Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uyum sağlanması için şirketler,
· Kanun’da öngörülen ilkelere uygun kişisel veri işlemek,
· Veri sahiplerini aydınlatmak,
· Belirli hallerde veri sahiplerinin rızasını almak,
· Belirlenen saklama sürelerinin sona ermesinden sonra verileri imha etmek,
· Veri güvenliğini temin etmek,
· Veri sorumluları siciline (Verbis) kayıt olmakla yükümlü kılınmışlardır.
Bu başlıkları şu şekilde açıklayabiliriz:
Kanun’da öngörülen ilkelere uygun kişisel veri işlemek:
Kişisel Verilerin Korunması Kanunu’nun 4. maddesinde kişisel verilerin işlenmesinde uyulması gereken ilkeler belirtilmiştir. Bu ilkeler, hukuka ve dürüstlük kurallarına uygun olma; doğru ve gerektiğinde güncel olma; belirli, açık ve meşru amaçlar için işlenme; işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma; ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme olarak sıralanabilir. Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uyum sağlanması için şirketlerin bu ilkelere uygun olarak kişisel veri işlemesi gerekmektedir.
Veri sahiplerini aydınlatmak:
Kişisel Verilerin Korunması Kanunu gereğince veri sorumlusu veya yetkilendirdiği kişinin, kişisel verilerin elde edilmesi sırasında veri sahiplerini aydınlatma yükümlülüğü bulunmaktadır. Bu aydınlatma yükümlülüğü kapsamında veri sahiplerinin, veri sorumlusunun ve varsa temsilcisinin kimliği; kişisel verilerin hangi amaçla işleneceği; işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği; kişisel veri toplamanın yöntemi ve hukuki sebebi ile Kanun’un 11 inci maddesinde sayılan veri sahibinin diğer hakları hususlarında bilgilendirilmesi gerekmektedir.
Belirli hallerde veri sahiplerinin rızasını almak:
Kural olarak veri sahiplerinin açık rızası bulunmadıkça kişisel verilerin işlenmesi mümkün değildir.
Belirlenen saklama sürelerinin sona ermesinden sonra verileri imha etmek:
Belirlenen saklama sürelerinin sona ermesinden sonra veya kişisel verilerin işlenmesini gerektiren sebeplerin sona ermesi halinde kişisel veriler resen veya veri sahibinin talebi üzerine veri sorumlusu tarafından imha edilir. Bu imha etme işlemi, kişisel verinin silinmesi, yok edilmesi veya anonim hale getirilmesi olarak gerçekleşebilir.
Veri güvenliğini temin etmek:
Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Veri sorumluları siciline (Verbis) kayıt olmak:
Kişisel Verileri Koruma Kurulu gözetiminde Kişisel Verileri Koruma Kurumu Başkanlığı tarafından kamuya açık olarak Veri Sorumluları Sicili (Verbis) tutulmaktadır. Kural olarak, kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir. Bu yönde bir istisna söz konusu değil ise, kişisel verileri işleyenler Veri Sorumluları Siciline kayıt olma yükümlülüğü altındadır.