Kişisel veriler, ancak Kişisel Verileri Koruma Kanunu ve diğer veri gizlilik kanunlarına uygun olarak işlenebilir.

Kişisel verilerin işlenmesinde zorunlu tutulan ilkeler, KVKK’nın 4. maddesi dikkate alınarak aşağıda açıklanmıştır.

Veriler,

  • Hukuka ve dürüstlük ilkelerine uygun bir şekilde,
  • Doğruluğundan emin olunduktan sonra,
  • Güncelliği doğrulanıp,
  • Açıkça belirtilmiş amaçlar doğrultusunda,
  • İşlenme amacı ile bağlantılı olarak,
  • Sınırlı bir amaç doğrultusunda,
  • Ölçülü bir şekilde,
  • İşlendikleri amaç için gerekli olan sürede muhafaza edilmeleri koşuluyla
    işlenmelidir.

veri aktarımı görseli bir laptoptan diğer laptopa belge aktarımı işlemi resmedilmiştir

Kişisel veriler, KVKK’nın 5. maddesi uyarınca, kişilerin açık rızası olmadan işlenemez. Ancak, aşağıda belirtilen şartlardan birinin varlığı halinde veri işlenmesi için açık rıza şart koşulmamaktadır:

  • Kanunlarda açıkça öngörülmüş bir veri kullanımı ise,
  • Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan bir kişinin verisi ise,
  • Kişinin rızası, hukuki olarak geçersiz sayılıyorsa,
  • Verinin işlenmesi, kişinin veya bir başkasının hayatının korunması için zorunlu kabul ediliyorsa,
  • Veri sorumlusu, hukuki yükümlülüğünü yerine getirebilmek için veriyi işlemek durumunda kaldıysa,
  • İlgili kişinin, kişisel verisini aleni olarak paylaşması halinde,
  • Veri sorumlusunun, ilgili kişinin temel hak ve özgürlüklerini engellemeden, kendi meşru menfaatleri için veri işlemesini gerekli kılan durumunda.

KVKK’nın 6. maddesine göre, özel nitelikli kişisel verilerin ise ilgili kişinin açık rızası olmadan işlenmesi yasaktır.

Özel nitelikli kişisel veriler, ancak Kurul tarafından belirlenen önlemlerin alınması halinde, kanunlarda öngörülen hallerde, ilgili kişinin açık rızası aranmaksızın işlenebilir.

Kişisel Verilerin Silinmesi veya Anonim Hale Getirilmesi

Kişisel veriler, KVKK'nın 7. maddesine göre, kanun hükümlerine uygun olarak işlense bile, işlenmesini gerektiren sebeplerin ortadan kalkması halinde, ilgili kişinin talebi üzerine veri sorumlusu tarafından silinebilir veya anonim hale getirilebilir.

Kişisel Verilerin Aktarılması

Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt içinde bir başka firmaya, başka bir veri tabanına veya yurt dışındaki üçüncü bir partiye ve başka bir veri tabanına aktarılamaz.

Ancak, KVKK'nın 8. ve 9. maddelerine göre, açık rıza şart koşulmayan durumların meydana gelmesi halinde, ilgili kişinin açık rızası aranmadan aktarılabilir.

Eğer kişisel verilerin yurt dışına aktarılması talep ediliyorsa, ancak yeterli korumanın bulunduğu ülkelere Kurulca belirlenerek aktarılabilir.

Yabancı bir ülkede yeterli koruma bulunup bulunmadığına karar verilirken KVKK'nın 9. maddesine göre;

  • Türkiye’nin taraf olduğu uluslararası sözleşmeler,
  • Veri aktarımında karşılıklılığın söz konusu olup olmadığı,
  • Kişisel verinin niteliği, işlenme amacı ve geçerlilik süresi,
  • Verinin aktarılacağı ülkenin konuyla ilgili uygulamaları,
  • Veri sorumlusu tarafından taahhüt edilen önlemler
    dikkate alınır.