Av. Sevcen CAN & Av. Yasemin ÇORAK
Bir önceki yazımızda ülkelere, kişisel verilerin korunmasına ilişkin mevzuatlarını oluştururken yol gösterici olan uluslararası düzenlemelerden bahsetmiş, OECD Sınırötesi Veri Akışları Hakkında Yönlendirici İlkeler’i açıklamıştık (Lütfen bkz…). Bu yazımızda, global çapta öneme sahip bir diğer düzenleme olan APEC Gizlilik Çerçevesi’nden bahsedeceğiz. 2005 yılında yayınlanan bu düzenlemede, kişisel verilerin korunmasında aşağıdaki ilkelerin benimsenmesi gerektiği vurgulanmıştır;
1) Zararın Önlenmesi İlkesi (Preventing Harm Principle)
Kişisel verilerin korunmasına ilişkin politikalar, yasal mevzuat, denetimler, kampanyalar, eğitimler vb. hususlar bu verilerin suistimal edilmesini önleyecek şekilde tasarlanmalıdır.
2) Bildirim İlkesi (Notice Principle)
Kişisel verileri kontrolü altında tutanlar, kişisel verilerin sahiplerine, kendilerine ait verilerin toplanıp toplanmadığını, bu verilerin toplanma amaçlarını, açıklanacağı kişi veya kuruluşları, veri kontrolörünün kimliğini, yerini ve iletişim bilgilerini öğrenme ve verilerin kullanımına, açıklanmasına, erişilmesine ve düzeltilmesine ilişkin müdahalede bulunma olanağı sağlamalıdır.
3) Kişisel Verilerin Toplanmasının Sınırlı Olması İlkesi (Collection Limitations Principle)
Kişisel veriler, veri sahibinin rızası dahilinde ve hukuka uygun olarak, yalnızca kullanılacakları amaçlarla sınırlı olmak üzere toplanmalıdır.
4) Kişisel Verilerin Kullanılması İlkesi (Uses of Personal Information Principle)
Kişisel veriler yalnızca toplandıkları amaçlar için kullanılmalıdır.
5) Seçim İlkesi (Choice Principle)
Kişisel veri sahiplerine, kişisel verilerinin toplanmasına, kullanılmasına, açıklanmasına ilişkin seçim yapmalarını sağlayacak mekanizmalar açık, belirli, anlaşılır, ulaşılabilir şekilde sunulmalıdır.
6) Kişisel Verilerin Tamlığı İlkesi (Integrity of Personal Information Principle)
Kişisel veriler kullanılacakları amaç doğrultusunda gerektiği ölçüde doğru, eksiksiz ve güncel olmalıdır.
7) Güvenlik Tedbirleri İlkesi (Security Safeguards Principle)
Kişisel verileri kontrolü altında tutanlar verilerin yetkisiz şekilde erişimi, imha edilmesi, kullanılması, değiştirilmesi veya açıklanması gibi risklere karşın gerekli güvenlik önlemlerini almalıdır. Bu tedbirler tehlikenin şiddeti, verinin hassasiyeti ve içinde tutulduğu kaynağın niteliğine bağlı olarak periyodik şekilde gözden geçirilmelidir.
8) Erişim ve Düzeltme İlkesi (Access and Correction Principle)
Kişisel veri sahipleri, kişisel verileri kontrol altında tutanlardan;
– Kendilerine ait kişisel verileri toplayıp toplamadıklarını öğrenme,
– Kendilerine ait kişisel verilerin silinmesini, düzeltilmesini, eksikse tamamlanmasını ve değiştirilmesini talep etme hakkına sahip olmalıdır.
9) Hesap Verebilirlik İlkesi (Accountability Principle)
Kişisel verileri kontrol altında tutanlar, yukarıda sayılan ilkeler üzerinde etkili olabilecek tüm tedbirlere uymakla ve kişisel verilerin başka kişi veya kuruluşlara aktarılması durumunda, bu kişi veya kuruluşların da ilgili tedbirlere uymasını sağlamakla yükümlüdür.
İlgili yazılarımız için;
Kişisel Veri – Kişisel Verilerin Korunması
Kişisel Verilerin Korunması Kanunu Neleri Kapsar?
Kişisel Verilerin Korunmasının İhlal Edilmesi Halinde Uygulanacak Yaptırımlar
Kişisel Verilerin Korunması Kanunu Kapsamında Başvuru ve Şikayet
Kişisel Verilerin Korunması Kapsamında İlgili Kişilerin Hakları Nelerdir?
Kişisel Verilerin Korunması Kanunu
Kişisel Verilerin İşlenmesi ve Genel İlkeler
Kişisel Verilerin İşlenme Şartları
Özel Nitelikli Kişisel Verilerin İşlenme Şartları
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi