Kişisel veriler nasıl işlenebilir? Kural nedir?

İnternette hemen hemen her siteye kişisel verilerimizi bırakıyoruz. Peki bu verilerin işlenmesi nasıl oluyor?

Geçen hafta kaldığımız yerden devam edelim. Kişisel verilerinizin işlenebilmesi (ki geçen hafta işleme kavramın genişliğini yazmıştım) bu kanun ve diğer kanunlarda öngörülen şekil ve esaslara uygun olmalıdır. Diğer kanunlar tanımı, KVKK’dan başka diğer kanunlarda kişisel verilerin korunması hakkında doğrudan ya da dolayı olarak ilgili yer alan düzenlemelerdir. Örnek olarak Sermaye Piyasası Kanunu kapsamında faaliyet gösteren bir kurumun müşteri bilgilerinin korunması ile müşteriye ait bilgilerin Sermaye Piyasası Kurulu’na sunulması gereken haller “diğer kanunlarda” geçen tanıma uyar. Yani pek çok kanunda kişisel verilerin korunması kanunu kapsamında dikkatte tutulması gereken düzenlemeler bulunabilir. Bu nedenle KVKK’da getirilen kişiye ait bir verinin saklanmasına dair kural başka bir kanundaki düzenlemeyle saklanmamasını, açıklanmasını düzenliyor olabilir.         

Kişisel Verilerin işlenmesinde “işleyen” in kanunda tanımlanmış bazı ilkelere uyması kanun ile zorunlu tutulmuştur. Tutulmuştur ama önce “veriyi işleyen” kimdir bunu tanımlamamız yerinde olur. “Veri İşleyen” veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Yani Veri işleyen “Gerçek” kişi de olabilir, “tüzel” kişi de (bu konuda faaliyet gösteren ya da göstermek üzere kurulmuş Şirketler) olabilir. Peki “veri sorumlusu” kimdir? Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

İşte, veri sorumlusunun verdiği yetkiyle sizin kişisel verilerinizi işleyecek, işlemeye yetkilendirecek “veri işleyici” gerçek ya da tüzel kişinin verileri işlemesi;

 

1-          Hukuka ve dürüstlük kurallarına uygun olmalıdır, yani kanunlara kapsamında ve sizi kandırmadan, yanıltmadan bu işlemi yapmalı,

2-          Size ait olan verilerinizin doğru ve gerektiğinde güncel olmasını sağlamalı -ki ilerideki yazılarımızda güncellenmesini isteme hakkınızın olduğundan bahsedeceğiz,

3-          Belirli, açık ve meşru amaçlar için yapılmalıdır,

4-          İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalıdır,

5-          İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.

Bu ilkelerle belirtilen, dürüstlük, doğruluk, güncellik, belirli, açık ve geçerli amaç, sınırlılık, ölçülülük ve saklamak tanımları kişisel verileri işlenen ile bunları işleyen arasında yasa ile getirilmiş temel kurallardır.  Verileri işleyen bu temel kurallara uymakla mükellef kılınmıştır. Buna uyulmasının yaptırımlarına da takip edecek yazılarımda değineceğim.

Kişisel Veriler nasıl işlenebilir? Kural Nedir?

Kişisel veriler, ilgili kişinin “açık rızası” olmadan işlenemez. Kanun ile getirilen bu kural esastır.

Bu kuralın istisnaları ise yine kanun ile düzenlenmiştir; Bu istisnalar,

1-          Kanunlarda açıkça öngörülmesi,

Bu kanun ve diğer kanunlarda kişinin verilerinin açık rızası olmasa da alınabileceği, işlenebileceğine dair hükümlerin varlığı,

2-          Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan ( hastalığı ya da geçirdiği bir kaza ya da bunu gibi nedenlerle ) veya rızasına hukuki geçerlilik tanınmayan kişinin ( örneğin reşit olmayan ya da kendi kararını kendisi veremeyen yani kısıtlı (mümeyyiz olmayan)) kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

3-          Bir sözleşmeyle ilgi olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, (Örneğin Bankacılık düzenlemeleri kapsamında banka ile imzalayacağınız sözleşmelerde yer alan bilgileriniz)

4-          Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ( ilgili kanunlar kapsamında veri sorumlusunun veri işlemesindeki mecburiyeti)

5-          İlgili kişinin kendisi tarafından alenileştirilmiş olması, yani kendi rızası ile genele paylaşılması ( örnek, sosyal medya hesaplarınız, kişisel profillerinizde kullandığınız bilgileriz)

6-          Sahip olacağınız bir hakkın oluşturulması, kullanılması ve korunması için veri işlemenin zorunlu olması,

7-          İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru (geçerli) menfaatleri için veri işlenmesinin zorunlu olmasıdır.

Özel Nitelikli Kişisel Veriler:
Özel Nitelikli Kişisel Veriler:

Özel Nitelikli kişisel veriler de ilgilinin açık rızası olmaksızın işlenemez. Bu husus kesin olarak yasaklanmıştır. Öyleyse Özel Nitelikli Kişisel veri nedir? Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbiriyle ilgili verileri yanında biyometrik ve genetik verileri özel nitelikli kişisel veri olarak tanımlanmıştır. Özel nitelikteki veriler de kişinin açık rızası olmadan işlenemez.

 

Sağlık ve cinsel hayat dışındaki veriler kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin veriler ise ancak kamu sağlığının korunması, koruyu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Buradan anlaşılabileceği gibi, bu bilgileri işleyecek yetkili gerçek ve tüzel kişiler “sır saklama yükümlülüğü” olanlardır

 

Bayram tatili sonrasında devam edecek yazılarımda diğer düzenlemelere yer vereceğim. Bu vesile ile ramazan bayramınızı kutlarım, mutlu, sağlıklı ve güzel nice bayramlar dilerim. İyilik, güzellik ve esenlikte olunuz. 

Etiketler kişisel veri
Yorumlar
Kalan Karakter 800
Murat Karaca
İş yerinde personel izin formu duzenledim exel ile ek sayfada personel listesini sadece isim listesi olarak başka hiçbir verisi bulunmadan çalıştığı birim ve birim sorumlusunun adı 'olacak şekilde duzenledim i.k uzmanı formun kvk ya aykırı olduğunu formun boş olması gerektiği bütün bilginin el ile yazilmasi gerektigini söyledi yalnizca isim listesi kvk ya nsl aykırı olabilir listeyi sadece birim sorumluları goruyor bu konuda ki yorumunuz nedir acaba