Önceden işçilere ait kişisel veriler, yalnızca Türk Borçlar Kanunu’nun 419. maddesi ile işverene karşı korunmakta iken, 2016 yılında 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesiyle birlikte yeni bir dönem başlamış oldu.
Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esaslar 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda düzenlenmektedir.
Bir çok işletme ve kişi henüz bu yasayla getirilen yenilikleri tam olarak uygulamaya koyamadı ama kısa bir zaman süreci içinde uygulamaların netleşmesini bekliyoruz.
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel verinin korunması, insan hakları ve temel özgürlüklerine ilişkindir. Dolayısıyla elde edilen veya işlenen her türlü kişisel verinin özel hayatın gizliliği esası çerçevesinde işlenmesi gerekir.
Açık rıza şart
6698 Sayılı Kanun’un Geçici 1’inci maddesinin üçüncü fıkrasında; kanunun yayımı tarihinden önce işlenmiş olan kişisel verilerin, yayımı tarihinden itibaren iki yıl içinde (7 Nisan 2018) kanun hükümlerine uygun hale getirileceği, kanun hükümlerine aykırı olduğu tespit edilen kişisel verilerin derhal silineceği, yok edileceği veya anonim hale getirileceği, ancak bu kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızaların, bir yıl içinde (7 Nisan 2017) aksine bir irade beyanında bulunulmaması halinde, bu Kanuna uygun kabul edileceği hükme bağlanmıştır.
Bu itibarla, kanunun yayımı tarihinden önce yürürlükte bulunan mevzuat çerçevesinde hukuka uygun olarak alınmış rızaların, ilgili kişilerce aksi belirtilmediği sürece, Kanuna uygun olduğu kabul edildiğinden, veri sorumlularınca bu şartlar dâhilinde alınmış mevcut rızaların güncellenmesine veya yeniden ilgili kişilerden açık rıza alınmasına gerek bulunmamaktadır.
Unutulmamalıdır ki kişisel verilerin işlenmesi için yegane şart açık rıza değildir.
Kanunun yayımından önce toplanmış kişisel veriler açık rıza dışındaki gerekli yasal şartlar dairesinde işleniyorsa, bu işleme faaliyetleri için de açık rıza alınmasına ve bu faaliyetlerin de açık rızaya dayalı olarak yürütülmesine gerek yoktur.
Veri sorumluları ne yapacak?
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri ‘veri sorumlusu’ olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemektedir.
Veri sorumlusu kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani işleme faaliyetinin ‘neden’ ve ‘nasıl’ yapılacağı sorularının cevabını verecek kişidir.
Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir.