Birleşik Krallık'ta Kişisel Veri ve Veri Koruma Yasası
Kişisel Veri Nedir?
Kişisel veriler, kişiden elde edilmiş olan, ona ait bilgiler ve verilerdir. Bu bilgiler, müşteri, ziyaretçi, kamu görevlisi, üye, topluluk üyesi, çalışan dahil herkese ait olabilir. Kişisel veriler gizli olmak zorunda değildir; bir veri kamuya açık olabilir ancak yine de kişisel veri olabilir; mesleki yaşamla ilgili her türlü bilgi dahi kişisel veri olarak kabul edilebilir. Kişisel veriler anonim bilgi i ermez, ancak bir kişinin saklı detayları ya da diğer erişilebilir bilgileriyle kimliği tespit edilebiliyorsa, bu yine de kişisel veri olarak kabul edilecektir.

Veri İşleme Nedir?
Verilerle yapılan hemen hemen her şey veri işlemi olarak sayılır; toplama, kaydetme, saklama, kullanma, analiz etme, birleştirme, ifşa etme veya silme hepsi işlemeye dahildir.

Kontrolör, Denetleyici ve İşeyici

Kontrolör, Birleşik Krallık GDPR'a uyulmasından, veri koruma ilkelerine uygunluğun gözetilmesinden sorumludur ve işlemenin, Birleşik Krallık GDPR'ına uygun olarak gerçekleştirilmesini diğer bir deyişle yürütülmesini sağlamak için uygun teknik ve kurumsal önlemleri alabilmelidir. 2018 Veri Koruma Yasası'nın 6. Maddesinde belirtildiği üzere, böyle bir yükümlülük altında olan ve yalnızca buna uymak için verileri işleyen herkes bir kontrolör olacaktır.

Denetleyici, verilerin nasıl ve neden toplanıp kullanılacağına karar veren kişidir veya kurumdur. Bu genellikle bir kuruluş olabileceği gibi, bir birey olabilir (örneğin, bağımsız bir tüccar). İşveren adına hareket eden bir çalışan mevcut ise burada denetleyici işveren olacaktır.

İşleyici
, verileri kontrolör/denetleyici adına ve talimatlarına uygun olarak işleyen ayrı bir kişi veya kuruluştur (çalışan değil). İşleyicilerin bazı doğrudan yasal yükümlülükleri vardır, ancak bunlar kontrolörün/denetleyicinin yükümlülüklerinden daha sınırlıdır.

Bilgi Komisyonu Ofisi (Information Commissioner's Office) (''ICO'')'nin rolü nedir?

ICO, Birleşik Krallık'ta verinin korunmasına ilişkin unsurları düzenleyerek, tavsiye ve rehberlik hizmetleri sunmaktadır. İyi uygulamaları teşvik eder ve ihlal raporlarını düzenler. Ayrıca, denetimler düzenleyerek, iletilen şikayetleri inceler, uygunluğu izler ve gerektiği yerlerde yaptırım eylemi gerçekleştirir.

UK GDPR

UK GDPR, Birleşik Krallık Genel Veri Koruma Yönetmeliğidir. 01 Ocak 2021'de yürürlüğe giren bir Birleşik Krallık yönetmeliğidir. Kolluk kuvvetleri ve istihbarat kurumları dışında Birleşik Krallık'ta yer alan kurumların veyahut bireylerin kişisel verileri herhangi bir durumda işlemesi durumundaki temel ilkeleri, hakları ve yükümlülükleri belirler.

01 Ocak 2021 tarihi öncesinde gerçekleştirilen ve işlenen her türlü kişisel veriler AB GDPR'ı (Genel Veri Koruma Yönetmeliği (EU) 2016/679) esas almakta olup, 01 Ocak 2021 tarihi itibari ile gerçekleştirilen ve işlenen her türlü kişisel veriler UK GDPR'a göre düzenlenmek zorundadır. Ancak şunu belirtmek gerekir ki, Avrupa'da faaliyet gösteren bir şirket, Avrupa'daki bireylere UK üzerinden mal veya hizmet sunması durumunda veyahut Avrupa'daki bireylerin davranış ve hareketlerini izlemesi durumunda UK GDPR ve AB GDPR'a uyması gerekebilecektir.

Veri Koruma Yasası (Data Protection Act 2018 "DPA")

2018 Veri Koruma Yasası, kişisel bilgilerinizin kuruluşlar, işletmeler veya hükümet tarafından nasıl kullanıldığını kontrol eder.

Kişisel verileri kullanmaktan sorumlu olan herkes, 'veri koruma ilkeleri' adı verilen katı kurallara uymak zorundadır. Bilgilerin:

Adil, yasal ve şeffaf bir şekilde kullanıldığından
Belirli, açık amaçlar için kullanıldığından
Yeterli, ilgili ve yalnızca gerekli olanla sınırlı bir şekilde kullanıldığından
Doğru ve gerektiğinde güncel tutulduğundan
Gerekenden daha uzun süre saklanmadığından
Yasa dışı veya yetkisiz işleme, erişim, kayıp, imha veya hasara karşı koruma dahil olmak üzere uygun güvenliği sağlayacak şekilde ele alındığından emin olmalıdırlar.

