Teknolojinin gelişmesi ve iletişim ağının genişlemesiyle birlikte dünyada veri paylaşımı giderek artmıştır. Ancak ne yazık ki paylaşılan veri arttıkça kötü niyetli kullanımı da beraberinde artıyor. Kişisel verilerimizi korumak, izin verdiğimiz yerler dışında kullanılmasını önlemek için ise devlet kurumları bazı düzenlemeler getiriyor.

Avrupa’da GDPR (General Data Protection Regulation), Amerika’da CCPA (California Consumer Protection Act) ve diğerleri, Türkiye’de KVKK (Kişisel Verilerin Korunması Kanunu) gibi kanun ve düzenlemeler yürürlükte ve bu düzenlemeler gün geçtikçe sıkılaşıyor, cezai yaptırımlar getiriliyor.

Fakat bazı sistemlerin işleyebilmesi için ilgili kişinin veri güvenliğini tehlikeye atmayacak şekilde verilerin işlenmesi gerekiyor. Verilerin işlenmesi 6698 sayılı KVKK’nın 3.maddesinde şöyle açıklanıyor:

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder”. (6698 Sk. KVKK, m.3.1/e)

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi

Kanunda kişisel verileri silme, yok etme ve anonimleştirme hakkında bazı şartlar bulunmaktadır. KVKK’ya göre kişisel veri saklama işlemi sadece verinin hizmet ettiği amacın süresiyle sınırlıdır. Örneğin bir çekilişe katılan kişilerin verileri çekiliş bittikten sonra silinmek zorundadır.

Kanunda bu açıkça “…kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.” şeklinde belirtilmiştir (6698 Sk. KVKK, m.7.1). 

 

Resmi Gazete’de yayınlanan 30224 sayılı yönetmeliğin 11.maddesine göre, veri sorumlusu kişisel veri saklama ve imha politikası hazırlamış ise kişisel verileri resen silme, yok etme veya anonim hale getirmesi için gereken süreyi kendi belirler.

Periyodik imhanın gerçekleşeceği zaman aralığı KVKK izin toplama metninde açıkça belirtilmelidir ve her halde altı ayı geçemez. Veri sorumlusunun kişisel veri saklama ve imha politikası hazırlama yükümlülüğü yoksa kişisel verileri silme, yok etme veya anonimleştirme sorumluluğunun oluştuğu tarihten itibaren 3 ay içinde verileri siler, yok eder veya anonimleştirir. Gereken durumlarda Kişisel Verileri Koruma Kurulu bu süreyi kısaltabilir.

 

İlgili kişinin KVKK’nın 13.maddesine göre veri sorumlusuna başvurarak oluşturabileceği kişisel verileri silme ve yok etme taleplerinde süreler farklılık gösterir. Bu durumda; ilgili kişinin verilerinin silinmesine veya yok edilmesine ilişkin talebi gerçekleştikten sonra, eğer verileri işleme şartlarının tamamı ortadan kalmışsa, en çok otuz gün içinde sonuçlandırarak ilgili kişiye bilgi vermelidir.

Eğer talep gerçekleşmeden önce veriler işlenme amacıyla üçüncü partilere iletildiyse veri sorumlusu durumu üçüncü kişilere bildirir ve 30224 sayılı Yönetmelik kapsamında gerekli işlemler yapılır. Kişisel verileri işleme şartları tamamen ortadan kalkmadıysa ilgili kişinin talebi, gerekçeleri gösterilerek en geç otuz gün içinde yazılı veya dijital ortamdan bildirerek reddedilebilir.

Eğer veri sorumlusu iseniz ve bir kişi verilerinin silinmesi, yok edilmesi veya anonimleştirilmesi konusunda size başvurursa mutlaka avukatınıza danışmalısınız.

Dijital Ortamda Kişisel Veri Toplama

Kullandığımız internet platformlarında ve her web sitesinde kişisel veri saklama için “çerezler (Cookies)” kullanılır. Çerezler bir web sitesi ziyaret edildiği zaman tarayıcılardaki kullanıcıların depolandığı küçük dosyalardır. Bilgisayarınıza veya telefonunuza küçük bilgileri kaydedip, daha sonra tekrar sayfayı ziyaret ettiğinizde bu bilgileri okuyabilirler.

 

Çerezler genel olarak internette gezintinizi sürekli iyileştirme ve siteleri kişiselleştirme eğilimindedir. Kişilerin web sitesinde aradıklarını tarayıcı kayıtlarına aktarır ve geçmişinde tutar. Web sitesi üzerindeki hareketleri tarayıcıda tutarak bir web sitesine izin vermektedir.

En sık kullanılan tarayıcılar Internet Explorer, Firefox, Safari, Opera, Google Chrome çerezlere izin verme konusunda her kullanıcıya ayarlar panelinde gerekli ayarları sunar. Tarayıcılar ilk yüklendiği ve kullanılmaya başlandığında çerezlere otomatik olarak izin verilir. Engellemek için tarayıcının ayarlar kısmındaki seçenekler kullanılabilir.

Bulut Hizmetleri

Kişisel verileri koruma kurulunun “Örneklerle KVKK” yayınına göre; 

“Bir özel şirketin, topladığı kişisel verilerin saklanması için bir bulut hizmeti sağlayıcısı ile sözleşme yapması durumunda, bulut hizmeti sağlayıcısı veri işleyen durumundadır. Çünkü taraflar arasındaki sözleşme gereği bulut hizmeti sağlayıcısının verileri kendi amaçları için kullanması mümkün değildir. Ayrıca, bulut hizmeti sağlayıcısının kendisi de veri toplamamaktadır. Tek faaliyeti şirketten gelen kişisel verileri yine özel şirketin talimatlarına uygun olarak saklamaktır.”

Buna göre, bulut hizmetlerinde depolanan veriler KVKK’ya aykırı bir durum oluşturmaz.

Çerezlerin Doğru Şekilde Toplanması

Web sitesini ziyaret eden kullanıcıların veri güvenliğini sağlamak için çerezlerin KVKK’ya uygun olarak toplanması gerekmektedir. Bunun için kişilerin verilerinin nerelerde, ne amaçla ve ne şekilde kullanıldığı açık ve anlaşılır bir şekilde onaya sunulmalıdır. 

Kvkk izin toplama Türkiye’de bir zorunluluk değildir fakat çerez politikasını kullanıcılara sunduğunuzda gizliliklerine önem verdiğinizi göstermiş olursunuz. 2016’da yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu ile site hizmetleriyle kişisel verileri topluyorsanız, kullanıcıları bu konuda bilgilendirmeniz ve rızasını almanız gerekmektedir. 

2018 yılında yürürlüğe giren Genel Veri Koruma Yönetmeliği (GDPR) uyarınca, Avrupa Birliği ülkelerinden birinde kurumunuz varsa veya AB’den sitenize gelen ziyaretçiler var ise çerez politikası ve bildirimi yasal zorunluluktur. Web sitenizin İngilizce sürümü var ise ve yurt dışına satış yapıyorsanız yönetmelik gereğince çerez politikası ve bildirimi ekleme zorunluluğunuz yine bulunmaktadır.

Çerezler hakkında detaylı bilgilendirme yapmak ve yerli sunucularla, yerli platformda çerezlerinizi yönetmek için Efilli Rıza Yönetimi Platformu’nu kullanabilirsiniz. Bizimle hemen iletişime geçerek detaylı bilgi alabilirsiniz: info@efilli.com