İçindekiler
Kişisel Verilerin İşlenme Şartları
KVKK’nın uygulanmasıyla, kişisel verilere ilişkin her türlü işlemden önce, veri sahibinin izni alınması zorunludur. Veri sahibinin izni olmadan, kişisel verilerin toplanması, işlenmesi ve kullanılması yasaklanmıştır. Kişisel verilerin güvenli ve gizliliğe uygun olarak işlenmesini sağlamak amacıyla, herhangi bir veri işlemesinin gerçekleştirilmesi için, veri sorumlusunun gerekli önlemleri almasını öngörmektedir.
KVKK (Kişisel Verilerin Korunması Kanunu)
Kişisel Verilerin Korunması Kanunu’nun Amacı
Günümüzde, teknolojinin hızlı bir şekilde gelişmesi, bireylerin kişisel verilerinin çeşitli şekillerde kullanılmasını mümkün kılmıştır. Bireylerin kişisel verileri her geçen gün artan oranda temel alınarak özel sektör ve kamu sektörü tarafından bilişim sistemleri üzerinden işlenmektedir. Bu bilgilerin her geçen gün artan oranda çeşitli alanlarda kullanılması, kullanıcıların zamandan ve kaynaktan tasarruf etmesine yardımcı olmaktadır. Örneğin, internet bankacılığıyla para transferi, seyahat biletlerinin rezervasyonu ve çeşitli alışverişlerin yapılması gibi durumlarda kişisel veriler kullanılmaktadır. Ancak, kişisel verilerin bu şekilde kullanılmasının bazı riskeleri de beraberinde getirmektedir. Güvenlik açıkları nedeniyle, kişisel verilerin istismarı ve çalınması söz konusu olabilmektedir.
Kişisel verilerin istismar edilmesi, özellikle bireylerin gelecekteki kredi veya sigorta primlerini olumsuz etkileyebilir. Ayrıca, kişisel verilerin kötü amaçlı kişiler tarafından çalınması veya korsanlar tarafından kullanılması, çok sayıda insanın finansal kayıplar yaşamasına neden olabilir. Kişisel verilerin istismar edilmesinin engellenmesi için, özel sektör ve kamu sektörünün el birliği ile çeşitli önlemler alınmalıdır. Öncelikle, kişisel verilerin toplanması, depolanması ve işlenmesi sırasında güvenlik önlemlerinin alınması önemlidir.
Bu önlemler arasında, kullanıcıların şifrelerini sık sık değiştirmeleri, kişisel verilerin güvenli bir şifreleme sistemi ile korunması ve kişisel verilerin işlenmesi için gerekli olan yetkilendirmenin sağlanması yer almaktadır. Ayrıca, kişisel verilerin kullanımına yönelik olarak herhangi bir veri toplanmasının gerçekleştirilmesi halinde, bireylerin haklarının korunması için çeşitli mevzuatların oluşturulması da önemli bir önlem olarak karşımıza çıkmaktadır.
Bireylerin verilerini kullanan taraflara, kişisel verilerin kullanımından doğan sorumluluklarının tam olarak anlaşılmasını sağlamak amacıyla, bireylerin kişisel verilerinin kullanımına ilişkin yetkilerinin sınırlandırılması da gerekmektedir. Son olarak, kişisel verilerin istismar edilmesi riskini azaltmak için, bireylerin, kişisel verilerinin korunması konusunda bilinçlenmesi de önem arz etmektedir. Bireylerin, kişisel verilerinin korunması konusunda bilinçlenmesinin, kişisel verilerin istismar edilmesinin önüne geçebilecek çok önemli bir araç olduğu unutulmamalıdır. Kısaca, kişisel verilerin istismar edilmesinin önüne geçmek için, özel sektör ve kamu sektörünün el birliği ile çeşitli önlemlerin alınması, bireylerin bilinçlenmesi ve kişisel verilerin güvenli bir şifreleme sistemi ile korunması gerekmektedir.