Daha hassas bilgiler için daha güçlü yasal koruma söz konusudur, örneğin:

Irk
Etnik köken
Siyasi görüşler
Dini inançlar
Sendika üyeliği
Genetik
Biyometrik (tanımlama için kullanıldığında)
Sağlık
Cinsel yaşam veya yönelim
Cezai hükümler ve suçlarla ilgili kişisel veriler için ayrı güvenceler vardır.

DPO Atama Zorunluluğu Var Mıdır?
Birleşik Krallık GDPR uyarınca, aşağıdaki durumlarda bir DPO atamanız gerekmektedir;

-Bir kamu makamı veya organıysanız (yargı yetkileri dahilinde hareket eden mahkemeler hariç);
-Temel faaliyetlerin, bireylerin büyük ölçekli, düzenli ve sistematik olarak izlenmesini gerektirir (örneğin, çevrimiçi davranış takibi)

Bu hem kontrolörler hem de işlemciler için geçerlidir. Zorunlu olmasa bile, bir DPO atayabilirsiniz. Bir DPO'yu gönüllü olarak atamaya karar verirseniz, pozisyon ve görevlerin aynı gerekliliklerinin zorunlu atanmada geçerli olan her unsurun geçerli olduğunu bilmelisiniz.

UK GDPR'ın sizi bir DPO atamaya mecbur edip etmediğine bakılmaksızın, kuruluşunuzun Birleşik Krallık GDPR kapsamındaki yükümlülüklerinizi yerine getirmek için yeterli personel ve kaynağa sahip olduğundan emin olmalısınız. Bununla birlikte, bir DPO, tavsiyelerde bulunarak ve uyumluluğu izlemenize yasalar dahilinde çalışmanıza yardımcı olabilir. Bu şekilde, bir DPO'nun kuruluşunuzun veri koruma yapısında önemli bir rol oynadığı ve hesap verebilirliği artırmaya yardımcı olduğu görülebilir.

Kişisel Verileri İşlenen Kişilerin Hakları
2018 Veri Koruma Yasası uyarınca, hükümetin ve diğer kuruluşların kişiler hakkında hangi bilgileri sakladığını öğrenme hakkı vardır. Bunlar şunları yapma hakkını içerir:

Verilerinizin nasıl kullanıldığı hakkında bilgi sahibi olma
Kişisel verilere erişim
Yanlış veri güncellemesi
Verilerin silinmesi
Verilerinizin işlenmesini durdurmak veya kısıtlamak
Veri taşınabilirliği (verilerinizi farklı hizmetler için almanızı ve yeniden kullanmanızı sağlar)
Belirli durumlarda verilerinizin nasıl işlendiğine itiraz etme hakkı

Bir kuruluş kişisel verileri aşağıdaki amaçlarla kullandığında da kişilerin hakları vardır:

Otomatik karar verme süreçleri (insan katılımı olmadan)
Örneğin davranışı veya ilgi alanları tahmin etmek için profil oluşturma

Öncelikle kişiler kuruluşların sahip oldukları bilgilerin bir kopyasını istemek için ilgili kuruluşla iletişime geçmeleri gerekmektedir. Bir kamu kuruluşuysa, Veri Koruma Görevlisine (DPO) yazılması gerekmektedir. Ayrıntıları, kuruluşun gizlilik bildiriminde yer alıyor olması gerekmektedir. Kuruluşun DPO'su yoksa veya kime yazacağı bilinmiyor ise, hazırlanılan mektubu şirket sekreterine ileterek bildirim işlemi yapılmış sayılacaktır. Kuruluş, kişinin hakkında sahip olduğu verilerin bir kopyasını en kısa sürede ve en geç 1 ay içinde kişiye vermesi gerekmektedir. Belirli durumlarda, örneğin özellikle karmaşık veya çoklu taleplerde, kuruluşun veri sağlaması 2 ay daha sürebilir. Bu durumda, kişiye;

Talebinden itibaren 1 ay içinde,
Neden gecikme yaşandığını söylemeleri gerekir.

Kişilerin Bilgileri Ne Zaman Saklanabilir?
Kuruluşların kişilerin bilgilerini saklamasına izin verilen bazı durumlar vardır. Örneğin bilgiler;

Bir suçun önlenmesi, tespiti veya soruşturulması
Ulusal güvenlik veya silahlı kuvvetler
Verginin tahakkuk veya tahsili
Adli veya bakanlık atamaları ile ilgiliyse kuruluşların bilgi saklamasına izin verilir.
Bir kuruluş, bilgileri neden sakladığını söylemek zorunda değildir.

Şikayet Prosedürü

Kişiler verilerinin kötüye kullanıldığını veya onu elinde bulunduran kuruluşun güvenliğini sağlamadığını düşünmeleri durumunda, ilgili kuruluşlar ile iletişime geçmeli ve onlara işbu durumu bilgilendirmeleri gerekmektedir. Kuruluşlardan gelen yanıtlardan memnun olunmaması durumunda veya herhangi bir tavsiyeye ihtiyaç olması durumunda (ICO) ile iletişime geçilmelidir.

LONDRA
5 Chancery Lane WC2A 1LG
T:
+4402074067504

ISTANBUL
Barbaros Mah, Varyap Meridian C Blok
D: 172 Ardıç Sok. 34746, Atasehir
T:
+902165101260

info@guden.av.tr