Yaptığımız işlerde gün geçtikçe daha da fazla kullandığımız kişisel veriler, artık Türkiye’de kanun koruması altında. Nisan ayından itibaren hayatımızda olan Kişisel Verilerin Korunması Kanunu, kullanıcılarımız da dahil tüm gerçek kişilerin bilgileri üzerinde uyguladığımız her işlemde uymamız gereken önemli kurallar getiriyor. Bu sayfada Kanun’un getirdiği yükümlülüklerden genel hatlarıyla bahsedeceğiz.
Kanun’da tanımlandığı haliyle kişisel veri, kimliği belirli veya belirlenebilir gerçek kişilere ilişkin her türlü bilgidir. Bu tanımın neyin kişisel veri olup neyin olmadığını gözümüzde canlandırmak için yeterli olmayacağını biliyoruz, bu yüzden örneklerle açıklamaya çalışalım: Müşterilerin ad, soyad, adres ve telefonlarından oluşan bir listenin kimliği belirli gerçek kişilere ilişkin bilgi, yani kişisel veri olduğu konusunda bir şüphe yok. Ama müşterilerin ad ve soyadlarına yer vermeyen, yalnızca adres ve telefon bilgilerinden oluşan bir liste de aslında kişisel veri olarak görülebilir, çünkü bu adres ve telefon bilgileri üzerinden bir gerçek kişinin kimliğinin belirlenmesi mümkündür. Yine gerçek kişilere atanan numaralar da, örneğin bir internet sitesindeki her üyeye atanan üyelik ve işlem numaraları veya bir okuldaki öğrenci numaraları, bir gerçek kişiyle eşleştirilebilir durumda bulunduklarından kişisel veridir.
Kişisel veriler üzerinde gerçekleştirilen kaydetmek, saklamak, değiştirmek, açıklamak, aktarmak gibi tüm işlemler, kişisel veri işlemek olarak tanımlanıyor. Yani bir gerçek kişinin bilgisini öğrendiğimiz andan, bilgiyi tamamen yok ettiğimiz ana kadar yaptığımız tüm işlemlerle Kanun’a göre kişisel veri işlemiş oluyoruz. Bu işleme süreçlerinin hukuka uygun olması için de aşağıdaki şartlardan birisinin gerçekleşmiş olması gerekiyor. – Kişisel verileri işlenen kişinin açık rızasının bulunması; ki bu açık rıza kişinin bilgilendirilmesine dayanmalı ve onaylayıcı bir hareket içermelidir. – Kişisel veri işlemenin kanunda öngörülmüş olması, kanuni yükümlülüğün yerine getirilmesi veya bir hakkın kullanılması için zorunlu olması durumunda, kanunda öngörülen veya işlenmesi zorunlu olan kişisel veriler, açık rıza olmadan da işlenebilir. – Yine bir sözleşmenin kurulması veya sözleşmedeki yükümlülüklerin yerine getirilmesi için gereken bilgiler de sözleşmenin diğer tarafına ait olmaları şartıyla rıza olmadan işlenebilir. Buna göre örneğin; bir müşterinize kargo yoluyla göndereceğiniz ürün için, müşteriden teslimat bilgilerini alır ve yalnızca bu teslimat için kullanırsanız, teslimat bilgisini işlediğiniz bu süreç için müşterinizin açık rızasını almanıza gerek olmaz. – Rızasını açıklayamayacak kişilere ait kişisel verilerin zorunlu durumlarda işlenmesi veya kişiye zarar vermediği sürece işlemenin veriyi işleyen kişinin menfaatleri için zorunlu olması hallerinde de kişisel veriler açık rızaya gerek olmadan işlenebilir.