QuestionPro

+1 800 531 0228 +1 (647) 956-1242 +52 999 402 4079 +49 301 663 5782 +44 20 3650 3166 +81-3-6869-1954 +61 2 8074 5080 +971 529 852 540
SIGN UP FREE

GDPR Hakları: Her veri denetleyicisinin ve veri sahibinin bilmesi gerekenler

25 Mayıs 2018 tarihinde, AB bölgesinde yeni bir GDPR (Genel Veri Koruma Yönetmeliği) yasası yürürlüğe girdi. Bu, Avrupa’nın 1995 tarihli eski Veri Koruma Direktifi’nin yerini alan yeni gizlilik yasasıdır. Yürürlüğe girdiğinden bu yana, veri koruma alanında son 20 yılın en büyük değişikliği olarak nitelendiriliyor.

GDPR neden uygulandı?

Teknolojinin evrimi nedeniyle dijital dönüşüm kuruluşlar için kritik hale gelmiştir. Küçük ya da büyük her işletme her şeyi online ortama taşıyor. Bunun ardından üretilen, oluşturulan ve depolanan veri miktarı hızla artmaya başladı. GDPR, sınır ötesi işlerde şeffaflığı sağlamak ve kolaylaştırmak için verilerin paylaşılması, depolanması ve kullanılmasındaki zorlukları ele almak için bir araçtır. GDPR, işletmelere kurumsal çapta verileri kontrol etme ve yönetme konusunda bir üstünlük sağlamaktadır.

Böylece, verileri kullanmak ve korumak için yeni kurallarla birlikte, verileri işlemek için yeni GDPR hakları geldi. Bu blogda, her kuruluşun önceden bilmesi gereken GDPR haklarına odaklanacağız.

Her veri sahibi ve birey için GDPR hakları

Avrupa’nın Genel Veri Koruma Yönetmeliği’ndeki (GDPR) en önemli kazanımlardan biri, ilgili kişinin verilerinin tam olarak korunmasını sağlamaktır. GDPR, veri sahiplerine belirli haklar tanıyarak verilerin korunmasını ve gizliliğini sağlar. Veri sahibi, bu hakları kullanarak verilerinin güvenliği ve gizliliğinden emin olmak için özel bir talepte bulunabilir. Veri sahibi, herhangi bir kişisel veya hassas bilgi vermeden önce, verilerinin toplanma amacı dışında herhangi bir amaç için kötüye kullanılmayacağından emin olabilir.

İşte herkesin bilmesi gereken GDPR hakları

Erişim Hakkı

GDPR Madde-15 uyarınca, veri sahipleri erişim hakkına sahiptir – veri denetleyicisinden kendilerinden toplanan verilerin ayrıntılarına ilişkin bilgi alma hakkı. Kısacası, eğer bir kurum ya da kuruluş veri sahibinden kişisel olarak tanımlanabilir bilgiler topluyorsa, veri sahibinin bu verilere erişim talep etme hakkı vardır.

Ne oldu?

Madde-15’e göre, ilgili kişi ihtiyaç duyması halinde verilerinin işlenip işlenmediğini veri sorumlusundan teyit edebilir. Evet ise, talep sahibi, eğer niyetliyse, bilme hakkına sahiptir

  • İşlenen kişisel verilerin tam kopyası
  • Veri sahiplerinin kişisel verilerinin işlenmesinin ardındaki amaç nedir?
  • Ad, Adres, İletişim Bilgileri vb. gibi verilerin işlendiği kategorilerin adı.
  • Veri sahiplerinin kişisel verilerinin paylaşıldığı üçüncü tarafın ayrıntılarından bahsederek açıklama – özellikle bu üçüncü taraf farklı bir ülkeye aitse
  • Doğrudan veri sahibinden alınmamışsa, verilerin toplandığı kesin kaynağın (üçüncü taraf) iletilmesi
  • Veri sorumlusunun verileri ne kadar süreyle saklamayı planladığı

Gereklilikler nelerdir?

GDPR’nin erişim hakkı kapsamında, verilerinize erişim izni verilmesi için bir talep gönderme sürecinin tamamı, web sitesi sahibine bir e-posta göndermek kadar kolaydır. Özel verilerine erişmesi gereken ilgili veri sahibi, ilgili veri kontrolörüne resmi bir Konu Erişim Talebi (SAR) göndermelidir. Bir veri sahibi SAR’ı e-posta, faks yoluyla veya yazılı bir başvuru olarak sunabilir ve böylece geride bir belge izi bırakır.

