Kişisel Verilerin Yurt İçine Aktarılması Nasıl Olmalı?
Kişisel Verilerin Korunması Kanunu, 24 Mart 2016 tarihinden bu yana yürürlüktedir. Kişisel verilerin yurt içine aktarılması ve kişisel verilerin işlenmesi ile ilgili kanunlarda öncelikli olarak özel hayatın gizliliği, ikincil olarak kişilerin temel hak ve özgürlüklerini korumak amaçlanır. Kanun, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerini ve uymaları gereken yöntem ve esasları düzenler. Kanun hükümleri, kişisel bilgileri veri olarak işlenen gerçek kişilerle verileri bütün ya da kısmi olarak işleyen gerçek ve tüzel kişilere uygulanır. Veri kaydetme işleminde, tam otomatik, kısmen otomatize edilmiş ya da tüm veri kayıt sisteminin bir parçası olmak yoluyla otomatik olmayan yollar tanımlanır.
6698 sayılı Kişisel Verilerin Korunması Kanunu uygulanırken kullanılan terimler vardır. Bu terimlerden bazıları şöyledir:
• Açık rıza: Herhangi bir konu ile ilgili kullanılacak veriler için kişisel bilgisi işlenecek kişiye verilen bilgi ve özgür iradesiyle açıklanan rızayı belirtir.
• Anonimleştirme: Kişiye ait verilerin, başka verilerle desteklenmesi dahil hiçbir yöntemle gerçek kişiyle eşleştirilemeyecek ve doğrudan kişinin kendisinin kimliğinin belirlenmesine izin vermeyecek hale getirilmesidir.
• İlgili kişi: Kişisel verisi işlenen gerçek kişi demektir.
• Kişisel veri: Kimliği belirlenebilen gerçek kişiye ait bütün bilgileri kapsar.
• Kişisel verilerin işlenmesi: Kişilere ait verilerin her türlü yöntemle kaydedilmesi, depolanması, düzenlenmesi, açıklanması, aktarılması gibi eylemleri içerir.
• Kurul: Kişisel Verileri Koruma Kurulu demektir.
• Kurum: Kişisel Verileri Koruma Kurumu anlamına gelir.
• Veri işleyen: Veri sorumlusunun (veri toplayan kurum ya da kuruluş) tayin ettiği ve onun adına kişisel verileri işleyen gerçek ya da tüzel kişiyi ifade eder.
• Yurt içi: Aynı ülke sınırları içinde olan her yerdir. Bu, Türkiye’nin kanunlarının uygulandığı toprakların tamamını belirtir.
Yurt İçinde Kişisel Verilerin İşlenmesi
Kişisel verilerin yurt içine aktarılması da kişisel verilerin işlenmesi anlamına gelir. Kişisel verilere dair herhangi bir işlem yapılması kanunda belli tanımlamalara dayandırılmalıdır. Bu tanımlamalar şöyledir:
Hukuka ve dürüstlük kurallarına uygun olma
Kişisel Verilerin Korunması Kanunu, kişisel verilerin korunması ve işlenmesi ile ilgili çok açık ve net detaylarla belirlenmiştir. Kanunlara uygunluk, önem arz eden bir konudur. Dürüstlük ise kullanıcının, kişisel bilgilerini verdiği kuruma güvenini ifade eder. Şeffaf ve dürüst bir kişisel veri kullanımı, şirketin tüm verileri ne için topladığını ne kadar zaman süreyle biriktirdiğini ve ilerleyen zamanlarda nasıl kullanacağını ifade ettiği bir bildiri ve kullanıcının kabul ettiğine dair onay verdiği bir sözleşmeyle açık olarak ifade edilmelidir. Bu bildiride kelime anlamı zor olan terminolojik ifadeler kullanılmamalıdır.
Doğru ve gerektiğinde güncel olma
Bireyin kendine ait hangi bilgilerinin diğer gerçek ve tüzel kişiler tarafından bilinmeye ihtiyacı vardır. Bu ihtiyaç, kanunlarla zorunlu hale getirilmiştir. Birey, kendine ait bilgilerin nerelerde kullanılacağından haberdar edilmek zorundadır. Kişisel verilerin üçüncü kişilere aktarılması verinin tamamı ya da bir kısmı olarak bakılmaksızın kanun koruması altındadır.
Belirli, açık ve meşru amaçlar doğrultusunda işlenmesi
Bilgilerin ne için işlendiği, bilgileri veren kişilerce açık bir şekilde anlaşılmalıdır. Kişi, kendi özel hayatı ile ilgili verdiği tüm bilgilerin nerelerde kullanılacağını bilmeli ve yönetebilmelidir. Bilgilerin tümü, meşru amaçlar doğrultusunda kullanılmalıdır ve veri sorumlusu bununla ilgili taahhüt vermeye zorunludur.
İşlendikleri amaçla bağlantılı olarak kullanılması ve kullanım esnasında sınırlı ve ölçülü olma
Kişisel bilgilerin üçüncü şahıslarla paylaşımında amaç önemlidir. Bir sosyal medya portalının ya da firmanın, kullanıcı kişisel bilgilerini üçüncü şahıslarla ne amaçla paylaşacağını net olarak belirtmesi gerekir. Bu amaçlar doğrultusunda kullanılmasına dair VERBİS sistemine verilen envanter bilgilerinin dışına çıkılması kanunen yasaktır. Kullanım esnasında da belli sınırlar vardır. Bu, şahısların kişisel bilgilerinin reklam kampanyaları ya da benzeri bilgi bombardımanından uzak tutulması için gereklidir.
