Dijitalleşen Dünya’da verilerin korunması, saklanması oldukça önemli bir hal aldı. Bilinçli kullanıcılar güvenli uygulamalar kullanmaya yöneldiler P2P(peer to peer) E2E(end to end) gibi…
Son günlerde çokça veri sızıntısı haberi yada çalınmış bilgi haberi okuyoruz. Durum böyle olunca kullanıcılarının, abonelerinin her türlü kişisel bilgilerini işleyen, tutan resmi-özel kurumlar önlem almak zorunda kalıyorlar, kaldılar.
Bu konuya basit bir örnek verecek olursak daha önce bankacılık,e-ticaret vb. internet siteleri SSL(“Secure Sockets Layer” olan SSL Türkçe anlamı ile “Güvenli Giriş Katmanı”) kullanırken artık abone kaydı alan, müşteri bilgisi tutan kısaca kişisel veri depolayan her uygulama yada site SSL kullanmaya başladı hatta en önemli arama motorlarında Google SSL kullanan sitelerin arama sonuçlarında daha üstte çıkacağını duyurdu. (Yazımızın yer aldığı site de SSL kullanmaktadır)
KVKK kapsamında başta Belediyeler, Hastaneler, Üniversiteler,özel şirketler vs. olmak üzere bu konuya çok dikkat etmeli, gerekli sunucu sızma testlerini yaptırarak sistemlerini güvence altına almalı onaylı şirketlerin verdiği sertifikalara sahip olmalıdırlar.
Yukarıda anlatılanlar doğrultusunda Avrupa ve diğer ülkeler ile birlikte ülkemiz de Kişisel Verilerin Korunması Kanunu uygulamaya koyan ülkeler arasında yerini almış bulunuyor.
Kişisel Verilerin Korunması Kanunu, 24.03.2016 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girdi. Ekim 2018 başında veri korumada yeni bir düzenlemeye daha giden Türkiye’de artık veri işleyen tüm kişi ve kurumların bu tür işlemleri yapmadan önce Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kaydolması ve orada belirtilen kuralları yerine getirmesi gerekiyor.
Kanuna göre, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti, biyometrik ve genetik verilerinin ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Örneğin retina, parmak izi gibi sistemlerle giriş çıkışları denetleyen işverenlerin, bu konuda Kanunun açık hükmü gereği işçinin onayını alması gerekiyor.
Kişisel verilerin korunması ile ilgili genel yasal çerçeve nedir?
Kanun, özellikle iş ilişkilerinde önemli sonuçlar doğuracak. İşe giriş aşamasından iş sözleşmesinin ifası ve sona erme süreçlerine kadar Kanunun dikkate alınması gerekecek.
Kişisel verilerin korunması Batı’da uzun yıllardan bu yana tartışılıyor. Ülkemizde bu konuda Anayasanın 20. maddesinde değişiklik yapılarak ve Türk Ceza Kanunu’nda düzenlemeler getirilerek ilk adımlar atıldı. 2012 yılı Temmuz ayında yürürlüğe giren 6098 sayılı Borçlar Kanunu ise iş ilişkilerinde ilk kez kişisel verilerin korunmasını düzenledi. Buna göre, iş ilişkilerinde Borçlar Kanunu’nun 419. maddesinin ve 6698 sayılı Kanunun temel referans kanunlar olacağını söyleyebiliriz. Yine bu kanunlar Anayasa’nın 20. maddesi ışığında yorumlanacak, ayrıca aykırılıklar da TCK’na göre cezai yaptırımların konusunu oluşturabilecek.
Kişisel verilerin işlenmesinde temel ilkeler neler?
Gizli kamera ile çekim yapılamaz
Her türlü kişisel verinin işlenmesinde öncelikle temel ilkelere uygun hareket edilmesi zorunlu. Bunlar hukuka ve dürüstlük kurallarına uygun olmak, doğru ve gerektiğinde güncel olmak, belirli, açık ve meşru amaçlar için işlenmek, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmak, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmek durumunda.
İşyerinde video kamera uygulamalarını örnek alarak, bu ilkeler ışığında değerlendirebiliriz: Öncelikle bu uygulama hukuka ve dürüstlük kuralına uygun olmalı. Buna göre gizli kamera ile çekim yapamazsınız. Belirli, açık ve meşru amaç için işlenme koşuluna gelirsek; kamera uygulamasını yapacaksanız, bunu meşrulaştırmanız gerekli. Örneğin, iş sağlığı ve güvenliği veya genel güvenlik meşru gerekçeler olarak kabul edilebilir. Ancak, iş güvenliği amacı ile kullanıyorsanız, bununla sınırlı kalmalı ve ölçülü olmalısınız. Yani, işçilerin giyinme soyunma odalarına kamera koyamazsınız. Kameraları ölçülü uygulamak durumundasınız. Çalışanlarına rahatsız edecek ve temel haklarına zarar verecek boyutlara getiremezsiniz.
