Skip links

KİŞİSEL VERİLERİN KORUNMASI SIK KARŞILAŞILAN PROBLEMLER

1. İLGİLİ KİŞİ KİŞİSEL VERİLERİNE ERİŞİM YETKİSİ BULUNAN PERSONELİN YETKİSİ VE AMACI DIŞINDA SÖZ KONUSU VERİLERİ İŞLEMESİ

Yetkili olmayan kişilerin, yetkili ve görevli olmadıkları kişisel verilere erişimi kişisel veri ihlaline neden olmaktadır. Bunun önüne geçebilmek için bünyenizde çalışan herkesin görev tanımları net bir şekilde belirlenmelidir. Çalışanlar belirlenen bu görevlerin yerine getirirken erişme gereken kişisel verilerin dışındaki hiçbir kişisel veriye erişmemelidir. 

Kişisel veri içeren ortamlara erişim hakkı verilirken veya bu konuda kurum kültürü oluşturulurken “Yasaklanmadıkça Her Şey Serbesttir” prensibi değil, “İzin Verilmedikçe Her Şey Yasaktır” prensibine uygun hareket edilmesine dikkat edilmelidir.

1.1 ÖRNEKLER

ÖRNEK 1- Güvenlik kamerası görüntülerinin, yalnızca belirlenen yetkili birim ve “güvenlik” amacına yönelik kullanılması gerekmektedir. Başkaca amaçlar için güvenlik kameralarına erişim yetkilerinin diğer birimlere verilmesi gibi bir husus ihlale sebebiyet verebilecektir.

Bazı durumlarda disiplin amirlerince güvenlik kamerası görüntülere talep edilmektedir. Örneğin iki çalışanın kavga ettiği bir olayla ilgili olarak birim amiri karar vermek amacıyla görüntüleri istemektedir. Bu durumda tüm günün görüntü kayıtlarının verilmesi veya yetkili birim tarafından görüntüler izlenmeden görüntülerin talep eden birime verilmesi doğru olmayacaktır. En isabetli yaklaşım, yetkili birimin ilgili dakikalara ilişkin kayıtları izlemesi ve olay ifade edildiği gibi gerçekleştiyse (kavga varsa) görüntüleri talep eden birim amirine iletmesi olacaktır.  

ÖRNEK 2- İş ilanına başvuru yapan aday personelin, bu süreç kapsamında sunmuş olduğu evraklarda yer alan kişisel ve/veya özel nitelikli kişisel verilerine, farklı bir birimdeki (işe alım sürecinin sürdürülmesinden sorumlu olmayan) alakasız üçüncü kişilerin erişim yetkisi olmamalıdır.

İşe alım sürecinin tamamlanması halinde kişiden alınan verilerin “reklam / kampanya / etkinlik / organizasyon haberleri” gibi işlenme amacından tamamen bağımsız sebepler ile kullanılması ihlale sebebiyet verebilecektir.

ÖRNEK 3- Sizlere tahsis edilmiş olan, sistem “kullanıcı adı” ve “şifrelerinizin” üçüncü kişiler ile paylaşılmaması gerekmektedir.

Sistem giriş bilgilerinizi paylaştığınız kişiler, sürecin devamlılığının sağlanması için sadece sizin görmeniz gereken kişisel verilere temas edecektir. Alakasız üçüncü kişilerce kişisel verilere temas edilmesi ise ihlale sebebiyet verebilecektir.

2. KİŞİSEL VERİ İŞLEME FAALİYETLERİNİN WHATSAPP UYGULAMASI, GMAIL- HOTMAİL UZANTILI E-POSTALAR VB. İLE GERÇEKLEŞMESİ

Gerçekleştirdiğimiz görüşmeler neticesinde çalışanlarınızda WhatsApp vb. mesajlaşma uygulamalarının, Gmail, Hotmail vb. uzantılı kişisel e-posta adreslerinin yaygın şekilde kullanıldığını fark ettik.

Bu tür üçüncü taraf uygulamaları kullanırken işlediğimiz kişisel verileri;

  • Yetkisiz üçüncü tarafla (WhatsApp, Google, Microsoft vb.)
  • Bu üçüncü tarafların sunucuları yurt dışında olduğu için kanuna aykırı yurt dışı ile paylaşmış olmaktasınız.