İlgili mevzuatta öngörülen süre
Bilginin ne için depolandığı ve kullanıldığı önemlidir. Ancak bir önemli nokta da bu bilginin ne kadar süre boyunca kullanılacağıdır. Veri sorumlusu gerçek ya da tüzel kişi, bu bilgileri belirttiği süre boyunca kullanıp daha sonra ya anonimleştirir ya da yok eder. Bu da kullanıcının sorumluluğunda olan bir konudur.
Kişisel Verilerin Aktarılması
Kişisel verilerin üçüncü kişilere aktarılması, veri sorumlusu, kişinin kendisi ve kanunlar aracılığı ile düzenleme altına alınmış bir dizi kuralı içerir. Öncelikli kural, kişisel bilgilerin üçüncü şahıslara (bu şahıslara kurumlar da dahildir) kişinin açık rızası olmadan aktarılmamasıdır. Kişisel Verileri Koruma Kanunu’nun 5. Maddesinin ikinci fıkrasında açıkça belirtilen koşullar, kişinin açık rızası beklenmeden bilgilerinin paylaşılması istisnalarını içerir. Bu istisnalar şöyledir:
• Kişinin kimlik bilgilerinin paylaşılmasının kanunlarda açık olarak öngörülmesi
• Fiili imkansızlıklar nedeniyle rızasını açıklayamayacak olan kişilerin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü tehlikeye atacak durumlarla karşılaşılması
• Kurulan sözleşme ve ifasıyla ilgili olarak sözleşmenin taraflarına ait verilerin işlenmesi gerekliliği
• Veri sorumlusunun, hukuki yükümlülük dolayısı ile bilgilerinin işlenmesi zorunluluğu
• İlgili kişinin kimlik bilgilerinin, kendisi tarafından alenileştirilmiş olması
• Bir hakkın oluşturulması ve kullanılması için kişisel verilerin kullanılması zorunluluğu
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek şartı ile veri sorumlusunun meşru menfaatleri için veri işleme zorunluluğu.
Kanunda açıkça belirtilen bu maddeler haricinde kişilerin kendi bilgilerinin, onların rızası olmaksızın üçüncü şahıslarla paylaşılması kesinlikle kanuna aykırıdır. Bu, bilgilerin aktarılması hususiyetini de içerir. Ayrıca, Kanunun 6. Maddesi 3. Fıkrası da kişisel verilerin paylaşımında özellikle sağlık ve cinsel hayat konusunda özenli davranmıştır. Sağlık ve cinsel hayat paylaşımları, kişinin rızasının alınamadığı durumlarda, sadece sağlıkla ilgili kurum ve kuruluşlar, tedavi ve bakım ücretlerinin ödenmesini üstlenmiş finansal kuruluşlar tarafından ve sadece sır saklama yükümlülüğüne sahip yetkililer tarafından işlenebilir.
Özel nitelikli kişisel verilerin aktarılması
Özel nitelikli kişisel bilgilerinin işlenmesinde ise Kurul tarafından belirlenen önlemlerin alınması şart koşulur. Özel nitelikli kişisel bilgiler olarak ifade edilen veriler, bireyin etnik kökeni, ırkı, siyasi düşüncesi, felsefi inancı, dini inancı, mezhepleri, diğer inançları, kılık kıyafetleri, dernek, vakıf ya da sendika üyelikleri, sağlığı ve cinsel hayatını içerir. Ayrıca varsa ceza ya da mahkumiyeti ve güvenlik tedbirleri ile ilgili veriler de özel nitelikli bilgilere dahildir. Kişinin, biyometrik ve genetik verileri de aynı şekilde özel nitelikli kişisel bilgidir. Özel nitelikli verilerin işlenme şartları tamamen niteliğin ne olduğuna bağlı olarak Kurul tarafından belirlenen detaylarla netleştirilmiştir.
Yurt içine kişisel verilerin aktarılması hem veri sorumlusunun hem de bireyin özel bilgilerinin korunma altına alınmasını içerir. Bu karşılıklı menfaate dayalı bir ilişkidir. Menfaatler, kişilerin özlük haklarının, onurunun, yaşam standartlarının herhangi bir şekilde normal dengesinden şaşmasına izin vermeyecek şekilde orantılar içermelidir. Aynı konu, firmalar için de geçerlidir. Firmalar, ekonomik rekabet ağırlıklı piyasa koşullarında, kendi müşterilerine en uygun şekilde kendi bilgilerini iletmek durumundadır. Kullanıcıların kendilerini özel hissedebilmeleri ve aplikasyonların kişiselleştirilebilmesi için gerekli olan kişisel bilgiler, zaman içinde anonimleştirilerek istatistiki bilgiler için kullanılabilir.
Firmalar, kullanıcılarına ulaşmak için onların kişisel bilgilerini kullanmak zorundadır. Ancak kullanıcıların da hangi kişisel bilgilerinin kullanıldığından emin olması gerekir. Bir sağlık kuruluşu tarafından depolanan bilgiler, bir hazır giyim mağazası tarafından depolanamaz. Kullanıcıların yapması gereken en önemli şey, kendi bilgilerinin kimler ya da hangi kurumlar tarafından kullanıldığından emin olmaktır. Bunun takibi hem şirketler hem de kullanıcılar tarafından yapılmalı ve sık sık kontrol edilerek güncellenmelidir. Özellikle bankalar ya da benzeri kuruluşlar tarafından gönderilen çeşitli ibrazlarda adresin yanlış olması, ilgili kişinin zor durumda kalmasına yol açabilir.
Lundo Data, kişisel verilerinizi koruma altına alırken biriktirdiğiniz ya da işlediğiniz tüm verileri güvence altında tutmanızı sağlar. Bir uçtan öbür uca tüm organizasyonu takip ederek süreç hakkında sizi bilgilendirir. Böylelikle KVKK kapsamı altında güvenli şekilde veri depolayabilir ve işleyebilirsiniz.