Madde-15 uyarınca, işlenen kişisel verilerin ilk kopyası ücretsizdir, sonraki tüm talepler için veri sorumlusu makul bir ücret talep etme yetkisine sahiptir. Ayrıca, elektronik veri kopyası talepleri yaygın olarak kullanılan bir elektronik formda sağlanmalıdır. .csv ve .txt’nin elektronik talepler için en yaygın formatlar olduğunu unutmayın.

Düzeltme Hakkı

GDPR Madde-16’ya göre, veri sahibi, veri kontrolöründen veri tabanında kaydedilen yanlış kişisel verilerin gecikmeksizin düzeltilmesini talep etme hakkına sahiptir. Veri toplama amacını göz önünde bulundurduktan sonra, veri sahibi, ek bir beyan verdikten sonra eksik veya yanlış verilerinin düzeltilmesini isteme hakkına sahiptir.

Ne oldu?

AB’nin veri koruma yasalarının 16. Maddesi uyarınca, bir veri sahibi, ek bir beyan ekledikten sonra yanlış veya eksik verilerinin düzeltilmesini sağlayabilir. Düzeltme talebi sözlü, telefon görüşmesi yoluyla veya yazılı olarak yapılmalıdır. Kanun ayrıca veri sorumlularının her düzeltme talebine bir takvim ayı içerisinde yanıt vermesini zorunlu kılmaktadır.

Kanunen, düzeltme talebini kabul etmek ya da reddetmek veri sorumlusunun menfaatinedir ve veri sorumlusunun bu hakkı, veri sorumlusunun Doğruluk İlkesi kapsamında belirtilen yükümlülükleri tarafından yakından korunmaktadır.

Gereklilikler nelerdir?

GDPR yasası, geçerli bir düzeltme talebi göndermek için tam formatı belirtmemiştir. Bu nedenle, ilgili kişi talebini sözlü, e-posta yoluyla veya yazılı olarak yapabilir. Ayrıca, talebi belirli bir kişiye hitap etmeden veya konu satırından bahsetmeden göndermenizde bir sakınca yoktur.

Veri sorumlusu, veri düzeltme talebinde bulunan kişinin kimliği konusunda şüphe duyuyorsa, talep sahibinin kimliğini doğrulayan ek bilgileri talep etmek veri sorumlusunun menfaatinedir.

Düzeltme talebini aldıktan sonra, veri kontrolörü talep sahibinin kimliğini doğrulamalı ve verilerin düzeltilmesi için makul adımların atılmasını sağlamalıdır.
Talebi gecikmeksizin ve en geç talebin alınmasından itibaren bir takvim ayı içinde yerine getirmek veri sorumlularının sorumluluğundadır.

Silme Hakkı

GDPR Madde-17 Bölüm-1 kapsamında, silme hakkı, veri sahibinin verilerinin belirli veri denetleyicileri veritabanından ve veri işleyicilerinden aşağıdaki gibi açık nedenlerle kaldırılmasına yetkili olduğunu belirtir

  • Verilerin toplandığı asıl amaç yerine getirilmiştir ve artık söz konusu verilerin saklanmasına ve tutulmasına gerek yoktur.
    Veri sahibi, işleme faaliyetlerinden rızasını geri çekmeye isteklidir.
  • Veri sahibinin veri işlemeye ilişkin bir itirazının olması ve meşru menfaatlerinin ağır basmaması.
  • İşlenmekte olan verilerin ahlak dışı veya yasa dışı teknikler kullanılarak toplanmış olması.
  • Yasal yükümlülüklere uymak için verilerin kaldırılması gerekir.
  • Bilgi teklifi kapsamında toplanan verilerin – özellikle de çocuklara ait olanların – derhal kaldırılması gerekmektedir.

silme hakkı

Ne oldu?

Silme hakkı aynı zamanda unutma hakkı olarak da adlandırılmaktadır. Silme hakkı veya unutulma hakkı kapsamında veri sahibi, verilerinin veri tabanından kaldırılmasını veya silinmesini talep etme hakkına sahiptir. Veriler, verilerinin işlenmesini istemezlerse veya veri sorumlusunun verileri saklamak için meşru bir nedeni olmadığını tespit ederlerse, verilerin silinmesini isteyebilirler.

Çoğu GDPR hakkına benzer şekilde, silme hakkı mutlak değildir. GDPR Resital 65 uyarınca, veri sahibinin silme ve düzeltme hakkı, yalnızca verilerinin GDPR’nin veya kontrolörün tabi olduğu başka bir yasanın hükümlerini ihlal edebileceği durumlarda geçerlidir.