Bu tür kişisel veri işleme faaliyeti açık rıza olmadan gerçekleştirilemeyecektir. Kişisel verilerini işlediğimiz herkesten de açık rıza alamayacağımız için bu tür eylemlerin ivedilikle sonlandırılması gerekmektedir.

3. SOSYAL MEDYADA İLGİLİ KİŞİ GÖRSEL VE/VEYA İŞİTSEL VERİLERİNİN PAYLAŞILMASI

3.1 Kurumsal Sosyal Medya Yönetimi

Sosyal medya hem kurumsal hem de kişisel hayatımızın önemli bir parçası haline geldi. Ancak sosyal medyadan bir görsel, bir video veya bir gönderi yayınladığımızda kişisel veri işleme faaliyeti gerçekleştirmiş olmaktayız.

Kanuna göre verisi işlenen ilgili kişiden açık rıza almadan veri işleme bazı koşullara bağlanmıştır. Bu koşullar;

  • Kanunda sayılan işleme şartlarının varlığı,
  • Kişisel verilerin yurt dışına aktarılmaması olarak özetlenebilir.

Sosyal medyadan (Instagram, Facebook, Kurumsal Web Sitesi) gönderi yayınlanması kişisel veri işleme faaliyeti hem kanunda sayılan işleme şartlarından birini sağlamamakta hem de kişisel verileri yurt dışına aktarma anlamına gelmektedir. Dolayısıyla kişisel verilerini sosyal medya paylaşımları aracılığı ile işlediğimiz herkesten açık rıza almamız gerekecektir.

Bazı etkinliklerde yüzlerce, binlerce kişinin aynı anda fotoğrafı çekilmekte ve bu durum açık rıza almayı oldukça zorlaştırmaktadır. Bu açık rıza alma işleminden kurtulmak veya en aza indirmek için sizlere birtakım önerilerimiz vardır.

3.1.1 Poz Verilerek Yapılan Çekimler

Poz verilerek yapılan çekimlerde örtülü bir açık rıza olduğunu varsayabiliriz. Yine de kendimizi garantiye almak adına poz verilerek yapılan çekimlerden önce videoyu açık “bu fotoğraf sosyal medyada paylaşılacaktır” demek ve bu kısa videonun da saklanmasını tavsiye ederiz.

3.1.2 Çok Sayıda Kişinin Fotoğrafının Çekilmesi

Onlarca veya yüzlerce kişinin katıldığı bir etkinliğin fotoğraf ya da videosunun çekileceği durumlarda, kişilerin arkasından yüzlere görünmeyecek şekilde çekim yapmanızı tavsiye ederiz.

3.1.3 Etkinlik Alanı Düzenlemeleri

Toplantı salonu, seminer salonu gibi ortamlarda; girişlere İlgili Kişi Aydınlatma / Açık Rıza metinlerinin karekodlu afişlerinin eklenerek, “İçeride etkinliğe yönelik görsel ve/veya işitsel kayıtlar alınacak, sosyal medya platformlarında paylaşılacaktır.” İfadesini içeren bir afiş hazırlayıp asmanızı öneririz.

Ayrıca salon düzenlerinde arka-ön veya sağ-sol düzeni yapabilirsiniz. Bu yöntemde koltuklara yeşil ve kırmızı etiketler yapıştırıp fotoğrafı veya videosu çekilecek koltukların yeşil, çekilmeyecek koltukların kırmızı etiketler ile ayırabilirsiniz. Bu yöntemi tercih etmeniz durumunda etkinlik salonu girişinde durumu anlatan bir afiş asmanızı tavsiye ederiz.

3.1.4 Sosyal Medya Paylaşımlarının Kaldırılması Talebi

Kişisel verileri sosyal medya aracılığı ile işlenen kişiler, açık rıza versin ya da vermesin istediği zaman kendisinin ilgili gönderilerin kaldırılmasını talep edebilirler. Bu talep ivedilikle yerine getirilmelidir. Ancak doğrudan gönderiyi kaldırmak yerine buzlama yöntemini de tercih edebilirsiniz. Bunun için kendisini içeren sosyal medya paylaşımın kaldırılmasını talep eden kişiden, söz konusu gönderide kendini tespit etmesi ve bu tespitin size gönderilmesini talep ediniz. Örneğin kişi kendisini yuvarlak içine alabilir. İlgili kişiyi tespit ettikten sonra bu kişiyi buzlama yöntemi ile tanınmaz hale getirebilirsiniz. Buzlama yapamadığınız veya buzlama yapınca gönderinin anlamını yitireceği durumunda gönderiyi doğrudan kaldırmanız gerekecektir.

