İlkay Aydoğdu

Kişisel verilerin korunmasında dağıtım kanallarının sorumlulukları

KİŞİSEL Verilerin Korunması Kanunu’na (KVKK) uyum için alınması gereken aksiyonlardan bir önceki yazımda bahsetmiştim. Bu yazımda dağıtım kanallarının (acente/broker) sorumluluklarından bahsetmeye çalışacağım.
Öncelikle, KVKK aslında kişisel veri yani müşteri verisini toplayan, işleyen ve saklayan tüm gerçek ve tüzel kişilerin uyması gereken bir kanundur. Dolayısı ile dağıtım kanalları da duruma göre veri sorumlusu ya da veri işleyen rolünü üstlenirler (bu rollerin detaylı tanımları KVKK’da yer alıyor). Örneğin bir acente birden fazla şirket için temsil yetkisini kullanıyor, müşteri verisini kendi bilgi sistemlerinde (yazılım ya da excel dosyası olabilir) saklıyor ise, veri sorumlusu olarak nitelendirilir. Bu yüzden, aynı sigorta şirketi gibi müşterisini aydınlatma ve gereken hallerde açık rızasını alma; işleme amacı dışında aldığı tüm verileri silme, yok etme gibi yükümlülükleri doğar. Ek olarak, eğer dağıtım kanalının 50 kişiden fazla çalışanı var ise, veri sorumluları siciline kaydolması da gerekiyor (detayları Veri Sorumlulari Sicili Hakkinda Yönetmelik’te görebilirsiniz).
Ayrıca, gerek kanun gerekse Kişisel Verilerin Korunması Kurulu’nun bugüne kadarki ilke kararları, dağıtım kanalları ve iş ortaklarının da şirket ile birlikte müştereken sorumluluğu bulunduğunu işaret ediyor. Bu nedenle, şirketler mevzuata uyumsuzluktan doğabilecek cezaları iş ortağına rücu etme yönünde bir adım atabilir, hatta birçok şirket iş ortakları ile imzaladığı sözleşmelerine bunu içeren maddeleri eklemeye başladı.
Bu nedenlerle, dağıtım kanallarının da dikkat etmesi gereken hususları kısaca sıralamak isterim:
* Çalışan sayınız 50 kişiden fazla ise Veri Sorumluları Sicili’ne kayıt işlemleri hakkında bilgi edinin.
* Veri sahiplerine yani müşterilerinize, kişisel verilerin toplandığı esnada verilerin hangi amaçla işlenecekleri konusunda bilgilendirme yapılması gerekiyor, bunun için şirketlerden aydınlatma metinlerini mutlaka temin edin ya da kendi metninizi oluşturun. Sağlık verisi gibi özel nitelikli kişisel veriler için müşterinizden “açık rıza” almalısınız, bu amaçla şirketten ilgili dokümanları temin edin ya da kendi metinlerinizi oluşturun ve ıslak imzalı rızayı saklayın.
* Kişisel veri işleme şartlarının ortadan kalkması durumunda yani poliçenin iptali durumunda kişisel verilerin resen veya veri sahibinin talebi üzerine anonimleştirilmesi, silinmesi veya yok edilmesi gerekmektedir. Bu konuda çalıştığınız şirketlerden destek alın.
* Veri sahiplerinin Kanun kapsamındaki hakları ile ilgili talepte bulunmaları durumunda ilgili talebin en geç 30 gün içerisinde sonuçlandırılması gerektiğinden, talebi şirkete hemen bildirin.
* Kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı olarak erişilmesini engellemek için Kanun uyarınca, gerekli teknik ve idari tedbirlerin alınması gerekmektedir. Sizlere ve çalışanlarınıza ait kişisel bilgisayar, e-posta, telefon vb cihazlarda karmaşık parolalar kullanın (Büyük ve Küçük harf, Rakam (0-9) ve Alfanümerik karakterleri beraber kullanın). Kişisel veri içeren dokümanların fiziksel kopyaları kilitli ve yetkisiz erişimleri engelleyecek şekilde tutun; kullanım gereksinimi sona erenleri imha edin.
* Mümkün oldukça kişisel veri içeren belgeleri (özellikle nüfus cüzdanlarında arka yüz) fotokopi, USB, harici bellek vb ile çoğaltmaktan kaçının.

2 Ocak 2019

İlgili Haberler

Yazarlar