Onbinlerce şirketi ilgilendiren düzenleme

Yıllardır üzerinde çalışılan ve ‘fişleme’ kriterleriyle tartışma konusu olan Kişisel Verilerin Korunması Tasarısı, şirketler açısından yeni yükümlülük ve sorumluluklar getiren hükümlerle Meclis’e sunuldu.

Tasarıda işveren ve şirket yöneticilerinin “veri işlemeleri” için öngörülen “meşru amaç, meşru menfaat” kavramları tartışılıyor.  Tasarı yasalaşırsa Veri Koruma Kurumu’nda Veri Sorumluları Sicili tutulacak.

 

Şirketler, bir veri sorumlusunu kurula bildirecek. Veri sorumlusu, kişisel verilerin işleme amaçlarını ve araçlarını belirleyen kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olacak. Yasadaki hükümlerin uygulanmasından veri sorumluları sorumlu olacak ve gerektiğinde onlar yargılanacak. Aynı kişi veya kurum hem veri sorumlusu hem veri işleyen olabilecek.

Örneğin bir muhasebe şirketi kendi personeliyle ilgili “veri sorumlusu” sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından “veri işleyen” kabul edilecek. Bu durumda veri sorumlusu, hizmet verdiği şirket yetkilileriyle birlikte “müştereken” sorumlu tutulacak. Veri sorumlusunun kimlik ve adres bilgileri, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, veri güvenliğine ilişkin alınan önlemler, kişisel verilerin işlendikleri amaç için gerekli azami süreler sicile kayıt başvurusunda bildirilecek.

KURUL DENETLEYECEK

“Amacın meşru olmasını” denetleyici kurul takip edecek. Belirttikleri amaçlar dışında veri işlemeleri halinde veri sorumlusu cezalandırılacak. Bir hazır giyim mağazasının müşterilerinin kimlik ve iletişim bilgilerini işlemesi meşru amaç sayılırken, kan gruplarının işlemesi meşru kabul edilmeyecek. Bir hakkın tesisi, kullanılması veya korunması için kişisel veriler işlenebilecek. Bir şirketin kendi çalışanınca açılan davada ispat için bazı verileri kullanması veya kısıtlı bir kişinin haklarının korunması amacıyla vasinin veya kayyumun, kısıtlının mali bilgilerini tutması hukuka uygun sayılacak.

İTİRAZ HAKKI VAR

Şirketlerde veya kurumlarda toplanan bilgilerin otomatik sistemler aracılığıyla analiz edilmesi sonucunda kişilerin aleyhine bir durum ortaya çıkarsa itiraz hakları olabilecek. Örneğin bir çalışan, şirketteki performansının otomatik bir sisteme işlenip bu analiz sonucuna göre değerlendirilmesine itiraz edebilecek. Kaçırılan, rehin alınan kişilerin kurtarılması amacıyla kendisinin veya şüphelinin taşımakta olduğu telefon, bilgisayar, kredi kartı, banka kartı veya diğer teknik araç üzerinden yerinin belirlenmesi için bu veriler işlenebilecek.

Bir sözleşmenin kurulması veya ifasıyla ilgili kişisel bilgiler toplanabilecek. Bir sözleşme gereği paranın ödenmesi için alacaklı tarafın hesap numarasının alınması yasanın kapsamına girmeyecek. Yine bir bankayla kredi sözleşmesi yapılması sırasında bankanın o kişiye ait maaş bordrosunu, tapu kayıtlarını, icra borcu olmadığına dair belgeyi edinmesi bu kapsamda görülecek. Veri sorumlusu, hukuki yükümlülüğünü yerine getirebilmek için zorunlu olan verileri ilgili kişinin rızası olmasa dahi işleyebilecek. Bir şirketin çalışanına maaş ödeyebilmesi için banka hesap numarası, evli olup olmadığı, bakmakla yükümlü olduğu kişiler, eşinin çalışıp çalışmadığı, sosyal sigorta numarası gibi verileri işlemesi, bu yetkiye dayanılarak yapılacak.

Güvenlik, ekonomik, istihbarat

Tasarının kişisel veriler için öngörülen korumaları birçok istisnayla askıya alan hükümlerinin Meclis komisyonlarında tartışılması bekleniyor. Bu koruyucu düzenlemelerin uygulanmayacağı alanlar, milli güvenlik ve savunmanın yanı sıra, “ekonomik güvenlik” kavramıyla genişletildi. Buna göre kişisel verilerin, milli savunmayı, güvenliği, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi yasanın kapsamında olmayacak. Yani Milli İstihbarat Teşkilatı başta olmak üzere, Emniyet, Jandarma gibi diğer istihbarat birimlerinin de, kamuoyunda “fişleme” olarak adlandırılan kayıtlarında yeni düzenlemeler geçerli olmayacak. 

Rıza olmadan hangiveri toplanacak?

*Askerlik yapacak kişilerin bazı özel sağlık bilgilerinin ilgili yasa hükümleri uyarınca işlenmesi; hastanelerin, eczanelerin ya da Sosyal Güvenlik Kurumu’nun hastalarla ilgili veri işlemesi bu kapsamda değerlendirilecek. 

*Bir sendika, kendi faaliyet alanına ve amacına ilişkin sadece sendika üyeliğiyle ilgili verileri işleyebilecek. Buna karşın üyelerin sağlık veya din ya da mezhebine yönelik kişisel verileri toplayamayacak.

*Bir şirket sahibi, çalışanlarının terfileri, maaş zamları veya sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev dağıtımında esas alınmak üzere kişisel bilgilerini toplayabilecek. 

*Engelli çalışanın özel tüketim vergisinden muaf özel donanımlı araç almak hakkından yararlanabilmesi için engelliliğine ilişkin sağlık raporlarının vergi dairesince edinilmesi ve işlenmesi bu kapsamında değerlendirilecek. 

*Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca işlenebilecek.

Sağlık personeli izlemede

SAĞLIK Bakanlığı’nca toplanan verilere, ilgili kişilerin kendileri veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak sistem kurulacak. Ayrıca sağlık personeli istihdam eden kamu kurumlarıyla özel sağlık kuruluşları ve doktorlar, tüm sağlık personelinin bilgilerini ve personel hareketlerini Sağlık Bakanlığı’na güncel olarak bildirecekler.

Türkiye Haberleri

Türkiye'nin en zeki 10 ili açıklandı
Büyük İstanbul Depremi için tarih verdi
Meteoroloji'den acil kar uyarısı!
Türklere yasak, Avrupalıya serbest!
Diyanete 4 Bin Personel Alınacak