Silme hakkı veya unutulma hakkı, veri sahiplerine, artık işlenmesini istemedikleri ve bir veri denetleyicisinin verileri saklaması için meşru bir neden olmadığında verilerinin silinmesini sağlama imkanı verir.

Gereklilikler nelerdir?

Bir veri sahibi verilerini silmeyi talep ettiğinde, verilerin derhal geçerli olacak şekilde silinmesi beklenir. Veri silme talebinin iletilmesinden itibaren en fazla bir ay, tepki vermek için öngörülen zaman dilimidir. Ayrıca, veri sorumlusu, verilerin silinmesi imkansız olmadıkça veya orantısız bir çaba sarf edilmedikçe, veri sahibini verilerinin silinmesi konusunda bilgilendirmek zorundadır.

Ancak, silme hakkının geçerli olmadığı bazı durumlar şunlardır

  • Özgürlük ve ifade özgürlüğü hakkı çerçevesinde.
  • Veri kontrolörünün diğer yasalara uymak için bu verileri işlemeye zorlandığı bir durum ortaya çıktığında.
  • Genel olarak, veri sorumlusunun verileri kamu yararına işlemesi gerektiğinde.
  • Veri sorumlusunun verileri işlemekten başka seçeneğinin olmadığı bir durumda, daha önce bahsedilen ‘kazanılmış yetki’ bağlamında.
  • Sağlık hizmetleri, sosyal bakım ve halk sağlığının kapsadığı alan göz önünde bulundurularak.
  • Kamu menfaatinin daha geniş bir yönünü, özellikle de koruyucu hekimlik veya mesleki hekimlikten teşhis ve sosyal bakım sistemlerine kadar her unsuru kapsayan halk sağlığıyla ilgili olanı, sınır ötesi sağlık ve daha fazla tehdidi önlemek için gereklidir.
  • Özellikle bilimsel, tarihi ve araştırma gibi belirli amaçlara yönelik olarak kamu yararını arşivlemek için yapılması gereken veri işleme faaliyetleridir.
  • Savunma veya kanunla ilgili hakların tesisi, uygulanması veya kullanılması için veri işlemenin gerekli olması.

NOT: Buradaki herkesin, silme hakkının mutlak veya koşulsuz bir hak olmadığını anlaması gerekiyor. Çok sayıda istisna ve sınırlama ile uygulanmaktadır. Bu nedenle, veri sorumluları herhangi bir veri silme talebini ele alırken olasılık, oran, maliyet ve benzeri bağlamları göz önünde bulundurmalıdır.

Veri Taşınabilirliği Hakkı

GDPR Madde-20 uyarınca, veri sahipleri, kontrolör kuruluşa sağladıkları kendileriyle ilgili kişisel verileri yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilir bir formatta alma yetkisine sahiptir.

Aynı Veri Taşınabilirliği hakkı kapsamında, ilgili kişi isterse verilerini, orijinal verilerin ilk kontrolöre sağlandığı başka bir kontrolör kuruluşa devredebilir:

  1. işleme faaliyetinin Madde-6(1)’in (a) bendi veya Madde-9(2)’nin (a) bendi kapsamında rızaya veya Madde-9(2)’nin (a) bendi kapsamında bir sözleşmeye dayanması
  2. Madde-6(1) uyarınca; ve (b) işleme faaliyetinin otomatik yollarla gerçekleştirilmesi.

Bununla birlikte, Madde-20, veri sahibinin 1. paragrafa uygun olarak veri taşınabilirliği hakkını kullanabilmesi için, teknik fizibilitenin devam ettiği durumlarda, kişisel verilerini doğrudan bir veri sorumlusundan başka bir veri sorumlusuna iletme veya aktarma hakkına sahip olması gerektiğini de öngörmektedir.

Bu tanımda Madde-20’nin 1. paragrafına atıfta bulunulan hakkın Madde-17’nin ön kabulü olmaksızın sağlanacağını unutmayınız. Bu hak, kamu yararına yürütülen herhangi bir görevin yerine getirilmesi veya veri kontrolörlerinin omuzlarına verilen resmi yetkinin kullanılması için yapılan işlemlere uygulanmamalıdır.

Ancak, veri sorumlusu ve ilgili kişi birlikte, bu Maddenin Paragrafında atıfta bulunulan hakkın başkalarının hak ve özgürlüklerini olumsuz etkilememesini sağlamalıdır.

