malıdır . Buna göre süreç boyunca gerçekleştirilecek olan kişisel veri işleme faaliyetlerinde ( i ) hukuka ve dürüstlük kurallarına uygun olma ; ( ii ) doğru ve gerektiğinde güncel olma ; ( iii ) belirli , açık ve meşru amaçlar için işlenme ; ( iv ) işlendikleri amaçla bağlantılı , sınırlı ve ölçülü olma ve ( v ) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun bir şekilde hareket edilmelidir . Bu kapsamda şirketler söz konusu ihbar süreçlerinde ihbarda bulunan veya hakkında ihbarda bulunulan kişiyle ilgili olarak yalnızca amaç ile bağlantılı olduğu ölçüde sınırlı kişisel veri işlenmesini ve amaç ile bağlantılı olmayan kişisel verilerin işlenmesinin önüne geçilmesini sağlamaya dikkat etmelidir . Bu doğrultuda şirketler veri minimizasyonunu sağlamak adına ihbarda bulunan kişinin kimliğinin önemi olmayan durumlarda bu çalışana ait verilerin anonimleştirilerek |
KVKK ’ nın 10 . maddesi uyarınca , kişisel verilerin elde edilmesi sırasında veri sorumlusunun gerçekleştireceği kişisel veri işleme faaliyetlerine ilişkin olarak ilgili kişilere karşı aydınlatma yükümlülüğünü yerine getirmesi gerekmektedir .
amaç için gerekli olan süre kadar saklaması ve bu sürenin sona ermesinin ardından derhal silme , yok etme ve anonim hale getirme yoluyla imha edilmesi gereği olacaktır .
KVKK ’ nın 10 . maddesi uyarınca , kişisel verilerin elde edilmesi sırasında veri sorumlusunun gerçekleştireceği kişisel veri işleme faaliyetlerine ilişkin olarak ilgili kişilere karşı aydınlatma yükümlülüğünü yerine getirmesi gerekmektedir . Bu kapsamda söz konusu ihbar mekanizmasının faaliyete geçmesinden ve bu kapsamda kişisel veri toplanmasından önce şirketler tarafından aydınlatma metinleri aracılığıyla gerçekleştirilmesi planlanan kişisel veri işleme faaliyetlerine dair bilgilendirme yapılmalıdır .
|
Şirketler nezdinde ihbar mekanizmalarının kurulmasını kişisel verilerin korunması açısından değerlendirdiğimizde karşımıza çıkan bir diğer önemli konu , yapılacak kişisel veri işleme faaliyetlerinin hukuki dayanağının belirlenmesidir . KVKK ’ nın 5 . maddesi uyarınca genel prensip olarak kişisel veriler ilgili kişinin açık rızası olması halinde işlenebilmekte olup aynı hükümde sınırlı olarak sayılan hukuka uygunluk sebeplerinden birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesi mümkündür . Söz konusu hukuka uygunluk sebepleri arasında yer alan “ ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla , veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması ” durumunun ihbar mekanizmaları süreçlerinde çalışanların kişisel verilerinin işlenmesinde uygulama alanı bulabileceği değerlendirilebilir . Kurum ’ un kararlarına istinaden söz konusu hukuka uygunluk sebebinin uygulanabilmesi için işveren şirketin meşru menfaati ile ihbar mekanizması kapsamında kişisel verileri işlenecek olan çalışanlarının temel hak ve hürriyetleri arasında bir denge testi yapılmalıdır . Bu kapsamda ( i ) kişisel verilerin işlenmesi sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olması ; ( ii ) söz konusu menfaate ulaşılabilmesi bakımından kişisel veri işlenmesinin zorunluluk |
7 |
Bu amaçla sunulacak olan aydınlatma |
arz etmesi ; ( iii ) meşru menfaatin hâli- |
||
metinlerinde ( i ) veri sorumlusunun ve |
hazırda mevcut , belirli ve açık olması ; |
||
varsa temsilcisinin kimliği ; ( ii ) kişisel |
( iv ) ilgili kişinin temel hak ve hürriyet- |
||
kullanılacağı bir sistem kurgulanmasını değerlendirebilirler . |
verilerin hangi amaçla işleneceği ; ( iii ) işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği ; ( iv ) kişisel veri toplamanın yöntemi ile |
leri ile yarışabilir nitelikte olan meşru menfaatin elde edilmesi halinde bir yarar sağlanacak olması ve kişisel veri işlenmeksizin başkaca bir yol ve yön- |
|
Dikkat edilmesi gereken bir diğer önemli nokta da şirketler tarafından ihbar süreçleri kapsamında toplanan kişisel verilerin yalnızca |
hukuki sebebi ve ( v ) KVKK ’ nın 11 . maddesinde yer alan ilgili kişi hakları konularına ilişkin bilgi verilmesi gerekmektedir . |
temle bu yararın ortaya çıkmasının mümkün olmaması ; ( v ) şeffaf ve hesap verilebilir nitelikleri haiz kriterlerin esas alınması ; ( vi ) ilgili kişinin başta kişisel verilerinin korunması olmak |