Kategoriler
Web Paylaşımları

Kişisel Veri Paylaşımında Açık Rıza

Ad, soyad, ePosta, telefon, vb. kişisel verileri üçüncü kişilerle paylaşırken ilgili kişiden izin almalıyız; diğer bir deyişle ilgili kişinin açık rızasını almalıyız. Yazımızda bu konuyu inceleyelim, bir de kapsamı arttıran bir soruya cevap bulalım: İş başvurusunda, adayların başvurularını, hizmet verdiğimiz diğer şirketlerle de paylaşabilir miyiz? CV havuzu oluşturup, tüm şirketlerin, farklı pozisyonlar için bu havuzdan faydalanmasını sağlayabilir miyiz? Kişisel Verileri, web sitesi, sosyal paylaşım mecraları, yazılı basın kanalları, vb. platformlarda paylaşmadan açık rıza alınmalıdır. Genel web paylaşımı dışında, şirket içi portal, intranet, vb. ortamlar için de aynı şart geçerlidir. Açık rıza çok net tarif edilmeli, bunun dışına çıkılmamalı ve bir zaman sonra geri çekilir, veya değiştirilirse açık rıza ve açık rızadan etkilenen platformlar yeniden düzenlenmelidir.

Giriş cümlemiz biraz karışık ve uzun oldu sanırım; ama emin olun aşağıdaki 4 karar özeti konuyu netleştirecektir. Dilerseniz önce bu karar özetlerini inceleyelim; sonra da alınması gereken önlemleri listeleyelim.

İlgİLİ KVKK Karar Özetlerİ

  1. Sigorta Acentesinin Sosyal Medyada İzinsiz Kişisel Veri Paylaşımı | 27/01/2020 | 2020/58

Sigorta acentesi facebook’u açar, hem kendi hesabından hem de sigorta için açılan hesaptan reklam amaçlı paylaşımlar yapar. Neler paylaşır? Müşterilerinin adları, adresleri, maskelenmiş kimlik numaraları, plaka numaraları, araç rengi, markası, modeli ve ödenmesi gereken prim. Sonra Kişisel Verileri Koruma Kurulu’na ihbar geliyor ve film başlıyor.

Kurum savunma istiyor. Gelen savumada Sigorta Acentesi özetle şöyle diyor:

Paylaştık ama, kişisel verileri gizlemeye çalıştık; kimi paylaşımlarda dikkatsizlik ve acelecilikten gözden kaçırmışız. Kurum’dan yazı gelince hemen sildik. Kimlik numaralarını zaten vermedik. Bilgisizlik işte..

Sigorta Acentesi (Özetle & Yorumlanarak)

Kurum’un cevabı çok net:

Kişisel Verileri, ilgili kişinin açık rızası olmadan vermişsin; ve açık rıza alma istisnası taşıyan bir durum da söz konusu değil. Kişisel verileri muhafaza etmek ve güvenliğini sağlamak senin(yani veri sorumlusunun) sorumluluğun; gerekli tedbirleri almalıydın.

Kişisel Verileri Koruma Kurulu (Özetle & Yorumlanarak)

Kurum’un cevabıyla ilgili dikkatinizi çekmek istediğim iki nokta var: ilki yanlışlıkla, dikkatsizlikle, gözden kaçmış, pardon bir daha olmaz’a bakmaması. İkincisi ise açık rıza almalıydın dediği veriler:

  • Müşteri Adları,
  • Adresleri,
  • TC Kimlik No(Maskelenmiş)
  • Plaka No (Bazı hallerde kişisel veri niteliğinde)
    • Araç Rengi,
    • Markası,
    • Modeli,
    • Müşterinin Ödemesi Gereken Prim,
    • Toplam Prim

Karar özetinde net bir açıklama yapılmamış; ancak benim görüşüm ad ve adresin ana konu olduğu yönünde. TC No’lar zaten maskelendiği için sorun teşkil etmiyor. Plaka No tek başına veya renk, marka model ile birlikte kişisel veri sayılmayacaktı. Ancak ad, adres ve prim ile bir araya gelmesi uyarı ve cezayı getirmiş.

  1. Gazetenin Özel Nitelikli Kişisel Veriyle İzinsiz Haber Yapması | 09/12/2019 | 2020/372

Sabah kalkmışsın, kahvaltını yeni yapmış, masadan kalkmamış gazetelere göz atıyorsun. Şu ağrılarım biraz azalsa da işe geri dönsem diye düşünüyorsun. Ağrılar yüzünden bir süredir işe ara vermişsin; gününün büyük bir kısmı yatarak geçiyor. Derken telefonun çalıyor,

Geçmiş olsun, duyduk çok üzüldük. Umarım yakın zamanda geçecek. bu hastalık da çok yaygınlaştı. Yapabileceğimiz bir şey varsa… Bak lütfen..Hiç çekinmeden..

