Bilgilerinizi kim, nasıl işleyebilir? [Kişisel Veri Güvenliği Rehberi]

İnternette, online alışverişte, başvurularınızda, işlemlerinizde sizden verilerinizi isteyenlere karşı haklarınız neler? Hangi bilgi nasıl alınabilir? Hangi durumda nasıl şikâyet edilebilir? Bu ve benzeri sorularınızın cevapları, Kişisel Veri Güvenliği Rehberi‘nde.

Adımız soyadımızdan tutun da, telefon numaramız ve adresimize, kimlik bilgilerimizden e-postamıza, resim ve ses kayıtlarımızdan parmak izlerimize çoğu kişisel bilgimiz, tabiri caizse ortalıkta serbestçe dolaşıyor.

Üstelik bu bilgileri artık sadece banka, hastane ve Turkcell, Vodafone, Türk Telekom gibi iletişim operatörleri gibi büyük kurumlar ve e-ticaret siteleri değil, deyim yerindeyse önünüze gelen herkes isteyebiliyor. Alacağınız hizmet veya ürünle alakası olmayan pek çok kişisel bilginizi “Vermek zorundasınız” diye talep edebiliyorlar.

Herkesi ilgilendiriyor

Ancak kişisel bilgilerin dijital dünyada oynadığı kritik rolün farkında olan bilinçli tüketici için bu alan artık o kadar da başı boş değil. En büyüğünden, en küçüğüne kişisel verilerinizi isteyen tüm şirketlerin, sizden açık onay veya rızanızı alması şart.

Kişisel Verilerin Korunması Kanunu’nun uygulayıcısı olan Kişisel Verileri Koruma Kurumu (KVKK), Kişisel Veri Güvenliği Rehberi’ni yayınladı. Rehberden yola çıkarak, hem tüketicileri hem de tüm işletmeleri yakından ilgilendiren hangi verilerin kimler tarafından nasıl işlenebileceğine göz attık.

Kişisel Veri Güvenliği Rehberi

1- Hangi verileriniz alınabilir?

Öncelikle kişisel veri tanımı, gerçek kişilere ilişkin verileri kapsıyor. Dolayısıyla tüzel kişilere ilişkin bilgiler (bir şirketin ticaret unvanı ya da adresi gibi) kişisel veri sayılmıyor. Kişinin adı, soyadı, doğum tarihi ve doğum yeri gibi bilgilerin yanı sıra telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmişi, resim, görüntü ve ses kayıtları, IP adresi, e-posta adresi, hobileri, tercihleri, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi tüm veriler, kişisel veri tanımına giriyor. Ve bu bilgilerin alınması, işlenmesi ve saklanmasının yasalara uygun şekilde yapılması gerekiyor.

2- Hangileri ‘özel’?

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik (parmak izleri) ve genetik verileri “özel nitelikli kişisel veri olarak kabul ediliyor. Ve bu verilerin, ilgili kişinin açık rızası olmaksızın işlenmesi yasak. Ayrıca bu verilerin kişisel verilere göre çok daha sıkı şekilde korunmaları gerekiyor.

3- Vermezseniz ne olur?

Verilerin işlenmesinde “açık rıza”nın olması kritik. Ancak kanun gereği ‘açık rıza’ bir hizmetten yararlanmanın ön şartı yapılamaz. Örneğin, online alışveriş yapmak için bir siteye giriş yaptığınızda, sizden sitelerine üye olunması ve üye olunurken de satım sözleşmesi için gerekli olandan daha fazla bilgi istenmesi, aksi halde alışveriş yapamama durumunda kalınması halinde, açık rıza özgür irade ile verilmemiş oluyor. Ki bu durum da yasaya aykırı. “Bütün verilerimin işlenmesine açık rıza veriyorum, onay veriyorum” şeklinde bir onay alma söz konusu değil. Ve tüketici böyle bir durumla karşı karşıya kaldığında şikâyet hakkını kullanabiliyor.

4- Haklarınız neler?

KVKK düzenlemesi kapsamında kişisel verilerinizi topladığını veya kullandığını bildiğiniz ya da düşündüğünüz kişi ya da kurumlara karşı haklarınız da mevcut. Kişisel verilerinizin işlenip işlenmediğini öğrenme, verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurtiçinde veya yurtdışında kişisel verilerinizin aktarıldığı kişileri bilme, yanlış veya eksik işlenen kişisel verilerinizin düzeltilmesini isteme, işlenebilme şartları ortadan kalkan kişisel verilerinizin silinmesini veya yok edilmesini isteme bunların başlıcaları…

5- Cezası ne?

Kanun, 7 Nisan 2018’e kadar işletmeler için bir uyum süreci tanıyor. Kişisel verileri toplayan/alan işletmeler, bu tarihe kadar söz konusu verilerin işlenmesi, toplanması ve saklanması konusunda gerekli izinleri alıp, süreçlerini yasaya uygun hale getirmek zorundalar. Yasaya göre yükümlülüklerini yerine getirmeyen şirketlere, 5 bin TL’den başlayıp 1 milyon TL’ye kadar çıkabilen idari para cezaları ile 4 yıla kadar çıkabilen cezai yaptırımlar uygulanıyor. Üstelik KVKK sadece hizmet veya ürün aldığınız işletmeleri değil, sadece çalışanlarının bilgilerini tutan şirketleri de kapsıyor.

6- Nasıl şikâyet edebilirsiniz?

Kişisel verilerinizin yasaya aykırı olarak işlendiğini düşünüyorsanız, öncelikli olarak verinizi işleyen kuruluşa yazılı olarak şikâyet başvurusu yapabiliyorsunuz. Söz konusu şirket başvurunuza en geç 30 gün içinde cevap vermek durumunda.

Eğer başvurunuza cevap verilmezse veya başvurunuz reddedilirse, (veri sorumlusunun cevabını öğrendiği tarihten itibaren 30, ilk başvuru tarihinden itibaren 60 gün içinde) KVKK’ya doğrudan şikâyet başvurusu yapabiliyorsunuz.

Kişisel Verileri Koruma Kurumu’nun hazırladığı Kişisel Veri Güvenliği Rehberi’ne buradan erişebilirsiniz.


Yorumlar

yorum

Bir Cevap Yazın