3.2 Kişisel Sosyal Medya Kullanımı

Çalışanlar olarak sizlere ait sosyal medya hesaplarından; işinizi, çalışma arkadaşlarınızı içeren hiçbir gönderi yayınlayamazsınız. İş bilgisayar ve telefonlarınızda sosyal medya hesaplarına giremezseniz. Bazen kötü niyetli olmasa da işyerinden yaptığımız paylaşımlar kişisel veri içermektedir. Örneğin bir öz çekimde farkında olmadan masamızda duran evraklar, çalışma arkadaşlarımızın yüzlere kareye girebilmektedir. Bu gibi durumlardan önemle sakınmak gerekir.

4. DIŞ KAYNAKLI YAZILIM KULLANILMASI

Bazı müşterilerimizde birimlerin, Bilgi İşlem Birimi’ne ve Hukuk Birimi’ne haber vermeden dış kaynaklı yazılımlar kullanıldığı tespit edilmiştir. Bu durum;

  • Kişisel verilerin üçüncü taraflara ve bazen yurt dışına aktarımına,
  • Envanterin güncelliğinin sağlanamamasına,
  • Söz konusu yazılımlar için kişisel verilerin korunması açısından bir risk değerlendirmesi yapılmamasına,
  • Bu yazılımlarda yer alan kişisel veriler için bünyenizde hali hazırda bulunan güvenlik önlemlerinin alınamamasına (anti-virüs, firewall, vb.) sebep olmaktadır.

Bu gibi durumlar kişisel veri ihlaline yol açacaktır. Kötü senaryoların önüne geçebilmek için;

  • Temin edilecek bütün yazılımlarda Bilgi İşlem Birimi’ne bilgi verilmesi ve böylece gerekli güvenlik önlemlerinin alınması,
  • Bizler için temin edilen insan kaynakları, süreç yönetim, çevrimiçi video konferans/eğitim platformlarının kullanılması gerekmektedir.

5. PERSONEL DEVAM KONTROL SİSTEMİNİN BİYOMETRİK VERİ (PARMAK İZİ, İRİS TARAMASI VB.) İLE SAĞLANMASI

Kişisel Verileri Koruma Kurumu ve Anayasa Mahkemesi; personel giriş/çıkış kontrolleri, mesai devamlılıklarının takibi gibi hususlarda “parmak izi” veyahut “iris taraması” gibi biyometrik veri içeren yöntemlerin kullanılmasını “ölçüsüz” olarak değerlendirerek, ihlal kararı vermiştir.

Veri Sorumlusunun, biyometrik veri yöntemi olmaksızın “personel kimlik kartı” basımı gibi yöntemler kullanarak personel devam kontrol sistemini işletmesi tavsiye edilmektedir. (Bu durum “sistem odası” gibi yetki erişimin sınırlı olduğu alanlar için geçerli değildir.)

Halihazırda personel devamlılığını takip ettiğimiz sistemlerde biyometrik veri kullanımı söz konusu ise bu yöntemden vazgeçilmesini tavsiye ederiz.

6. KİMLİK PAYLAŞIM SİSTEMİNİN KULLANIMI

Kimlik Paylaşım Sistemi, Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü tarafından kamu kurumları ve bazı diğer tüzel kişiliklere tanıdığı yetkiyle kimlik doğrulamasının yapılabildiği bir sistemdir.

Bu sistem sayesinde ilgili kişinin sadece T.C. kimlik numarası ve doğum tarihi kullanılarak kimlik doğrulaması yapılabilmektedir.

Bazı müşterilerimizde bu sistemin birimler tarafından kullanılmadığı ve bunun yerine kimlik fotokopisi talep edildiği tespit edilmiştir.

  • Kullandığınız yazılımlarda veya eriştiğiniz ekranlarda bu sistem var ise kimlik fotokopisi alınmadan bu sistemin kullanılarak kimlik doğrulamasının yapılması
  • Kullandığınız yazılımlarda veya eriştiğiniz ekranlarda bu sistem yoksa Bilgi İşlem Birimi ile irtibata geçerek bu sistemin aktif hale getirilmesini talep etmenizi

Tavsiye ederiz.

Leave a comment

Bu web sitesi, web deneyiminizi geliştirmek için çerezleri kullanır.