Arayan Tanıdık & Akrabalar (Temsili)

diye aramalar başlıyor. Senin düşündüğünse; “Arkadaş ağrılarım var ama; ne zaman duyuldu? ‘Bu hastalık’ dedikleri ne? Neler oluyor?” Tabi bu anlattıklarım temsili. Böyle olup olmadığını bilemem. Ama benzer bir şekilde gelişiyor. Ve kişi, ailesinin kendisinden gizlediği kanser hastalığını öğreniyor.

Yukarıda bahsettiğim kişi şikayette bulunan kişinin babası. Peki nasıl oluyor? Şikayetçi (Oğul) ile ilgili bir köşe yazısı yazılıyor. Yazar köşe yazısında babasının kanser olduğunu ve işine ara verdiğini yazıyor. Oğluna yönelik yazı yazmışsın; babasının kanser olduğunu niye söylüyorsun? Bu, özel nitelikli(hassas) kişisel veri ve izin almamışsın. Hem bu yazıda yer vermesen ne olur? Bunları soruyorum; çünkü Kişisel Verileri Koruma Kurulu da bunları sormuş. Tabi biraz daha farklı bir üslupla.

Kuruma şikayeti yapan şikayetçi(oğul), babasının, hastalığını öğrendikten sonra yaşadıklarını da şöyle anlatıyor:

içine kapandı, ailesiyle iletişimini kesti, ölüm korkusu nedeniyle ayrıca psikolojik tedavi görmeye başladı, kanser tedavisini reddetti

Şikayetçi olan Oğul

Kurum da verdiği kararda özetle:

  • Sağlık verisinin(özel nitelikli kişisel veri) yayımlanmasında kamu yararı yok,
  • Kişilik hakları, ifade özgürlüğünden üstündür

diyerek. Cezayı takdim ediyor gazeteye. Kişiden rıza alınsaydı bu durum yaşanmayacaktı. İfade özgürlüğü, şüphesiz önemli ve korunması gereken bir hak; ancak ifade özgürlüğü, kişisel verinin paylaşılmasını haklı hale getirmiyor. Kaldı ki; burada söz konusu olan sağlık verisi gibi özel nitelikli kişisel veri. Cezanın yüksekliğinden de bunu anlıyoruz (Bir üstteki özel nitelikli olmayan cezayla karşılaştırırsak…).

  1. İş Başvurusunun Diğer Adaylarla ve Başka Şirketlerle Paylaşılması

İş ilanı görüyorsun, inceleyince ilgini çekiyor, başvuruyorsun. İnsan Kaynakları(İK) hizmeti veren aracı firmaya ulaşıyor başvurun. Firma sadece ilgili şirket ve pozisyon için paylaşması gerekirken başvurunu, diğer adaylarla ve başka şirketlerle başvurunu, adı&soyad ve ePosta‘nı paylaşıyor.

Örnek olay kısa olsa da sonuçları bakımından aslında oldukça kapsamlı incelenmesi gereken bir konu. İK departmanlarını, İK departmanı olmasa da işe alım yapan firmaları, Şirketlere İK hizmeti veren firmaları; özetle küçük-büyük neredeyse tüm şirketleri ilgilendiren, çalışma şekillerini tekrar gözden geçirmelerini zorunlu kılan kapsamlı konular.

Kişisel verilerin diğer işe başvuranlarla paylaşılması tek kelimeyle fiyasko; nasıl yorumlayayım bilemedim. Görüşme formları mı masada kalıyor, adaya “bunu tanıyor musun?” diye mi soruluyor, bilemiyorum. Ancak İK hizmeti veren bir firmanın böyle bir hata yapması beni gerçekten hem şaşırttı hem üzdü.

Başıma da benzer bir olay gelmedi değil hani. Bir gün Türkiye’nin en büyük firmalarından birine iş görüşmesine gittim. Girişte sizi görevli karşılıyor; kime, ne amaçla geldiğinizi soruyor. Ben de iş görüşmesi için falanca beye geldim deyince “Tamam” deyip önündeki listeye baktı, bulup işaretledi geldiğimi. “O da ne?” Bulup işaretleyene kadar, oturduğu yer aşağıda kaldığı için kimlerin geldiğini gördüm; bizim şirketten 2 kişi daha vardı. Diğerlerini tanımıyorum, ama gördüm 🙂

  1. Doktorun, İnternet ve Sosyal Medyada, Hastasının Sağlık Raporunu Paylaşması

Hikayemizin kahramanı olan doktorumuz, hastanenin mobil uygulamasında hastasının sağlık raporunun ekran görüntüsünü alıp sosyal medyada paylaşıyor. Memleketimden insan manzaraları.

