İnternet siteleri rızanız olmadan kişisel verilerinizi kullanabilir mi?

YAZININ İLK BÖLÜMÜ İÇİN TIKLAYINIZ

Bu kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebepler ortadan kalktığında yapılması gereken nedir? Bu halde söz konusu kişisel verilerin ilgili kurum ve kuruluş tarafından kendiliğinden veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmeli, yok edilmeli veya anonim hale getirilmelidir.

İşlenmesini gerektiren sebepler ortadan kalktığında yapılması gereken bu işlemler şayet kişinin talebi üzerine yapılacaksa, ilgili kişi bu talebini kişisel elektronik posta adresinden ilgili kurum ve kuruluş tarafından açıklanmış kişisel verilerin korunmasına özel belirlenmiş elektronik posta adresine ya da telefonla yine bu konu için belirlenmiş telefon numarasına talebini iletmelidir. Talepte bulunan kişi bu talebini bir dilekçe ile yazılı olarak da yapabilir. Hatta bu yazıyı noter vasıtasıyla da gönderebilir. Bu konuda Kişisel Verilerin Korunması Kurulu tarafından yayınlanacak yönetmelikler ve diğer ilgili mevzuat işleyişi belirginleştirir. Silinme, yok edilme ve anonim hale getirilmesinin de şekil ve esasları ilgili yönetmelikler tarafından düzenlenecektir. Silinme ve yok edilme işlemi, ilgili kişinin verilerine bir daha asla geri dönülememesi, elde edilememesi anlamına gelir. Bu bilgilerin başka bir elektronik ortamda saklanmaması gerekir, adı üstünde “yok edilmelidir”, tamamen silinmelidir. Anonim hale getirilmesi işlemi ise verilerin silinip yok edilmesi değil verilerin kime ait olduğunun kesinlikle anlaşılamaması durumudur.      

Kişisel Veriler, kural olarak ilgili kişinin açık rızası olmadan aktarılamaz. Aktarım, bilgilerin üçüncü bir gerçek ya da tüzel kişiye söz konusu bilgilerin aktarılması anlamını taşır, yani onun da bu bilgilerden yararlanmasına olanak sağlamaktır. İşte bu nedenle ilgili kişinin açık rızasının alınmış olması şart ve esastır.

Yeri gelmişken açık rızanın nasıl alınabileceğini de okurlarımıza anlatmakta yarar görürüm. Yine güncel hayatımızdan örnek verelim. Elektronik ya da fiziki ortamda yaptığınız alışverişler, satın aldığınız hizmetler, özetle alış- veriş sırasında paylaştığınız bilgilerinizin işlenmesi ve paylaşımı için sizden yazılı bir onay alınmasını gerektirir. Bu yazılı onay, elektronik ortamda “onaylıyorum” ya da “kabul ediyorum” veya benzeri bir seçenek kutucuğunun işaretlenmesiyle (“Tık”lanmasıyla) rızanızı vermiş olacağınız ya da vermiş sayılacağınız, elektronik ya da fiziki ortam belgelerinin imzalanmış ya da imzalanmış sayılması ile verilir. İmzalatılan metinlerde seçim yapmanız gereken, elektronik ortam tanımlamasıyla “tıklamanız” gereken kutucukların nasıl hükümler içerdiğini iyi anlamalısınız. Kişisel verilerinizin işlenmesi ya da paylaşılmasına onay verip vermeyeceğinize siz karar vereceksiniz. İşletmeler yasal zorunluluk dışında, pazarlama ve iletişim amaçlı, sizin kişisel verilerinizi hep ve doğal olarak edinmek isteyecekler. Çünkü kişisel verileriniz çağımızın en kıymetli bilgilerdir, bu kıymet gerçek anlamda ciddi bedeller karşılığında işletmeler arasında paylaşılabilmektedir. Bu nedenle daha önce hiç alışveriş yapmadığınız, kapısından dahi geçmediğiniz kişi ya da şirketler, işletmeler, resmi ve özel kurumlar sizinle telefonla ya da elektronik posta veya sms mesajı ile bağlantı kurmuşlardır. Çoğumuz bu bilgilerimin nereden alındığını merakla sormuş ve hatta tatmin eden bir cevap da alamamış ya da bulamamışızdır. İşte tüm bu konular, kanun ve düzenlemeleri ile bir disiplin altına alınmış oldu. Seri yazımın başında “dürüstlük” tanımında bahsetmiştim. Kişiler ve ilgili tüm kurum ve kuruluşlar kişisel verileri edinip, işlerken, paylaşırken bundan böyle dürüst davranmakla yükümlüdürler. Dürüst olanlar ve hep olmuşlar zaten bu kanundan önce de gerekenleri yerine getirmiştir ve getiriyor, ama şimdi bu kanun ve kanun kapsamında kurularak faaliyete geçen Kurul, kişisel verilerin güvencesi, gözeticisi ve denetçisi oldu.

Kişisel veriler, ilgili kişinin açık rızası olmadan yurtdışına da aktarılamaz. Kural budur. Yukarıda ve burada belirttiğimiz açık rızanın istisnaları -yani açık rıza olmasa da kişisel bilgilerin işlenmesi ve aktarılması- kanunda belirtilmiştir ve yazı serimin ilkinde bunlardan bahsetmiştim.) Yurtdışına aktarılması için o yabancı ülkenin Kurul tarafından güvenilir ülke statüsünde kabul edilmiş olması gerekir. Sizin kişisel verileriniz yurtdışında başka bir şirkete, kurum ya da kuruluşa aktarılacaksa, siz açık rızanızı belirtmiş olsanız bile, Kurul aktarım yapılacak ülkeyi “güvenli ülke” kabul etmemişse, kişisel verileriniz o ülkeye aktarılamaz. Güvenli Ülke listesi Kurul tarafından hazırlanacak ve yayınlanacaktır. Bu listede bulunmayan ülkelere yapılacak aktarımlar için aktarımı yapacak ilgili kurum ve kuruluşların Kurul’dan o ülke için “güven” onayı alması gerekecektir. Bunun şekil ve esaslarına burada değinmeyeceğim ama okurlarımın şunu bilmesi yeterli, siz kişisel verilerinizin yurtdışına aktarılmasına izin vermişseniz, bunun gözetim ve denetimi Kurul tarafından yapılmış ve yapılacaktır, merak etmeyin… Yurtdışına aktarımla ilgili okuyucularımıza bir örnek vermek isterim; Türkiye’de satışı yapılan Alman Markalı bir ürünün (beyaz eşya, otomobil gibi) dağıtıcısı olan Türkiye’deki firma, bu ürünleri satın alanların, yaş ve cinsiyetlerinin, ekonomik ve çalışma şartlarının istatistiksel verilerinin işlenmesi için aktarmak isteyebilir, hatta üretici Alman firma bu konuda talepte de bulunabilir. Bu kanundan önce bu bilgilerin paylaşılması “güven “ unsurunun eksikliği ve yasal düzenlemenin yetersizliği nedeniyle ülkeler arasında gerekli paylaşımın da önünü kesiyordu.    

Görüldüğü gibi kişisel verilerin işlenmesi, paylaşılması ve aktarılmasında temel kural açık rızanızın alınmış olmasıdır.

Haftaya paylaşılmasında yarar gördüğüm diğer konularla devam edeceğim.

Güzel bir hafta ve esenlik dilerim.