ETİK
KÜLTÜR & SANAT
Kişisel Verilerin Korunması Kanunu Yazı Dizisi-10
Kişisel Verilerin Korunması Kanunu
Yazı Dizisi-10
37) Veri Sorumlusunun Meşru Menfaatini Tespit Etmek İçin Göz Önünde Bulundurulması Gereken Hususlar Nelerdir?
Veri sorumlusunun meşru menfaat şartına dayanması durumunda bu şartın varlığını tespit etmek için aşağıda sıralanan hususların değerlendirilmesi gerekir:
a. Menfaatin veri sorumlusuna ait olması: Kanunda varlığı aranması gereken meşru menfaatin veri sorumlusuna ait olması gerektiği düzenlenmiştir. Veri sorumlusu dışında üçüncü bir kişinin meşru menfaati bu veri işleme şartının kapsamı dışında kalmaktadır.
b. Menfaatin meşruluğu: Veri işleme şartının varlığından bahsedebilmek için veri sorumlusunun menfaatinin mevcut olması değil, söz konusu menfaatin meşru olması da gerekmektedir. Menfaatin ileride doğma ihtimali üzerine, ilgili kişinin kişisel verilerinin elde edilmesi mümkün değildir. Madde kapsamında kabul edilen meşru menfaat kavramı, hali hazırda mevcut olan bir menfaati ifade etmektedir.
c. Veri sorumlusunun meşru menfaati ile ilgili kişinin temel hak ve özgürlükleri arasında dengenin varlığı: Veri sorumlusunun meşru menfaatinin varlığı, ilgili kişinin temel hak ve özgürlüklerine zarar vermemelidir. Bu durumun tespiti için iki aşamalı bir denge testi uygulanmalıdır. Bu kapsamda yapılacak olan ilk değerlendirmede veri sorumlusunun meşru menfaatinin olup olmadığı belirlenmeli, yapılacak ikinci değerlendirmede kişisel verisi işlenecek olan ilgili kişinin temel hak ve özgürlüklerinin neler olduğu tespit edilmeli ve belirtilen hak ve menfaatler değerlendirilerek hangisinin üstün geldiğine karar verilmelidir. Ancak bu değerlendirme yapılırken veri sorumlusunun meşru menfaati ile kişisel verileri işleme amacı birbirine karıştırılmamalıdır. Bu iki terim birbiriyle ilişkili olsa da farklı anlama gelmektedir. Kişisel verileri işleme amacı, özel olarak verinin neden işlendiği ile alakalıdır.
Önemle belirtmek gerekir ki, veri sorumlusunun meşru menfaat şartına dayanması durumu, maddede yer alan diğer haller uygulanamadığı takdirde başvurulacak son çare olmadığı gibi, her şeyi kapsamına dâhil edebilecek ve tüm kişisel verilerin işlenmesi faaliyetlerini hukuka uygun kılacak bir unsur da değildir.
Veri sorumlusunun meşru menfaat şartına dayanması durumunda bu şartın varlığını tespit etmek için aşağıda sıralanan hususların değerlendirilmesi gerekir:
a. Menfaatin veri sorumlusuna ait olması: Kanunda varlığı aranması gereken meşru menfaatin veri sorumlusuna ait olması gerektiği düzenlenmiştir. Veri sorumlusu dışında üçüncü bir kişinin meşru menfaati bu veri işleme şartının kapsamı dışında kalmaktadır.
b. Menfaatin meşruluğu: Veri işleme şartının varlığından bahsedebilmek için veri sorumlusunun menfaatinin mevcut olması değil, söz konusu menfaatin meşru olması da gerekmektedir. Menfaatin ileride doğma ihtimali üzerine, ilgili kişinin kişisel verilerinin elde edilmesi mümkün değildir. Madde kapsamında kabul edilen meşru menfaat kavramı, hali hazırda mevcut olan bir menfaati ifade etmektedir.
c. Veri sorumlusunun meşru menfaati ile ilgili kişinin temel hak ve özgürlükleri arasında dengenin varlığı: Veri sorumlusunun meşru menfaatinin varlığı, ilgili kişinin temel hak ve özgürlüklerine zarar vermemelidir. Bu durumun tespiti için iki aşamalı bir denge testi uygulanmalıdır. Bu kapsamda yapılacak olan ilk değerlendirmede veri sorumlusunun meşru menfaatinin olup olmadığı belirlenmeli, yapılacak ikinci değerlendirmede kişisel verisi işlenecek olan ilgili kişinin temel hak ve özgürlüklerinin neler olduğu tespit edilmeli ve belirtilen hak ve menfaatler değerlendirilerek hangisinin üstün geldiğine karar verilmelidir. Ancak bu değerlendirme yapılırken veri sorumlusunun meşru menfaati ile kişisel verileri işleme amacı birbirine karıştırılmamalıdır. Bu iki terim birbiriyle ilişkili olsa da farklı anlama gelmektedir. Kişisel verileri işleme amacı, özel olarak verinin neden işlendiği ile alakalıdır.
