Şirketlerin Uyum Süreci Faaliyetleri

(Dünden Devam)
5. Açık Rıza Alınması Gereken Alanların Tespit Edilmesi
     Envanterin hazırlanmasıyla mevcut durumunun ortaya tam olarak çıkmasından sonra şirketin hangi faaliyetlerinde ilgili kişinin açık rızasına ihtiyaç duyduğu ortaya çıkacaktır. Kanun’un 5’inci ve 6’ncı maddelerinde sayılan diğer kişisel veri işleme şartlarının bulunması halinde açık rıza alınması yoluna gidilmemesi gerekmektedir. Açık rızanın geri alınması halinde, ilgili kişi artık kişisel verisinin işlenmeyeceği beklentisi içindedir. Ancak, diğer kişisel veri işleme şartlarına dayanarak, kişisel verinin işlenmeye devam edilmesi halinde, bu durum ilgili kişiyi aldatma sonucunu doğuracaktır. Bu nedenle, uyum süreci yürüten şirketlerin, hangi kişisel veriler için açık rıza alınması gerektiğini çok iyi tespit etmesi gerekmektedir. İş süreçlerinin yürütülmesi açısından açık rıza yolu ile kişisel veri işlenmesi durumu, son çare olarak düşünülmesi gereken bir veri işleme şartı olarak değerlendirilmelidir.

6. Sözleşmelerin Gözden Geçirilmesi
     Şirketler, iş süreçlerinde, çok sayıda farklı sözleşme türünün tarafı olmaktadır. Çalışanlar, tedarikçiler, bayiler, müşteriler, iş ortakları gibi taraflarla yapılan sözleşmelerin ifası sırasında, taraflar birbirine ait çok fazla kişisel veriye temas etmekte, kısaca işlemektedirler. Kişisel verilerin korunması uyum sürecinde, sözleşmelere taraflara ait kişisel verilerin güvenliğini sağlayacak şekilde yeni hükümler konulmalı ya da ayrıca gizlilik taahhütleri imzalanmalıdırlar. Ayrıca bu hükümlerin ihlal edilmesi halinde sözleşmelere cezai şart eklenmesi de yararlı olacaktır.

7. İşe Girişlerde Doldurulan Bilgi Formaları ile Alınan Kişisel Veriler
     İşveren, işe alımdan önce iş sözleşmesi yapacağı işçinin özelliklerini bilmek ve işçi hakkında edindiği fikir doğrultusunda, işçiyi işe alıp almamaya karar vermek durumundadır. “İşveren, yönetim hakkı kapsamında, iş sözleşmesi yapılmadan önce işçiye sorular sorarak iş için istediği niteliklerde olup olmadığını görmek ister. İşverenin, çalışanı işe almadan önce soracağı sorular, çalışanın mesleki bilgisini ölçmek, mesleki geçmişini ve meslek yaşantısını öğrenme amacına yönelik olmalıdır. İş sözleşmesi imzalanmasına karar verilen personele doldurtulan formlar, kişisel veri işleme şartları kapsamı dışında kalan ya da iş süreçlerinde ihtiyaç duyulmayan kişisel verilerden arındırılmalıdır.

8. Güvenlik Kameraları ile Kişisel Verilerin İşlenmesi
     İşyerinin, çalışanlarının veya ziyaretçilerin fiziki güvenliklerinin sağlanması amacıyla kullanılan güvenlik kameraları vasıtasıyla alınan görüntüler de veri ilgilisinin kişisel verisidir. Bu nedenle bu kişisel verilerin işlenmesi de diğer kişisel verilerin işlenmesi gibi Kanun’da yazılı kişisel veri işleme şartlarına tabidir. Güvenlik kamerası vasıtasıyla çalışanlara veya ziyaretçilere ait kişisel verilerin işlenmesindeki amaç, işyerinin, çalışanın ve ziyaretçinin güvenliğinin sağlanması amacına yönelik meşru menfaat kapsamında değerlendirilmektedir. Kanun’daki veri işleme şartlarına dayanılamadığı durumlarda ise kamera görüntüsü alınmak suretiyle kişisel verisinin işlenmesinden önce ilgili kişilerinden açık rıza alınmalıdır. Ancak ister açık rıza alınsın isterse diğer veri işleme şartlarına dayanılsın mutlaka aydınlatma beyanında bulunulmalıdır.

9. Biyometrik Kişisel Verilerin İşlenmesi
     Veri sorumlusu olan şirketler, iş süreçlerinde kendilerine birtakım kolaylıklar sağlamak ya da gizlilik gibi kaygılarla kişileri tam doğru olarak tanımlayabilmek için yüz tanıma, retina tarama, avuç içi okuma gibi bir takım biyometrik kişisel verileri işleme yöntemleri kullanabilmektedir. Ancak biyometrik kişisel veri işleyebilmesi için, bu kişisel verinin işlenmesi ile şirketin korunan hukuki menfaatinin yarışabilir seviyede olması gerekmektedir. Yani daha az ve özel nitelikli olmayan bir kişisel veri işleyerek aynı amaca ulaşabiliyorsak biyometrik kişisel veri işlemekten kaçınmak gerekecektir.