Kvkk

Veri koruma mevzuatı, sistemlerin tasarımdan itibaren koruma prensibine uygun olarak, güncel güvenlik standartlarını karşılayacak şekilde inşa edilmesini emretmektedir. Akıllı sözleşmelerin kod kaynaklı güvenlik açıklarına karşı yeterince test edilmemesi veya risk değerlendirme süreçlerinin eksik yürütülmesi, verilerinizin ifşa olmasına zemin hazırlayabilir.

Müşterilerinize ait kişisel verileri kendi iş süreçleriniz doğrultusunda bir muhasebe firmasına işlettiğinizde, bu alt firmanın yapacağı veri güvenliği ihlallerinden ve olası hatalardan yasa gereği siz de onlarla birlikte ortaklaşa sorumlu olursunuz. Siz verilerin toplanma ve kullanılma amacını belirleyen taraf olarak veri sorumlusuyken, muhasebe firması sadece sizin adınıza hareket eden konumundadır ve aranızda yetkileri belirleyen bir kişisel veri işleme sözleşmesi bulunması yasal bir gerekliliktir.

Bir müşterinizin iletişim bilgisini sadece kargo gönderimi yani sözleşmenin ifası amacıyla alıp sonrasında ondan açık bir onay almadan pazarlama veya reklam amacıyla kullanmanız, açıkça hukuka aykırı bir veri işleme faaliyeti olarak değerlendirilir. Bu durum teorik olarak verilerin siber bir saldırıyla çalınması demek olmasa da, kişisel verilerin işlenme şartlarına ve genel ilkelere aykırılık teşkil eden bir eylemdir.

İşlenme amacı ortadan kalkan veya yasal saklama süreleri dolan kişisel verilerin sistemlerinizde tutulmaya devam edilmesi, hukuki denetimlerde aleyhinize değerlendirilebilecek önemli bir risk faktörüdür. Veri güvenliği uygulamalarına göre, kişisel verilerin mümkün olduğunca azaltılması yani veri minimizasyonu ilkesine uyulması ve gereksiz verilerin doğru bir şekilde sistemden çıkarılması gerekmektedir.

İş başvurunuzun olumsuz sonuçlanması halinde, işe alım sürecinin değerlendirilmesi amacı ortadan kalktığı için mülakat videolarınızın ve yüz analizlerinizin işveren tarafından silinmesini, yok edilmesini veya anonim hale getirilmesini talep etme hakkınız her zaman bulunmaktadır. Kişisel verilerin işlenmesinde temel kurallardan biri olan saklama süresi sınırlılığı ilkesi gereğince, verilerin sadece işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi esastır.

Evet, müvekkilleriyle kurdukları vekâlet ilişkisi kapsamında dava süreci için kişisel verileri toplayan, bunları kaydeden ve kendi dosyasında muhafaza eden avukatlar, yasal düzenlemeler ışığında bağımsız birer veri sorumlusu olarak kabul edilmektedir. İlgili kanunlara göre veri sorumlusu, kişisel verilerin hangi amaçlarla işleneceğini ve hangi vasıtalarla tutulacağını belirleyen, aynı zamanda veri kayıt sisteminin kurulmasından ve yönetilmesinden doğrudan sorumlu olan kişiyi ifade etmektedir.

Kişisel verilerinizin bilginiz ve onayınız dışında ticari veya reklam amacıyla üçüncü bir şirketle paylaşılması durumunda, ihlalin niteliğine göre hem verilerinizi ilk toplayan spor salonunun hem de sizin adınıza mesaj gönderen şirketin müşterek sorumluluğu gündeme gelebilmektedir. Mevcut senaryoda verilerinizin hangi amaçla toplanacağını, nerede saklanacağını ve kimlere aktarılacağını belirleyen spor salonu işletmesi veri sorumlusu sıfatını taşırken, onun talimatları doğrultusunda bu verileri işleyip size reklam mesajı gönderen şirket ise veri işleyen konumunda değerlendirilebilir.

Sermaye şirketlerinde kişisel verilerin işlenmesi süreçlerinde veri sorumlusu sıfatı, kural olarak şirketin organlarına veya personeline değil, bizzat şirket tüzel kişiliğinin kendisine aittir. Çalışanların kendilerine verilen yetkileri aşarak veya dikkatsizlik sonucu kişisel verileri dışarıya sızdırması durumunda, hukuki sorumluluk şirket üzerinde doğmakta olup idari para cezası yaptırımının doğrudan muhatabı da kurumun tüzel kişiliği olmaktadır.

KVKK Kuruluna resmi bir şikayette bulunabilmeniz için öncelikle verilerinizi izinsiz işleyen kuruma başvurmanız kanuni bir zorunluluktur, ancak mahkemeye giderek tazminat davası açmak için böyle bir ön şart bulunmamaktadır. Kanun uyarınca, veri sorumlusuna yapacağınız yazılı başvuru neticesinde talebiniz reddedilir, size verilen cevap yetersiz bulunur veya otuz gün içinde hiçbir cevap verilmezse bu aşamadan sonra Kurula şikayet hakkınız doğmaktadır.

Hayır, Kişisel Verileri Koruma Kurulu'nun (KVKK) veri ihlallerinden doğan şahsi zararları tazmin etme veya veri sorumlusu şirkete tazminat ödetme gibi bir kanuni yetkisi bulunmamaktadır. Kurul, yapılan incelemede şartları oluştuğunda ihlali gerçekleştiren şirkete yalnızca idari para cezası yaptırımı uygulayabilir.