Önemle belirtmek gerekir ki, veri sorumlusunun meşru menfaat şartına dayanması durumu, maddede yer alan diğer haller uygulanamadığı takdirde başvurulacak son çare olmadığı gibi, her şeyi kapsamına dâhil edebilecek ve tüm kişisel verilerin işlenmesi faaliyetlerini hukuka uygun kılacak bir unsur da değildir.
38) Özel Nitelikli Kişisel Verilerin İşlenme Şartları Nelerdir?
.png)
Özel nitelikli kişisel veriler öğrenilmesi halinde ilgili kişiler hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir.
Kanun, bu verilere özel bir önem atfetmekte ve bu verilerle ilgili farklı bir düzenleme getirmektedir. Kanun bunları özel nitelikli kişisel veri ya da hassas veriler olarak kabul etmektedir. Özel nitelikli kişisel veriler ilgili kişinin açık rızası ile ya da Kanunda sayılan sınırlı hallerde işlenebilir.
Kanun, özel nitelikli kişisel veriler arasında da bir ayrım yapmıştır. Buna göre sağlık ve cinsel hayata ilişkin kişisel veriler ile bunlar dışındaki özel nitelikli kişisel verilerin, açık rıza olmaksızın işlenebileceği haller, Kanunda farklı düzenlenmiştir.
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.
Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Belirtmek gerekir ki, bütün durumlarda, özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
39) Kişisel Verilerin Silinmesi Nedir?
.png)
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Yönetmeliğin 4. maddesinde ilgili kullanıcı; “verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler” olarak tanımlanmıştır.
Buna göre ilgili kullanıcı, veri sorumlusu uhdesinde olmakla birlikte verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan arşiv sorumlusu ve/veya veri tabanı yöneticisi gibi bir kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde yer alan tüm çalışanlar ve birimler ya da veri sorumlusundan aldığı yetki ve talimat ile bu alanda hizmet veren üçüncü kişiler gibi veri işleyenleri tanımlamaktadır.
Örneğin bir veri sorumlusu ile bilgi işlem altyapısı iş ve işlemlerini onun yetki ve talimatları çerçevesinde yerine getirmek üzere anlaşma yapmış olan ve bu konuda çalışan bir firma veri işleyen sayılacaktır. Bu durumda bu veri sorumlusunun veri tabanı yöneticiliği yapan birim ya da personeli bulunmuyorsa tüm çalışanları ilgili kullanıcı olacaktır. Ayrıca veri işleyen firmanın da veri tabanı yöneticisi hariç geri kalan tüm çalışanları da ilgili kullanıcı kavramı içerisinde yer alacaktır.
Kişisel verilerin silinmesi ve yok edilmesi arasındaki fark da ilgili kullanıcı kavramına göre şekillenmiştir.
40) Kişisel Verilerin Yok Edilmesi Nedir?
.png)
Yok etme, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyalar tespit edilir ve verilerin bulunduğu sistemlerin türüne göre de-manyetize etme, fiziksel yok etme, üzerine yazma gibi yöntemlerden bir ya da bir kaçı kullanılır.
41) Kişisel Verilerin Anonim Hale Getirilmesi Nedir?
.png)
Anonim hale getirme kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Diğer bir ifade ile anonim hale getirme bir veri kümesindeki tüm doğrudan ve dolaylı tanımlayıcıların çıkarılarak veya değiştirilerek ilgili kişinin kimliğinin saptanabilmesinin engellenmesi ya da bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişi ile ilişkilendirilemeyecek şekilde kaybetmesidir. Bu kapsamda, veri üzerinden bir izleme yapılarak başka verilerle eşleştirme ve destekleme sonrasında verinin kime ait olduğu anlaşılabiliyorsa, bu verinin anonim hale getirildiği kabul edilemez.
Anonim hale getirilen veri artık kişisel veri niteliklerine sahip olmayacağından, Kanun hükümleri kapsamında değerlendirilemeyecektir. Veri setleri anonim hale getirilme işlemlerine tabi tutuldukları ana kadar kişisel veri niteliklerine sahip olduklarından, bu veriler üzerinde gerçekleştirilecek her türlü işlem kişisel verilerin işlenmesi olarak kabul edilmektedir.
Kaynak : Kişisel Verileri Koruma Kurumu
Konu ile ilgili KVKK (Kişisel Verileri Koruma Kurumu) tarafından bir çok rehber yayın hazırlanarak yayınlanmıştır.“100 Soruda Kişisel Verilerin Korunması Kanunu” bu yayınlardan biridir. Bu rehber yayını Elektrik Tesisat Portalımızda sektörümüzü bilgilendirmek için bölüm bölüm yayınlıyoruz. Yayınına izin veren "Kişisel Verileri Koruma Kurumuza” teşekkür ederiz.
