Türkiye’deki veri sorumlularının bir kısmı ilgili kişilere gizlilik politikası adıyla aydınlatma bildirimleri sunmaktadırlar. Aydınlatma bildirimi, ilgili kişilerin kişisel verileri üzerindeki faaliyetler hakkında bilgilendirildikleri bir içeriği ifade eder. Bu içeriğin amacı ve taşıması gereken unsurlar kurum ve kuruluşların kurallarından farklıdır. Aydınlatma bildirimi, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda yer alan aydınlatma yükümünün vücut bulmasıdır. Bu bildirim vasıtasıyla bireyler kendi verilerinin ne amaçla kullanıldığını öğrenirler ve akıbetine yön verebilirler.
Kişisel verilerin işlendiği faaliyetlerde, kişisel verilerle hakkında izlenen yöntemleri, benimsenen ilkeleri içeren kurum ve kuruluşların kurallarını ifade eden gizlilik politikası da dolayısıyla, aydınlatma bildiriminden farklıdır.
Gizlilik Politikasına Hukuken İhtiyaç Duyulması
Hangi isimle anılırsa anılsın kurum ve kuruluşların kurallarının en temel gerekçesi firmanın taşıdığı risklerin (personel riski, teknik risk, yasal risk vb.) en aza indirmektir. Bu gerekliliğe işaret eder diğer bir durum ise yasal belirsizliklerdir. Gizlilik politikasına bir kurum ve kuruluşlarında hukuken iki şekilde ihtiyaç olur:
- Firma birden fazla ülkede veri işleme faaliyeti yürütüyordur.
Farklı bağlayıcı hukuk kuralları bulunan her ülkede geçerli olabilecek temel ilkeler bu politikalar aracılığıyla saptanabilir. Kurum ve kuruluşların taraf olduğu ticari ilişkilerinde bu kurallara değinir. Bu şekilde gizlilik kurallarının uygulanmasında yönetsel bütünlük sağlanır. Herhangi bir ülke hukukuna aykırılık halinde ortaya çıkabilecek riskler öngörülebilir ve kontrol edilebilir hale gelir.
- İkinci ihtimalde kurum ve kuruluşlarının yürüttüğü kişisel veri işleme faaliyetini konu edinen yasal veya idari düzenleme ya hiç bulunmamaktadır veya yetersiz kalmaktadır.
Bununla birlikte faaliyetin ilgili kişiler üzerindeki etkileri etik olarak değerlendirilmeye muhtaçtır. Bu durumda firmanın iç değerlendirmeleri sonucunda birtakım kurallar belirleyerek kendine bir sınır belirler.
Özetle mevzuat tekrar ettiği sürece gizlilik politikasının işletilmesi veri sorumlusu için gereksiz bir yüktür. Bu politikanın mevzuata uygunluğunun sürekli kontrolünü sağlamak zaman kaybıdır. Üstelik gizlilik politikası firmanın yapısına göre kurgulanmamışsa herhangi bir etkinliği de bulunmamaktadır. Gizlilik politikası mutlak zorunluluk olarak düşünülmemeli, firmanın ihtiyaçları ve sınırları belirlendikten sonra kurallar şekillendirilmelidir.
Kurum sayfasını incelemek için buraya, KVKK Uyum Danışmanlığı teklifi almak için buraya tıklayınız.