Kanuna göre, kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmelisiniz. Buna göre, kamera kayıtlarını mevzuatta öngörülen süre sonunda silmek durumundasınız.
Kanun işe alım süreçlerinde nasıl rol oynayacak? İş başvuru formlarına dikkat
Öncelikle iş başvuru formlarının tasarımının gözden geçirilmesi gerekecek. Özellikle Kanunda hassas veriler kapsamında yer alan dernek ve sendika üyeliği, cinsel yaşam, ceza mahkumiyeti, sağlık bilgileri gibi hususların işlenmesinde çok dikkatli olmak gerekiyor. Adayın yazılı olarak belirttiği referansların aranması ve bunlardan bilgi istenmesi mümkün. Buna karşılık, adayın açıkça belirtmediği referansların aranarak aday hakkında bilgi toplanması Batı Avrupa hukuklarında hukuka aykırı bir davranış olarak kabul ediliyor.
Kişilik testleri konusunda da şirketlerin uygulamalarını gözden geçirmesi gerek. Örneğin aday bu testin sonuçlarına erişebilmeli ve işveren de bilgi vermek zorunda.
Kişisel verilerin işlenmesinde çalışanın onayı mutlaka gerekli mi? İşçi parmak izini vermek zorunda değil
Kişisel verilerin işlenmesinde, kural olarak ilgilinin açık ve bilgilendirmeye dayanan rızası olmalı. Ancak bunun istisnaları da var. Genel nitelikteki kişisel verilerin işlenmesinde rıza olmasa da belirli koşullar varsa bunların işlenmesine kanun izin veriyor. Ancak, hassas (özel nitelikli) veriler bakımından ise farklı bir durum söz konusu. Bu nitelikteki verileri işlerken çok dikkatli olmak gerekiyor. Kanuna göre, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri ve özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasak.
Hatta ilgilinin rızasının bile bu gibi verilerin işlenmesinde yeterli olup olmayacağı, Batı Avrupa’da tartışılıyor.
Kişisel verilerin devrinde nelere dikkat etmek gerekli?
HUKUKA AYKIRI VERİ DEVRİ 2-4 YIL HAPİS CEZASI GETİRİYOR
Kanunda kişisel verilerin aktarılması ile ilgili de özel düzenlemeler var. Kanuna göre, kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Ancak bunun istisnaları da var.
Kişisel verileri hukuka aykırı olarak aktarmak, kanunda belirtilen para cezalarının uygulanmasına, TCK uyarınca hapis cezasına hatta özel hukuk bakımından tazminat sorumluluğuna da yol açabilir. Hatta kanun yürürlüğe girmeden önceki dönemde, Yargıtay 9. Hukuk Dairesi 2014/37215 Esas, 2016/9418 K, 14.04.2016 tarihli kararında; işçinin özlük dosyasını yeni işverene veren işvereni manevi tazminata mahkûm etti.
Çokuluslu şirketler gözden geçirmeli
Kişisel veriler yurtdışına aktarılabilir mi?
Kanuna göre, kişisel veriler, ilgili kişinin açık rızası olmaksızın yurtdışına aktarılamaz. Ancak Kanun’da genel anlamda kişisel verilerin aktarılmasında söz konusu olan istisna hükümleri burada da geçerli. Bununla birlikte, yurtdışı devirler bakımından bazı ilave koşullar da getiriliyor. Kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurtdışına aktarılabilecek. Yeterli korumanın bulunduğu ülkeler kurulca belirlenerek ilan edilecek.
İnsan Kaynakları uygulaması bakımından çok uluslu şirketlerin sistemlerini gözden geçirilmesi gerekecek. Yine bulut sistemi (cloud system) uygulayan, yani İK verilerini buluta taşıyan şirketler de bu konuda prosedürlerini gözden geçirmeli. işveren önce bilgilendirmeli.
Dokümantasyon ve İnsan Kaynakları prosedürleri nasıl olmalıdır?
Kişisel Verilerin Korunması Kanunu yürürlüğe girince, bazı danışmanlık kuruluşları uzun bir taahhütname hazırladılar ve bunları işçiye imzalatıldığında sorunun çözüleceği yönünde görüş bildirdiler. Ancak; kanun her şeyden önce bilgilendirmeye dayalı açık rızadan söz ediyor. Yani işverenin birincil yükümlülüğü, çalışanı bilgilendirmek. Buna göre, kişisel verilerin kim tarafından işlendiği, hangi amaçla işlendiği, bunların nasıl aktarıldığı, ilgili kişinin hakları (erişme, düzeltme, silinmesini talep etme gibi) konularda prosedürler hazırlanmalı ve çalışanın bilgisine sunulmalı. Ancak bundan sonra çalışanın rızasını alabilirsiniz.