Özel nitelikli kişisel veriler öğrenilmesi halinde ilgili kişiler hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir.
Kanun, bu verilere özel bir önem atfetmekte ve bu verilerle ilgili farklı bir düzenleme getirmektedir. Kanun bunları özel nitelikli kişisel veri ya da hassas veriler olarak kabul etmektedir. Özel nitelikli kişisel veriler ilgili kişinin açık rızası ile ya da Kanunda sayılan sınırlı hallerde işlenebilir.
Kanun, özel nitelikli kişisel veriler arasında da bir ayrım yapmıştır. Buna göre sağlık ve cinsel hayata ilişkin kişisel veriler ile bunlar dışındaki özel nitelikli kişisel verilerin, açık rıza olmaksızın işlenebileceği haller, Kanunda farklı düzenlenmiştir.
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.
Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Belirtmek gerekir ki, bütün durumlarda, özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
39) Kişisel Verilerin Silinmesi Nedir?
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Yönetmeliğin 4. maddesinde ilgili kullanıcı; “verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler” olarak tanımlanmıştır.
Buna göre ilgili kullanıcı, veri sorumlusu uhdesinde olmakla birlikte verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan arşiv sorumlusu ve/veya veri tabanı yöneticisi gibi bir kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde yer alan tüm çalışanlar ve birimler ya da veri sorumlusundan aldığı yetki ve talimat ile bu alanda hizmet veren üçüncü kişiler gibi veri işleyenleri tanımlamaktadır.
Örneğin bir veri sorumlusu ile bilgi işlem altyapısı iş ve işlemlerini onun yetki ve talimatları çerçevesinde yerine getirmek üzere anlaşma yapmış olan ve bu konuda çalışan bir firma veri işleyen sayılacaktır. Bu durumda bu veri sorumlusunun veri tabanı yöneticiliği yapan birim ya da personeli bulunmuyorsa tüm çalışanları ilgili kullanıcı olacaktır. Ayrıca veri işleyen firmanın da veri tabanı yöneticisi hariç geri kalan tüm çalışanları da ilgili kullanıcı kavramı içerisinde yer alacaktır.
Kişisel verilerin silinmesi ve yok edilmesi arasındaki fark da ilgili kullanıcı kavramına göre şekillenmiştir.
40) Kişisel Verilerin Yok Edilmesi Nedir?
Yok etme, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyalar tespit edilir ve verilerin bulunduğu sistemlerin türüne göre de-manyetize etme, fiziksel yok etme, üzerine yazma gibi yöntemlerden bir ya da bir kaçı kullanılır.
41) Kişisel Verilerin Anonim Hale Getirilmesi Nedir?
Anonim hale getirme kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Diğer bir ifade ile anonim hale getirme bir veri kümesindeki tüm doğrudan ve dolaylı tanımlayıcıların çıkarılarak veya değiştirilerek ilgili kişinin kimliğinin saptanabilmesinin engellenmesi ya da bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişi ile ilişkilendirilemeyecek şekilde kaybetmesidir. Bu kapsamda, veri üzerinden bir izleme yapılarak başka verilerle eşleştirme ve destekleme sonrasında verinin kime ait olduğu anlaşılabiliyorsa, bu verinin anonim hale getirildiği kabul edilemez.
Anonim hale getirilen veri artık kişisel veri niteliklerine sahip olmayacağından, Kanun hükümleri kapsamında değerlendirilemeyecektir. Veri setleri anonim hale getirilme işlemlerine tabi tutuldukları ana kadar kişisel veri niteliklerine sahip olduklarından, bu veriler üzerinde gerçekleştirilecek her türlü işlem kişisel verilerin işlenmesi olarak kabul edilmektedir.
Kaynak : Kişisel Verileri Koruma Kurumu
Konu ile ilgili KVKK (Kişisel Verileri Koruma Kurumu) tarafından bir çok rehber yayın hazırlanarak yayınlanmıştır.“100 Soruda Kişisel Verilerin Korunması Kanunu” bu yayınlardan biridir. Bu rehber yayını Elektrik Tesisat Portalımızda sektörümüzü bilgilendirmek için bölüm bölüm yayınlıyoruz. Yayınına izin veren "Kişisel Verileri Koruma Kurumuza” teşekkür ederiz.
Paylaş:
SON YAZILAR
Çocuk Oyuncak ve Oyunları
23 Nisan 2024
EGOİZM
23 Nisan 2024
İşleri Kolaylaştırma !?
21 Nisan 2024
E-BÜLTEN KAYIT
Güncel makalelerimizden haberdar olmak için e-bültene kayıt olun!
Güncel makalelerimizden haberdar olmak için e-bültene kayıt olun!