Kişisel verilerin işlenmesi, Kanunun 3. maddesinde tanımlanmıştır.
Buna göre; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, kişisel verilerin işlenmesi olarak kabul edilmiştir.
Örneğin, kişisel verilerin sadece bir hard diskte, CD’de veya sunucuda depolanması, anılan verilerle başkaca hiçbir işlem yapılmasa da bir veri işleme faaliyetidir. Dolayısıyla veri işleme kapsamına giren eylemler sınırlı sayıda olmayıp, kişisel verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir.
Veri Kayıt Sistemi Nedir?
Veri kayıt sistemi, kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade etmektedir. Bir dosyalama sistemi olarak nitelenebilecek veri kayıt sistemi elektronik ya da fiziki ortamda oluşturulabilir. Buna göre, veri kayıt sisteminde kişisel veriler, ad, soy ad veya kimlik numarası üzerinden sınıflandırılabileceği gibi, örneğin kredi borcunu ödemeyenlere ilişkin oluşturulacak bir sınıflandırma da bu kapsamda değerlendirilmektedir. Yukarıda da belirtildiği gibi, herhangi bir kritere bağlı olmaksızın gelişigüzel bir şekilde sadece kişilerin ad ve soyadlarının bir kâğıtta yer alması hali, Kanun kapsamına girmemekle birlikte, söz konusu isimlerin belirli bir kritere göre olarak bir kâğıda kaydedilmesi halinde, bu veri kaydı Kanun kapsamında değerlendirilmektedir.
Örneğin B isimli gerçek kişi, A isimli şirkete iş başvurusunda bulunmak amacıyla A şirketi idari işler müdürünün şirket mailine CV ‘ sini göndermiştir. İdari işler müdürü bu konuda yetkili personelin insan kaynakları personeli olduğuna karar vererek CV ‘ yi yine e-mail yolu ile insan kaynakları personeline gönderir. İnsan kaynakları personeli CV üzerinde çalıştıktan sonra CV ‘ yi insan kaynakları müdürüne e-mail yolu ile gönderir.
İnsan kaynakları müdürü CV üzerinde yaptığı inceleme sonucunda B isimli şahsın şirket için uygun olmadığına bu sebeple CV ‘ nin insan kaynakları departmanında daha önce iş başvurusu kabul edilmeyen CV’ lerin toplandığı dolapta saklanmasına karar veriyor.
Yukarıdaki olayda B isimli gerçek kişiye ait CV ‘ nin A şirketi bünyesinde bir mail adresinden diğer bir şirket mail adresine her gönderildiğinde aslında kanunen kişisel verilerin işlenmesi gerçekleşmiştir.(Aktarma)
B isimli şahsa ait CV’ nin iş başvurusu kabul edilmeyen CV’lerin toplandığı dolapta saklanması kişisel verilerin işlenmesi anlamına gelmektedir.(Saklama)
Örneğin bir müşteri daha önce alışveriş yaptığı A isimli şirkete ulaşarak KVKK 11. Madde de sayılan haklarından olan ‘’ kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme hakkı’’ na dayanarak A şirketine telefon numarasını değiştirdiğini ve yeni telefon numarasının şirket tarafından kaydedilmesini istediğini iletiyor. Şirket ilgili kişi olan müşterinin talebi doğrultusunda şirket kayıtlarında müşteriye ait olan eski telefon numarasını silip yeni telefon numarasını ekliyor.
Bu durumda A isimli şirket KVKK anlamında kişisel veri işlemiş sayılmaktadır. Sebebi ise müşterinin telefon numarası üzerinden işlem yapmasıdır.
Ancak veri sorumlusu olan şirketler her zaman değil sadece kanunda belirtilen şartların varlığı halinde kişisel veri işleyebilmektedir. Kişisel verilerin işlenme şartları ise Kanunun 5. maddesinde sayılmış olup, buna göre aşağıdaki hallerden en az birinin bulunması durumunda kişisel verilerin işlenmesi mümkündür.
Comments