Kişisel Verilerin Aktarılması Nedir?
Kişisel verilerin aktarılması ve işlenmesi, mal ve hizmet sağlayanlar için kullanışlı olsa da verilerin istismar edilmesi riskini içerir. Kişisel bilgiler de özel hayat kapsamında kabul edilir. Bu nedenle kişisel verilerin korunması zorunlu hale gelir. Bu zorunluluk, hukuki bir altyapıya dayandırılarak resmileştirilir. 2010 yılında yapılan değişiklik ile Anayasa’nın 20. Maddesine bir fıkra eklenmiş ve kişisel verilerin korunması anayasal güvence altına alınmıştır. Bu kapsamda, 6698 sayılı Kişisel Verilerin Korunması Kanunu da 07.04.2016 tarihinde yürürlüğüne girmiştir. Kanun, kişisel verilerin kısıtlanmasını sınırlamaz. Ancak veri temelli ekonomide daha rekabetçi olmak için kişisel verilerin saklanması usul ve esaslarını düzenler.
Kişisel Verilerin İşlenme Şartları
Kişisel veriler işlenirken ilgili kanunda belirtilen ilkelere uygunluk önemlidir. Bu ilkelerden bazıları kısaca şöyledir:
Hukuk kurullarına uyumluluk ve dürüstlük
Doğruluk ve güncellik
Bir veri, iletmesi gereken bilgiyi en doğru şekilde iletmelidir. Bu doğruluk, kişinin bilgilerini düzeltme ve güncelleme hakkına sahip olmasıyla ilişkilidir. Kişisel bilgi sahibi, kendi bilgilerine ulaşıp gerektiğinde bu bilgileri tamamen değiştirebilme hakkına sahip olmalıdır. Firmalar da kişinin bilgilerini aldıkları kaynakların güncelliğini sürekli kontrol etmelidir.
Belirlenmiş, net ve gerçek amaçlar doğrultusunda veri işlenmesi
Kişisel verileri kaydedilen kişinin, bunun amacını net bir şekilde anlaması önemlidir. Veri işleme ve aktarma faaliyetlerinde hangi hukuki dayanakların olduğunun kişiye bildirilmesi gerekir. Gerçek amaçlarda ise kişinin kaydedilen ve aktarılan bilgilerinin, yapılan iş veya sunulan hizmetle örtüşmesi istenir.
Konuyla ilgili mevzuatta verilen zamana ve verinin kullanılması için belirtilen zamana uyum
Kişisel veriler, ilgili mevzuatın verdiği süre kadar ve kullanım amacı doğrultusundaki zaman kadar tutulmalıdır. Bir verinin saklanması için geçerli bir sebep yok ise bu zaman sonunda o veri silinir.
Kişisel Verilerin Yurt İçinde Aktarılması
Kişisel Verileri Koruma Kanunu, verilerin, ilgili kişinin rızası olduğu zaman üçüncü kişilere aktarılmasını öngörür. Kanunun 5 ve 6. Maddelerindeki şartların sağlanması ve yeterli önlemlerin alınması halinde açık rıza aranmaksızın kişisel verilerin yurt içine aktarılması imkânı da vardır. Bu şartlar arasında,
• Kanunlar tarafından öngörülmesi,
• Kişinin fiili imkansızlıkları nedeniyle rıza veremeyecek durumda olması,
• Kendi ya da bir başkasının beden bütünlüğünü korunması için zorunlu olunan durumlar,
• Bir sözleşmenin taraflarına ait bilgilerin işlenme zorunluluğu,
• Veri sorumlusunun hukuki yükümlülük zorunluluğu,
• İlgili kişinin kendisi tarafından alenileştirilen bilgileri,
• Hakkın oluşturulması, korunması için zorunlu işlenen bilgiler,
• İlgili kişinin temel hak ve özgürlükleri için zarar oluşturmayan, veri sorumlusunun meşru menfaati için işlenen verilerin zorunluluğu bulunur.
Ayrıca, madde 6’da belirtilen özel nitelikli kişisel veriler şöyledir:
• Kişilerin ırk, etnik köken gibi bilgileri
• Siyasi düşünce ve felsefi bakış açısı
• Din inanışı ve mezhebi, diğer inançları
• Giyimi ve inanışlarına göre yaptığı kıyafet kombinasyonları
• Herhangi bir sivil toplum kuruluşuna üyeliği
• Sağlığı ve cinsel hayatı
• Varsa ceza ve mahkumiyeti
• Biyometrik ve genetik verileri
Özel nitelikli verilerin kişinin açık rızası olmadan kullanılması Kanun tarafından kesinlikle yasaklanmıştır. Özellikle sağlık ve cinsel hayat verileri, sadece sağlık işlemlerinde, bakım ve finansmanının yapılması durumlarında, sır saklama yükümlülüğü içinde bulunan kişiler ve kurumlarca açık rıza aranmaksızın işlenebilir.
