınca yapılan işlemlerin, kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g.İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
h.Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararınızın giderilmesini talep etme.
Bu köşe yazım teknik bir yazıdan öte bir hukuki metin gibi oldu ancak konunun bizi ve ilgilendiren tarafı da hem personel modülümüzde çalışan bilgilerinin tutuluyor olması hem de YUTASİS Yüz Tanıma Sistemimiz de kullandığımız “retina kaydı” bilgisi önem taşıyor. Çözbim Yazılım olarak kullanıcılarımıza verilerine önem vermelerini, düzenli yedek almalarını, güvenlik önlemlerini gözden geçirmelerini salık veririz aynı şekilde danışmanlık kapsamında da bu hizmeti de vermekteyiz.
Evet görüldüğü üzere firmaların işe alım süreçlerinde artık dikkat etmesi gereken konulara KVKK konusu da eklenmiş durumda. Belediyeler, hastaneler, üniversitelerden sonra özel şirketler de KVKK kapsamında zorunlu olarak yükümlü olmaya başlayacak ancak kanunun ilgili hükümleri hali hazırda bağlayıcı olduğundan firmaların “henüz zorunlu değil” diyerek konuyu gözardı etmesi de söz konusu değil.
Yeni bir yazıda buluşmak dileği ile…
Soykan ÖZÇELİK
Yazılım Geliştirici | soykanozcelik@cozbim.com.tr
https://about.me/soykanozcelik
- Seçim mi? Geçim mi? - Mart 20, 2024
- Online ödeme ve tahsilat sistemi nedir? - Ocak 26, 2024
- 2023’ü Uğurlarken… - Ocak 3, 2024
Comment here