Kişisel Verilerin İşlenme Şartları
Kişisel veri, kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
Kişisel verilerin işlenmesi Kanunun 5. maddesinde sayılan hallerden en az birinin bulunması durumunda mümkündür. Buna göre;
- İlgili kişinin açık rızasının varlığı,
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temek hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinden birinin varlığı durumunda ilgili kişinin kişisel verilerinin işlenmesi mümkün bulunmaktadır.
- Kişisel verilerin işlenme şartları, yani hukuka uygunluk halleri, Kanunda sınırlı sayıda sayılmış olup, bu şartlar genişletilemez.
Kişisel Verilerin İşlenme Şartlarında Önemli istisnalar
- Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi
- Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi.
- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
Uluslarası Standartlarda Kişisel Verilerin İşlenme Şartları
Kişisel veriler, insanların şahsi özelliklerini tanımlayan, özel bir karaktere sahip olan ve özel bilgilere sahip olan verilerdir. Kişisel veriler, özellikle ABD’deki Güvenlik Veri Toplama ve İşleme Kanunu (Privacy Act) tarafından korunan ve kullanılan özel verilerdir. Kişisel verilerin işlenmesi, korunması ve yönetilmesi, Güvenlik Veri Toplama ve İşleme Kanunu (Privacy Act) tarafından belirlenen düzenlemeler çerçevesinde yapılır. Özellikle ABD’deki Güvenlik Veri Toplama ve İşleme Kanunu (Privacy Act), kişisel verilerin korunması, işlenmesi ve yönetilmesi konusunda ayrıntılı düzenlemeler içerir. Kişisel verilerin işlenmesi, öncelikle, kişisel verilerin kullanıcı tarafından onaylanması ile başlar. Onaylama, kullanıcının kişisel verilerin kullanımının sınır ve şartlarını kabul etmesi anlamına gelir. Kişisel veriler, kullanıcının özel olarak verdiği onay sonrasında, kanunen izin verilen ölçüde ve amaçlarla işlenebilir. Kişisel veriler, hukuken izin verilen sınırlar içinde, kullanıcının rızası ile, hukuken uygun amaçlarla, güvenli bir şekilde ve kullanıcının haklarının korunmasına yönelik olarak işlenebilir. Kişisel verilerin işlenmesi, kişisel verilerin mahremiyetinin korunmasını sağlamak için, güvenli önlemler alınarak yapılır. İşlenen kişisel veriler, kişisel verilerin kapsamına göre belirlenen çerçevede, güvenli bir şekilde saklanmalıdır. Özellikle kişisel verilerin kimlik bilgileri ile ilişkilendirilmesi ve kişisel verilerin sızma testleri aracılığıyla güvenliğinin sağlanması çok önemlidir. Kişisel verilerin işlenmesi sırasında, herhangi bir şüphe durumunda, güvenlik amacıyla gizlilik ilkelerine ve Güvenlik Veri Toplama ve İşleme Kanunu’na uyulması gerekmektedir. Kişisel verilerin işlenmesi, aynı zamanda, kişisel verilerin kontrol edilmesi ve kullanımının sınırlandırılmasına yönelik önlemler alınmasını da gerektirebilir. Kişisel verilerin kontrol edilmesi, kullanıcının veya kişisel verilerin izin verilen kullanımının sınırlandırılmasını sağlamak için güvenlik önlemleri alınarak yapılmalıdır. Kişisel verilerin kontrol edilmesi, kişisel verilerin mahremiyetinin korunmasını ve kişisel verilerin kullanımının sınırlandırılmasını sağlamak için, güvenlik ve denetim önlemleri alınarak yapılmalıdır. Kişisel verilerin işlenmesi, Güvenlik Veri Toplama ve İşleme Kanunu (Privacy Act) tarafından belirlenen düzenlemeler çerçevesinde yapılmalıdır. Kişisel verilerin işlenmesi, kişisel verilerin mahremiyetinin korunmasını, kişisel verilerin kullanımının sınırlandırılmasını ve kişisel verilerin kontrol edilmesini sağlamak için güvenlik önlemleri alınarak yapılmalıdır. Kişisel verilerin işlenmesi, herkesin haklarının korunmasına yönelik olarak, kullanıcının rızasıyla ve hukuken uygun amaçlarla yapılmalıdır.