Açık rıza var mı? Yok! Bu sorunu yetkilendirmeyle de çözemezsiniz. Çünkü doktor zaten yetkili olduğu uygulamaya ve zaten yetkili olduğu hastanın dosyasına ulaşmış. Ekran görüntüsü almasını da önleyemezsiniz; bir şekilde telefondaki programda raporu indirmesini, ekran görüntüsü almasını engelleseniz; fotoğraf makinesiyle veya başka telefonla çeker. Bu önlemleri almayın demiyorum; ancak bu örnekte çözüm doktoru bilgilendirmekten; KVKK eğitiminden geçiyor. İzin (Açık Rıza) alınmadan, hele de özel nitelikli kişisel verinin paylaşılması…

KVKK UYUMU YOLUNDA ÖNLEMLER | KİŞİSEL VERİ PAYLAŞIMINDA AÇIK RIZA

  1. Kişisel verilerin ne olduğu, hangi durumlarda ve nasıl paylaşılabileceği, vb. eğitimler, kişisel verilere ulaşma yetkisi olan herkese verilmeli. Bir öncelik yapmak gerekirse, şirket internet sitesini, sosyal paylaşım platformlarını yöneten Kurumsal İletişim, vb. departmanlar bu eğitimi daha önce ve daha kapsamlı almalı. Bununla birlikte bireysel sosyal medya hesaplarından paylaşımın önüne geçmek için, bu eğitimleri herkesin alması olasılığı düşürecektir.
  2. Şirket web sitesi, sosyal medya paylaşımları, basılı yayınlar, şirketiçi paylaşım ve yayınları, vb. üçüncü kişilere yapılan paylaşım ve duyuruları onay sürecine tabi kılmak ve paylaşım yapılmadan KVKK gözüyle de incelenmesini sağlamak da alınabilecek önlemler arasındadır. Bu önlemlerin internet gibi şirket dışına yapılmasının yanında iç paylaşımların (portal, intranet, toplu mail, vb.) da bu gözle aynı kontrole tabi tutulması önemlidir.
  3. Açık rıza alma, saklama ve güncelleme süreçleri belirlenmeli ve takibi yapılmalıdır. Misal, ilk iki maddedeki kontrolleri yaptık. Kişisel veri paylaşmaya karar verdik, ne yapacağız. Kişinin açık rızasını almamız gerekli. Nasıl bir açık rıza formu alınacak, alınan form hangi ortamda saklanacak, ne kadar süre geçerli olacak, kişi açık rızasını geri çekerse ne yapılacak, açık rıza sorgulandığında hangi bilgilerle tutulacak ki; bulunsun, vb. soruların cevaplarını önceden planlamak önemli.
  4. Alınan açık rıza sonrası yapılan değişiklikler takip edilmeli. İlk karar özetindeki örnekte, sigorta acentesinin facebook’ta reklam amaçlı paylaşım için kişiden izin aldığını, ikinci karar özetinde de gazetenin köşe yazısı için izin(açık rıza) aldığını düşünelim. 2 yıl sonra izin alınan kişi fikrini değiştirdi diyelim ki. Hemen, verilen izin neydi; bu izinle ne yapılmıştı bulunmalı, izin geri çekilince ilgili paylaşım geri çekilmeli veya değiştirilmeli ve kişiye bu bilgi verilmeli. Benzer şekilde İK, eğer başvuruyu diğer şirketlerle paylaşmaya karar verirse ve sonradan kişi rızasını geri çekerse hangi şirketle paylaşıldığı bulunup, işlem geri çekilmeli.
  5. İş başvurusu yapan adayların kişisel bilgilerinin, ilişkili bulunan şirketlerle paylaşılması için kişiden açık rıza alınması gerekir. Bu açık rızayı da tüm şirketlerimizle gibi açık bir ifadeyle almanızı önermem, şirketler açık şekilde yazılmalı bence.
    1. Süreçlerini merkezi yöneten firmalar, örneğin İnsan Kaynaklarını birleştirip bir kaç şirket için aday başvurusu alan şirketler, özgeçmiş, vb. bilgileri diğer şirketlerle paylaşmak için rıza almalı, almadıysa paylaşmamalı,
    2. Başvuru toplamak için LinkedIn, Kariyer.net, vb. platformları kullanan veya web sitesinden başvuru alan firmalar, elektronik ortamda süreci yönetirken veya aday görüşmeye geldiği sırada benzer açık rıza alma sürecini hayata geçirmeli.
    3. Bu süreçte dikkat edilmesi gereken diğer bir konu, açık rıza alımını başvuru için şart haline getirmemek. Yani açık rıza vermese de aday, başvuru yapabilmeli.
    4. Daha zor olsa da, diğer bir yol, kişisel verilerin gizlenerek ortak havuzda bekletilmesi. Adayın, şirketlerden biri için potansiyel duruma gelmesi durumunda adaydan izin alınarak ilgili şirketle paylaşılır.
  6. Kişisel verilerin yetkisi olmayan kişilerle paylaşılmaması, ortada(çalışan masalarında, çekmecelerde, vb. bırakılmaması, süresi bittiğinde imha edilmesi de diğer dikkat edilmesi gereken konular. Üçüncü karar özetindeki “iş başvurusunun diğer adaylarla paylaşılması” örneğini hatırlayalım. Kişisel verinin, bilerek veya yanlışlıkla, izin alınmadan paylaşılmasının önüne geçilmeli.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir