Security Blog

GDPR ve izin konusu

GDPR, Türkiye de dahil olmak üzere özellikle Avrupa ülkelerini yakından ilgilendiren bir yönergedir. Henüz yürürlüğe girmemiş olması sebebiyle halen birçok soru işaretlerini de beraberinde getiriyor. GDPR ile ilgili yanlış anlaşılan unsurlardan biri de kişisel verilerin korunması hususunda ilgili kişilerin her koşulda izninin alınması gerektiğidir. İşim gereği görüştüğüm birçok insanın, şirketlerinde bulunan kişisel verilerin işleme alınırken, konu ne olursa olsun, ilgili kişiden izin almaları gerketiğini düşündüğünü gördüm.

Elbette ki kişisel verilerin toplanması, saklanması ve işlenmesi için izin gerekli ancak bu durum, güvenlik kısmına geldiğinde herhangi bir önem teşkil etmiyor. Zira kişisel verilerin korunması için kişilerin iznini almaya gerek yok. Rıza, kişisel verinin işlenmesi için yasal olarak oldukça önemli ancak işlem sürecinde en son düşünülmesi gereken öğelerden biri.

Kişisel verisinin korunduğu şahıs, daha önce vermiş olduğu rızasından istediği zaman cayabilir. Birçok kontrolör, gerçeken ihtiyaç olmamasına rağmen şahsa (ya da firma) ait verilerin korunması için rıza talep ediyor. Ancak her şey rızanın yazılı bir şekilde alınmasıyla bitmiyor. Güvenlik kısmını bir kenara bırakacak olursak, kimi zaman bu yazılı metinlerin herhangi bir hukuki dayanağı dahi olmayabiliyor. Dolayısıyla hukuğa uygun bir zemin hazırlanmadığı sürece, yazılı izin bir önem teşkil etmeyebilir.

Şimdi Madde 6(1)’de bulunan hukuksal konuları masaya yatıracağım.

İşlemler, ancak aşağıdaki yönergelerden en az bir tanesi uygulandığında yasal olabilir:

(a) İlgili kişi, kişisel verisinin bir ya da daha fazla amaçlar için işlenmesine dair izin vermiş olmalıdır;

Daha önce de ifade edildiği gibi, iznin en son düşünülmesi gerekir ve geçerli bir işleme ihtiyacı bulunmaktadır. Sessiz kalmak ya da önceden işaretlenmiş onay kutuları geçerli bir izin teşkil etmez. İzin ancak, ilgili kişinin konuya ilişkin metnin yakınında bulunan işaret kutusunu kendi işaretlediği takdirde geçerli olur. Örneğin: “Bu kutucuğu işaretleyerek, Gizlilik Politikamızı okuduğunuzu ve şartlarımızı kabul ettiğinizi onaylamış oluyorsunuz.” şeklinde bir metnin işaretlenmesi, durumu yasal kılmaktadır.

İlgili kişi her zaman, her konuyla ilgili bilgi sahibi olmak zurunda değil. Kimi şahıslar ise dikkatsiz olabilmektedir. Dolayısıyla onlara her konuda aydınlatıcı, yardımcı olacak bilgilerin verilmesi de gereklidir. Örneğin; adresiniz@ornek.com şeklinde bir metni, e-posta metin kutusunun içine yazıp, yanına “En son ürün ve hizmetlerimize ait bilgi sahibi olmak için bülten almak istiyorsanız e-posta adresinizi giriniz. Lütfen Gizlilik Politikamızı okuyun” gibi bir metin yazabilirsiniz. Özellikle gizlilik politikası sayfasının ayrıntılı ve açık bir şekilde yazılması ve yukarıdaki örneklerde olduğu gibi, metinlerin içinde ilgili sayfalara link verilmesi gereklidir.

(b) İlgili kişinin belli bir talebinin gerçekleşmesi ya da ikili taraflardan biri olabilmesi için gerekli olan kontratın performansı açısından, verinin işleme alınması kısmı oldukça önemli ve gereklidir. İşe alım kontratı tipik bir örnektir. Bir iş veren, işe aldığı kişinin kişisel verilerini, işe alım kontratı kapsamında işleyebilir. Bu da GDPR’ın pratiğe geçmesi halinde dahi, iş verenlerin işe aldığı kişilerin böyle bir konuda izin almasına gerek olmadığı anlamına geliyor.

(c) Kontrolörün ilgili kişi olduğu durumlarda yasal yükümlülüğe sahip uyumluluk açısından işlemden geçirmek gereklidir.

Firmalar, GDPR dışında da çeşitli yasal yükümlülüklere sahiptir. Özellikle mali konularla ilgili yasalar, firmalarda bulunan kişisel verilerin belli bir süre boyunca saklanmasını istemektedir. Firmaların bu verileri, belirtilen yasalar sebebiyle saklaması ve silmemesi, bu işlemi yasal kılmaktadır.

(e) Kamu yararı için ya da resmi otorite tarafından kontrolöre verilen yetki kapsamında gerçekleştirilen bir işlemin performansı açısından verinin işlenmesi gerekmektedir.

Veri Koruma Yönergesi’nde birçok kamu otoritesinin “kamu yararı” esasını kullanması standart bir durumdu. Bu durum, geçerliliğini yitirmiş olup, artık bu esasın kullanılması gerekmektedir.

(f) Kontrolör ya da üçüncü partiler tarafından gerçekleştirilen takip işlemi için verinin işlenmesi gerekmektedir. Ancak kamu yararı için gerçekleştirilen bu işlem sırasında ilgili kişinin temel hak ve özgürlüklerini zedelememesi gerekmektedir. Böyle bir durumda, ilgili kişinin özellikle bir çocuk olması durumunda, kişisel verilerinin korunması gerekmektedir.

Birçok açıdan bir firmanın, ilgili kişinin haklarını ihlal edip etmediğini düşünerek veriyi işlemesi gerekmektedir. Doğrudan pazarlamanın, kamusal yarar açısından önemi çeşitli usül ve esaslara dayandırılmış olması, kişisel verinin korunması konusunda da gerekli önlemlerin alınması gerekliliğini doğurmaktadır. Bir başka deyişle, doğrudan pazarlama işlemlerinin gerçekleştirilmesi, yukarıda belirtildiği gibi, ilgili kişilerin hak ve özgürlüklerini ihlal etmediği, onları herhangi bir konuda tehlikeye düşürmediği sürece yasaldır.

GDPR’ın yürürlüğe girmesine halen süre var. Ancak bu süre içinde firmanızı, PCI DSS uyumlu hale getirebilirsiniz. Bunun için her biri konusunda uzman PCI QSA’lerimiz denetim işlemenizi gerçekleştirebilir.

  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com