Kişisel veriler, kimliği belirlenebilir bir gerçek kişi veya veri sahibi ile ilgili bilgilerdir. Hassas kişisel veriler, GDPR tarafından tanımlanan özel kategorilere giren verilerdir. Özel kategori verileri, aşağıdaki kategorilerden birine giren biri hakkında toplanan, çıkarılan veya tahmin edilen ayrıntıları içerir. Bu çıkarımın ne kadar kesin olduğuna ve bu çıkarımı bilerek yapıp yapmadığınıza bağlıdır.
GDPR, özel kategori verilerini şu şekilde tanımlar:
- Irk veya etnik kökene ilişkin kişisel veriler,
- Siyasi görüşlere ilişkin kişisel veriler,
- Dini veya felsefi inançlara ilişkin kişisel veriler,
- Sendika üyeliğine ilişkin kişisel veriler,
- Genetik veriler,
- Biyometrik veriler (tanımlama amacıyla kullanıldığı durumlarda),
- Sağlıkla ilgili veriler,
- Bir kişinin cinsel yaşamıyla ilgili veriler,
- Bir kişinin cinsel yönelimiyle ilgili veriler,
Hassas kişisel verilerle başa çıkmak için ipuçları
1. Hangi verilerin özel kategori verileri olduğu konusunda net olun
Nelerin hassas kişisel veriler (özel kategori verileri) olarak sınıflandırıldığı konusunda net olduğunuzdan emin olun. Genel olarak, daha önce Veri Koruma Yasası kapsamında olduğu gibi, ırk veya etnik köken, dini veya siyasi inançlar (sendika üyeliği dahil), sağlık, cinsel yaşam veya cinsel yönelim ile ilgili verileri içerir. Ancak GDPR kapsamında özel kategori verileri, genetik ve biyometrik verileri de içerir.
2. Mevcut veri süreçlerinizi değerlendirin
Firmanız tarafından şu anda hangi özel kategorideki kişisel verilerin toplandığını ve işlendiğini öğrenin. Meşru ve yasal mı?
3. İşleme için yasal dayanak konusunda net olun
Veri işlemenizin yasal dayanağını doğru bir şekilde kaydettiğinizden emin olun. Örneğin, açık rızanız olup olmadığı, belirli sözleşmelerin ifası için mi yoksa diğer belirli amaçlar için mi gerekli olduğu (kamu menfaati veya bir bireyin hayati menfaatleri gibi).
4. Verileri tutmanın etkisini değerlendirin
Bir Veri Koruma (DPIA) ve/veya Gizlilik Etki Değerlendirmesi (PIA) gerçekleştirin. Veri sahiplerinin haklarına veya özgürlüklerine yönelik yüksek bir riskin olduğu durumlarda hepimiz bunu yapmakla yükümlüyüz. Kişisel rızanın yeterli olmayabileceğini ve risklerin yüksek olduğu durumlarda veri koruma yetkilisi tarafından onaylanması için işlemeye ihtiyacınız olabileceğini unutmayın.
5. Sağlıkla ilgili verilere ekstra özen gösterin
Sağlık verilerinin tanımı GDPR kapsamında geniştir ve geçmiş, şimdiki veya gelecekteki fiziksel veya zihinsel sağlığı, bir vücut parçasının veya vücut maddesinin test edilmesinden veya incelenmesinden elde edilen bilgileri, genetik ve biyolojik örnekleri, hastalık veya riskle ilgili bilgileri, engelliliği, tıbbi geçmişi, klinik tedavi vb. Farklı AB Üye Devletlerinin de ayrı rejimleri olabileceğini unutmayın.
6. Cezai suç verileriyle
Cezai suç verileri GDPR kapsamında ayrı olarak ele alınmaktadır ve bu tür veriler artık daha büyük kısıtlamalara tabidir
Özel kategori verilerinin kötüye kullanılmasının sonuçları:
Facebook, İspanyol veri gizliliği düzenleyicisinden, “kullanıcılarının veya kullanıcı olmayanların onayını yeterince toplamadığını ve ciddi bir ihlal teşkil ettiğini” iddia ettiği genel ve belirsiz gizlilik politikası nedeniyle para cezası aldı.
Şirket, açık rıza almadan cinsiyet, dini inanç vb. konularda özel kategori verileri (hassas kişisel veriler) toplamış ve üçüncü taraf sitelerdeki kullanıcıları takip etmiştir.
Fransa’da Facebook, veri koruma düzenleyicisi CNIL tarafından, kullanıcı verilerini rızası olmadan veya yasal bir dayanak olmaksızın topladığı için 150 bin Euro para cezasına çarptırıldı.
Hollanda veri düzenleyicisi, Facebook’un reklamları hedeflemek için cinsel tercihlerle ilgili hassas kişisel verileri kullandığına, ancak herhangi bir mali ceza uygulamamayı seçtiğine dair kanıt da buldu.
İlginizi çekebilir:https://www.nesilteknoloji.com/kisisel-verilerin-islenmesi-nedir/
Yazar: Beyzanur Göktaş