Peki Kanun Kapsamında Kanun’un İstisnalar başlıklı 28. maddesinde öngörülen haller saklı kalmak kaydıyla, Kanun’un 11. maddesi çerçevesinde veri işleyen şirketlere başvurarak kullanabileceğiniz haklarımız nelerdir?
a.Kişisel verilerinizin işlenip işlenmediğini öğrenme,
b.Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
c.Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
d.Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme,
e.Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f.Yukarıdaki (d) ve (e) maddeleri uyarınca yapılan işlemlerin, kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g.İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
h.Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararınızın giderilmesini talep etme.
Taleplerinizin yerine getirilmesini teminen şirketler, kurumlar yapılacak masrafları, Kanun’un Veri Sorumlusuna Başvuru başlıklı 13. maddesinde belirtilen tarifeye göre tarafınızdan talep etme hakkını saklı tutarlar.
Peki Dünya Ülkelerinde Veri Koruma Kanunları Nasıl Uygulanıyor?
Şiddeti gitgide daha çok hissedilen veri koruma kanunları, global anlamda büyük farklar yaratıyor. Avrupa Birliği’ndeki ülkelerde Mayıs 2017’de devreye giren ve hesap verebilirlik, rıza alma ve raporlama gibi alanlarda ciddi düzenlemeler getiren GDPR’den ilham alan ülkeler, kendi versiyonlarını üretip uygulamaya koyarak değişime ayak uyduruyor. Benzer şekilde, Türkiye’deki veri koruma uygulamalarının seyri de hızla değişiyor.
GDPR Nedir?
Avrupa Birliği Veri Koruma Yönergesi (EU General Data Protection Regulation – GDPR)
ABD: Tüketici Gizlilik Yasası
ABD, GPDR’den aldığı ilham ile yeni kanunlar yaratıyor. Yeni uygulamalardan biri olan 2018 Kaliforniya Tüketici Gizlilik Yasası, Kaliforniya eyaleti vatandaşlarına GDPR’ye özellikle DSAR konusunda benzerlik gösteren haklar tanıyor. Bu haklara göre kişiler, hangi verilerinin ne amaçla işlendiğine ve üçüncü bir şirket veya kişiye verilip verilmediğine dair şirketlerden bilgi talep edebiliyor. Elektronik veya fiziksel olarak oluşturulabilen bu taleplere şirketler bir ay içinde ücretsiz olarak cevap vermek zorunda kalıyor.
İngiltere: Veri Koruma Yasa Tasarısı
Brexit’in ardından harekete geçen İngiltere, İngiltere Bilgi Komisyonluğu Ofisi başkanlığında veri koruma ve gizliliği ile ilgili kendi düzenlemelerini oluşturuyor. İngiltere Bilgi Komisyonluğu Ofisi, GDPR ile uyumlu kuralların yürütülmeye devam edilmesi adına yeni bir Veri Koruma Yasa Tasarı taslağı hazırlamakta olan İngiltere için bu konunun oldukça önemli olduğunu ve veri korumaya dair sorunların kamuoyunda sıkça ses getirdiğini belirtiyor.
Avustralya: Gizlilik Yasası
Avustralya’daki Gizlilik Yasası, ülkedeki tüm gizlilik düzenlemelerinin birbiriyle tutarlılık göstermesini sağlayarak eksiksiz bir uyum mekanizması oluşturulmasını hedefliyor. Bu yasalar, ülke içindeki veri akışının Avustralya sınırları dışına çıkışının azaltılmasını ve kişisel gizlilik hakkını garanti altına alacak kurallar içeriyor.
Meksika: Federal Veri Koruma Kanunları
Meksika’nın Özel Taraflarca Yapılan Federal Veri Koruma Yasası, Avrupa’da uygulanan yasalardan neredeyse hiç ayrılmıyor. Uluslararası Gizlilik Profesyonelleri Birliği’nden Veri Koruma Yasası Başkanı Miguel Recio, “Avrupa Birliği’nde olduğu gibi Meksika da da veri koruma alanında dinamik gelişmeler yaşıyor. Bu gelişmelerde mesuliyet hissi, sağlam ve etkili bir veri yönetimi için anahtar rol oynuyor. Meksika’daki veri denetleyicileri, teknik ve operasyonel önlemler hakkında AB’dekilerle benzer sorumluluklar alarak veri gizliliği yasalarına uyumu proaktif bir şekilde gösteriyor.” sözleriyle Meksika’nın veri korumaya yeni bakış açısını özetliyor.
Kanada: Kişisel Verileri Koruma ve Elektronik Belgeler Yasası
GDPR ile çok alakalı olmayan uygulamaları gündeme getiren ülkeler de bulunuyor. Kanada, oluşturduğu Kanada Kişisel Veri Koruma ve Elektronik Belge Yasası kapsamında kendi standartlarını yaratıyor. Ayrıca, temel işleri direkt veri işlemeye dayanan tüm Kanadalı şirketlerin, Kanada kanunları dışında bütün GDPR kurallarına da uyması bekleniyor.
Daha fazlası için KVKK resmi sitesini inceleyebilirsiniz https://www.kvkk.gov.tr/
Originally posted 2019-02-22 10:00:17.