İrlanda Veri Koruma Kurumu- Sehven Kişisel Veri Alan Kurumlar İçin Rehber
Kişisel veri verme ve alma amaçlarımız günden güne artmaktadır ve bireyler ile kuruluşlar tarafından işlenen ve aktarılan kişisel veri hacmi büyümeye devam etmektedir. Kuruluşların, ilgilenmeyi beklemediği ya da düşünmedikleri kişisel veri kazara ele geçirme olasılıkları da artmaktadır. Örneğin:
- Göndericinin posta kutusundaki bir yanlışlık nedeniyle kuruluş hatalı gönderilmiş bir mektup ya da paket teslim alır,
- Kusurlu bir ürünün fotoğrafını göndermek isteyen bir müşteri, onun yerine kazara tatil fotoğraflarını gönderir,
- E-posta alıcı kısmının otomatik doldurulması işlevinin dikkatsiz kullanımı neticesinde kişisel veri yanlış kişiye gönderilir,
- Ofise gelen bir ziyaretçi, kişisel evraklarını ya da USB flash sürücüsünü yanlışlıkla ofiste bırakır.
İster kamu sektörü, ister özel sektör ya da ister gönüllülük sektöründe olsun bir kuruluş, kendisini kazara kişisel verinin ele geçirilmesi durumunda bulabileceği ihtimalinin farkında olmalıdır. GDPR m. 4/2’de yer alan “işleme”nin geniş tanımı, kasıtsız şekilde elde edilen kişisel verinin açılmasının, aktarılmasının, silinmesinin ya da basitçe saklanmasının GDPR’ı devreye sokacağı anlamına gelir.
Kişisel verinin kontrolünü – ne kadar masumane ya da kazara olursa olsun- ele geçiren bir kuruluş bir veri sorumlusu gibi yükümlülüklerine saygılı şekilde bu veriyi ele almalıdır. Kişisel veriyi – ister okuyarak, ister aktararak, ister düzenleyerek ya da isterse de saklayarak- işlememelidir, aksi takdirde GDPR’ın 6. maddesinde sıralanan altı hukuk temelden bir ya da daha fazlası uygulanır:
- Rıza: İlgili kişi, belirli bir amaç için kişisel verisinin işlenmesi adına kuruluşunuza açık rıza vermiştir;
- Sözleşme: İşleme, kuruluşunuzun veri ilgilisi ile akdettiği bir sözleşmenin ifası için zorunludur;
- Hukuki yükümlülük: İşleme, kuruluşunuzun kanuna uyum sağlaması için gereklidir;
- Hayati menfaatler: İşleme bir bireyin yaşamının korunması için gereklidir;
- Kamu yararı: İşleme bir kamu yararı görevinin ifa edilmesi ya da resmi işlevleriniz için gereklidir ve görev ya da işlem açık bir hukuki temele sahiptir;
- Meşru menfaat: İşleme kurumunuzun ya da üçüncü bir kişinin meşru menfaatleri için gereklidir ve ilgili kişinin yarışan menfaatlerine üstün gelmektedir (Bu, resmi görevlerini ifa etmek için veri işleyen kamu kurumları için uygulanmaz).
Şayet veri, GDPR’ın 9/1. maddesinde sıralanan özel kategorilerden birine giriyorsa, işlemenin hukuki temeli daha kısıtlıdır. Kişisel veri içeren özel kategoriler şunlarla ilgilidir:
- Irk ya da etnik köken,
- Dini ya da felsefi inanç,
- Sendika üyeliği,
- Bir kişiyi eşsiz şekilde tanımlayan genetik ya da biyometrik veri,
- Sağlık verisi ve
- Cinsel hayat ile cinsel yönelim.
Özel nitelikli veriyi elinde bulunduran veri sorumlusu, bu veriler için veri koruma kanununda düzenlenen çok yüksek koruma standartlarının farkında olmalı ve bunlara uymaya özellikle dikkat etmelidir.
Şayet bir kuruluş, işleme için herhangi bir hukuki temeli olmamasına rağmen kendisini kişisel veriyi kontrol ederken bulursa, zaten kötü olan bir durumu daha kötü hale getirmemelidir. Kişisel verinin hukuka aykırı olarak işlenmesi, soruşturmalar, idari para cezaları ve cezai takibatlar içeren düzenleyici eylemlere yol açabilir ve açar.
Veri Koruma Komisyonu (DPC), kazara kişisel veri ele geçiren bu kuruluşlara doğru veri sorumlusunu belirlemek ve ihlali gidermek için derhal harekete geçmesini önermektedir. Bunu en az ihlal ve ifşayı içerecek yolla yerine getirmelidir:
- Yanlış yönlendirilmiş e-posta adresine derhal, hatası hakkında bilgi veren bir cevap gönderin ve herhangi bir eki açmaksızın size gelen kopyayı kalıcı olarak silin,
- Mümkün ise, yanlış gönderilmiş mektup ya da paketin göndericini posta mührü, etiket ya da antetli zarftan belirleyin. Size gönderilmiş olmayan materyalleri okumayın
- Şayet hukuki veri sorumlusu tarafından alınmayı bekleyen materyalleri tutarsanız, veriyi hataen erişilemeyecek ya da yok edilemeyecek güvenli bir yerde saklayın.
Şayet doğru veri sorumlusu belirleyemez ya da iletişim kurumazsanız, DPC ile iletişime geçebilirsiniz. İhlali giderme açısından doğru veri sorumlusunu tanımlamada size destek olmaya çalışacağız.
Doğru veri sorumlusu belirlendiğinde DPC, uygun olduğu durumlarda, GDPR’ın 33. maddesindeki yükümlülükleri konusunda onlara tavsiyede bulunacaktır.
Yazıya buradan ulaşabilirsiniz.