Ne oldu?

Veri taşınabilirliği hakkına göre, bireysel veri sahipleri verilerini ilgili veri yetkililerinden talep etme ve alma hakkına sahiptir. Veri sorumlusu kuruluşlara yapılandırılmış, kontrollü ve makine tarafından okunabilir bir formatta sağladıkları veriler. Buna ek olarak, veri sahipleri, ilk etapta sundukları veya gönderdikleri veri sorumlusunun herhangi bir itirazı olmaksızın, bunu diğer veri sorumlusu kuruluşun üçüncü tarafına aktarma hakkına da sahiptir. Veri sahibi verilerini alabilir ve veri sahibi tarafından taşınan bir sistemde, bir sabit diskte veya kullandığı bir bulut uygulamasında saklayabilir.

Ayrıca bu bağlamda, WP29’un veri taşınabilirliğine ilişkin kılavuz ilkeleri erişim hakkını tamamlayıcı niteliktedir. Bununla birlikte, veri sahibi yalnızca erişim hakkına sahip olmakla kalmaz, aynı zamanda taşınabilirlik hakkı ile veri sahibi verilerini kolayca yönetilebilir ve yeniden kullanılabilir hale getirecek şekilde alabilir.

Gereklilikler nelerdir?

Veri taşınabilirliği hakkı, ilgili kişinin rahatlığı ve güvenliği için olsa da, yine de mutlak değildir ve kısıtlamalara tabidir. Diğer taraftan, hak sadece birkaç özel koşul yerine getirildiğinde kullanılabilir. Bu koşullar Madde-20’nin geri kalan paragrafında ele alınmaktadır.

Bir veri sahibinin veri taşınabilirliği hakkını kullanabileceği koşullar şunlardır

  • İlgili kişi, yasal ihtiyatlılık kapsamında veri taşınabilirliği hakkını istediği zaman kullanabilir,
    • Rıza GDPR Madde-6 kapsamında oluşturulan birçok yasal temelden birini oluşturan
    • Açık rıza GDPR Madde-9 kapsamında özel kişisel veri kategorileri veya ‘hassas veriler’ bağlamında tanımlanmıştır.
    • Sözleşmeye bağlı gereklilik GDPR Madde-6’da açıklanan
  • Veri sahibi, rızanın yanı sıra açık rıza, sözleşmeye dayalı gereklilik yasal işlemenin temelini oluşturduğunda veri taşınabilirliği hakkını kullanabilir. Ek olarak, veri işleme otomatik olarak gerçekleştirilir ve bu da bizi veri taşınabilirliği hakkının BT araçlarına ve dijital ekosistemine geri getirir.

NOT: GDPR Madde-20’de ayrıca veri taşınabilirliği hakkının diğer veri sahiplerinin özgürlük hakkını olumsuz etkilememesi gerektiği belirtilmektedir. Tipik olarak, veri sahibinin veri taşınabilirliği hakkını kullanırken aldığı kişisel veri türlerinin seviyesi üzerinde sonuçları olacaktır.

GDPR hakları anketlerinizi ve araştırmalarınızı nasıl etkileyecek?

GDPR’deki yeni değişiklikler, kişisel veya hassas verileri ele alma ve yönetme şeklinizi çok etkileyecektir. GDPR’nin veri sahiplerine sağladığı haklar yukarıda ele alınmıştır. Biz de dahil olmak üzere birçok kuruluş GDPR üzerindeki etkiyi anlamakta zorlandı. Burada, yeni GDPR ve GDPR haklarının müşteri ve çalışan anket verilerini toplama, saklama, işleme ve paylaşma şeklinizi nasıl etkileyeceğini açıklamak istiyoruz.

  • GDPR, özellikle anketler kişisel verilere atıfta bulunmadan anonim olarak yapıldığında, çalışan ve müşteri anketleri yürüten tüm şirketleri etkilemeyecektir.
  • Bununla birlikte, anonim bir anket yürütmek için anket katılımcılarının kimliklerinin belirlenmesini engellemeniz gerekir. Bu, yalnızca yanıtlayıcının e-posta, adres, telefon numarası gibi kişisel bilgilerini toplamadığınız takdirde mümkündür.
  • Çalışanlarla anket yapıyor olsanız ve onlardan yaşlarını, cinsiyetlerini, pozisyonlarını, çalışma sürelerini belirtmelerini isteseniz bile, bu bilgiler çalışanı tanımlamak için dikkate alınabilir veya yeterlidir.