Kişisel Verilerin Yurt Dışına Aktarılması
Kişisel verilerin yurt dışına aktarılması, Kişisel Verileri Koruma Kanunu’nun 9. Maddesinde belirtilen kurallar doğrultusunda yapılır. Yurt içine aktarılması konusundaki şartlar aynı şekilde yurt dışı için geçerlidir. Bu şartlara ek olarak, aktarılacak ülkenin, koruma şartlarını aynı şekilde uyguluyor olması gerekir. Aktarım yapılacak ülkede yeterli koruma şartları yoksa Türkiye’deki ve ilgili ülkedeki veri sorumlularının yeterli korumayı sağlayacaklarını beyan eden bir taahhütname oluşturmaları ve Kurulun izninin bulunması gerekir. Hangi ülkelerin yeterli korumaya sahip olduğu Kurul tarafından kararlaştırılarak ilan edilir. Kurul, yeterli korumaya sahip ülkelere karar verirken, şu detaylar üzerinde durur:
• Türkiye’nin de taraf olduğu ülkeler arası sözleşmeler
• Veri aktarılacak ülke ile Türkiye arasında, verilerin aktarılmasına dair karşılıklı bir durumunun olup olmaması
• Somut kişisel verilere ilişkin olarak verinin niteliği, işlenme amacı ve kullanım süresi
• Kişisel bilgilerin aktarılacağı ülkedeki konuyla ilgili mevzuatlar ve uygulamalar
• Bilginin aktarılacağı ülkedeki veri sorumlusunun taahhüt ettiği önlemler
Kurul tarafından değerlendirilerek, gerekiyorsa ilgili kurum ve kuruluşların da görüşü alınır. Uluslararası sözleşmenin kapsadığı maddelerin saklı kalması koşuluyla, Türkiye’nin ve diğer ülkenin menfaatlerine zarar verme ihtimali olan durumlarda, ilgili kuruluşların görüşleri doğrultusunda ve Kurulun izniyle yurt dışı aktarımı gerçekleştirilebilir. Kişisel verilerin yurt dışına aktarılması konusuyla ilgili diğer kanunlarda yer alan hükümler varsa, bu kanunların ya da yönetmeliklerin ilgili maddelerinin korunması söz konusudur.
Anonimleştirme Silinme ve Yok Edilme
Verilerin anonim olması, kimseyle ilintili olmaması demektir. Anonim veriyle anonimleştirilmiş veri arasında fark vardır. Anonim veri, başından beri herhangi bir kişiyle ilintisi olmayan veridir. Verinin anonimleştirilmesi ise daha önceden bir kişiye ait olan bilgilerin kişiyle bağlantısı kalmaması işlemidir. Bununla ilgili olarak Kanun tarafından belirlenmiş şartlar vardır. Anonim hale getirilen bilgi kümesindeki doğrudan ve dolaylı tanımlayıcıların çıkarılması, değiştirilmesi ve ilgili kişilerin saptanabilmesinin engellenmesi gerekir. Bu veri, bir grup içinde ayırt edilir hale getirilmemelidir. Bunun anlamı, veri üzerinde yapılacak herhangi bir yol izlemeyi de engellemeyi içerir. Başka verilerle bir araya getirilerek eşleştirilmesi, desteklenmesi yoluyla bilginin hangi kişiye ait olduğu anlaşılıyorsa bu verinin anonim olduğu kabul edilemez. Anonim hale getirilen veriler, artık kişisel veri kapsamına girmediğinden Kanun hükmünde değerlendirilmez. Veri setleri tamamen anonim hale getirilme aşamasına kadar üzerinde yapılacak tüm işlemler kişisel verilerin işlenmesi olur.
Kişisel verilerin işlenmesine dair şartların tamamının ortadan kalkması halinde kişisel veriler kendiliğinden ya da bireyin talebi üzerine veri sorumlusu tarafından silinir ya da anonim hale getirilir. Kişisel verilerin yok edilmesi durumunda ise bilginin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ya da kullanılamaz hale getirilmesi söz konusudur. Kişisel verilerin yok edilmesi için verinin olduğu yazılı ya da sanal tüm materyallerin yok edilmesi gerekir.
Lundo Data ile şirketiniz bünyesinde biriktirdiğiniz ya da işlediğiniz tüm veriler güvence altında tutulur. Personelinizin eğitimi sürekli güncellenerek yürütülür. KVKK kapsamında kişisel verilerin korunması organizasyonu bir uçtan bir uca güven altına alınır. Siz de verilerinizle ilgili yasal denetim isterseniz lundodata.com’u ziyaret edin.