Yıllardır üzerinde çalışılan ve ‘fişleme’ kriterleriyle tartışma konusu olan Kişisel Verilerin Korunması Tasarısı, şirketler açısından yeni yükümlülük ve sorumluluklar getiren hükümlerle Meclis’e sunuldu. Tasarıda işveren ve şirket yöneticilerinin “veri işlemeleri” için öngörülen “meşru amaç, meşru menfaat” kavramları tartışılıyor. Tasarı yasalaşırsa Veri Koruma Kurumu’nda Veri Sorumluları Sicili tutulacak.
Şirketler, bir veri sorumlusunu kurula bildirecek. Veri sorumlusu, kişisel verilerin işleme amaçlarını ve araçlarını belirleyen kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olacak. Yasadaki hükümlerin uygulanmasından veri sorumluları sorumlu olacak ve gerektiğinde onlar yargılanacak. Aynı kişi veya kurum hem veri sorumlusu hem veri işleyen olabilecek.
Örneğin bir muhasebe şirketi kendi personeliyle ilgili “veri sorumlusu” sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından “veri işleyen” kabul edilecek. Bu durumda veri sorumlusu, hizmet verdiği şirket yetkilileriyle birlikte “müştereken” sorumlu tutulacak. Veri sorumlusunun kimlik ve adres bilgileri, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin aktarılabileceği alıcı veya alıcı grupları, veri güvenliğine ilişkin alınan önlemler, kişisel verilerin işlendikleri amaç için gerekli azami süreler sicile kayıt başvurusunda bildirilecek.
“Amacın meşru olmasını” denetleyici kurul takip edecek. Belirttikleri amaçlar dışında veri işlemeleri halinde veri sorumlusu cezalandırılacak. Bir hazır giyim mağazasının müşterilerinin kimlik ve iletişim bilgilerini işlemesi meşru amaç sayılırken, kan gruplarının işlemesi meşru kabul edilmeyecek. Bir hakkın tesisi, kullanılması veya korunması için kişisel veriler işlenebilecek. Bir şirketin kendi çalışanınca açılan davada ispat için bazı verileri kullanması veya kısıtlı bir kişinin haklarının korunması amacıyla vasinin veya kayyumun, kısıtlının mali bilgilerini tutması hukuka uygun sayılacak.
Rıza olmadan hangi veri toplanacak?
*Askerlik yapacak kişilerin bazı özel sağlık bilgilerinin ilgili yasa hükümleri uyarınca işlenmesi; hastanelerin, eczanelerin ya da Sosyal Güvenlik Kurumu’nun hastalarla ilgili veri işlemesi bu kapsamda değerlendirilecek.
*Bir sendika, kendi faaliyet alanına ve amacına ilişkin sadece sendika üyeliğiyle ilgili verileri işleyebilecek. Buna karşın üyelerin sağlık veya din ya da mezhebine yönelik kişisel verileri toplayamayacak.
*Bir şirket sahibi, çalışanlarının terfileri, maaş zamları veya sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev dağıtımında esas alınmak üzere kişisel bilgilerini toplayabilecek.
*Engelli çalışanın özel tüketim vergisinden muaf özel donanımlı araç almak hakkından yararlanabilmesi için engelliliğine ilişkin sağlık raporlarının vergi dairesince edinilmesi ve işlenmesi bu kapsamında değerlendirilecek.
*Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca işlenebilecek.
Sağlık personeli izlemede
Sağlık Bakanlığı’nca toplanan verilere, ilgili kişilerin kendileri veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak sistem kurulacak. Ayrıca sağlık personeli istihdam eden kamu kurumlarıyla özel sağlık kuruluşları ve doktorlar, tüm sağlık personelinin bilgilerini ve personel hareketlerini Sağlık Bakanlığı’na güncel olarak bildirecekler.
Hürriyet