Ancak anket katılımcılarına kişisel bilgi sormanız gerektiğinde, tüm GDPR yönergelerine uymanız gerekir ve bir veri sahibi olarak hareket eden anket katılımcısı GDPR haklarını kullanma hakkına sahiptir.

Onay Verme

  • GDPR Madde-7 uyarınca, anket katılımcıları, anket şirketinin verilerini toplamasına, işlemesine ve işlemesine izin veren onay vermelidir.
    • Ancak, ilgili kuruluşlar anketin amacını ve toplanan verilerin nasıl kullanılacağını bildirmelidir.
    • Ankete katılanların onay vermeleri ya da anketten çekilmelerine bağlıdır.
    • Anketin başlangıcına onay kutusunun varsayılan olarak seçilmemesini sağlayan bir onay sorusu (onay kutusu soru tipi) eklemek daha iyi bir fikirdir.
    • Katılımcılar istedikleri zaman bu hakkı iptal etme veya GDPR haklarını kullanma hakkını saklı tutar.

Veri minimizasyonu

  • Onay isterken zamanlama önemlidir.
    • Her veri sahibi, herhangi bir kişisel veriyi açıklamadan veya göndermeden önce verilerinin toplanması için onay vermelidir.
    • Tüm GDPR bilgilerini, daha önce tartışılan GDPR bilgilerini içeren ayrı bir web sitesinde yayınlamak daha iyi bir uygulamadır.
  • GDPR’nin veri minimizasyonu ile ilgili Madde-5’e göre, mümkün olduğunca az veri toplamak daha iyidir.
    • En iyi yol, sadece gerekli bilgileri toplamaktır.
    • Eğer katılımcının yaşını soruyorsanız, katılımcının yaş aralığını seçmesini isteyen başka sorular sormaktan kaçının.

Uyumluluk bilgileri

  • Madde-5 ayrıca, kuruluşların GDPR ile uyumlu kalmak için attıkları adımlara ilişkin bilgi vermelerini zorunlu kılan hesap verebilirliğe de atıfta bulunmaktadır.
    • İlgili kişilerden kişisel veri toplayan kuruluşlar, bir işleme kaydına, veri koruma yönetim sistemine sahip olmalı veya periyodik olarak veri işleme faaliyetlerinin kapsamlı bir incelemesini yapmalıdır.

Veri Sorumlusu

  • Kişisel verileri toplayan veya bunlarla ilgilenen her kuruluşun, veri sahiplerinin ve taleplerinin daha büyük ölçekte sistematik ve düzenli olarak izlenmesi için bir veri denetleyicisi veya veri koruma görevlisi ataması gerekir.
    • Atanan veri koruma görevlisi, gerekli teknik bilginin yanı sıra veri işleme ve koruma konusunda önceden deneyime sahip olmalıdır.
    • Çoğu durumda, kuruluş her türlü GDPR ihlalinden sorumludur, ancak bazı durumlarda Veri koruma görevlisi sorumlu tutulabilir.
    • Veri sorumlusu, veri sahibine sağlanan GDPR hakları uyarınca haklarını bilmelidir.
  • Gerekli tüm önlemleri aldıktan ve GDPR ile uyumlu kalmak için tüm çabaları gösterdikten sonra bir veri ihlali meydana gelirse, kuruluş veri ihlalini meydana gelmesinden sonraki 72 saat içinde atanan denetleyici makama bildirmelidir.

GDPR Uyumluluğunun sağlanmasında çevrimiçi anket platformlarının rolü

Artık pek çok kuruluş, anketleri yürütmek ve GDPR kurallarına uymak için harici bir şirket görevlendirmenin daha iyi olacağını düşünecektir. Çevrimiçi bir anket platformu olarak, anket oluşturma sürecinizi sorunsuz ve esnek hale getirmek için yalnızca araçlar ve özellikler sunuyoruz. Her ne kadar biz
GDPR uyumlu anket oluşturma platformu
için gerekli tüm özellikleri ve yönergeleri sağlıyoruz. GDPR uyumlu anketler oluşturun. Tüm kullanıcılarımızla bir işleme sözleşmesi yapmayı garanti ediyoruz. Yine de, çevrimiçi anket platformumuzu kullanarak anketleri oluşturan ve dağıtan kuruluş, tüm veri işleme faaliyetlerinden teknik olarak sorumludur.

BU MAKALEYİ PAYLAŞ
This site is registered on wpml.org as a development site.