Kişisel verilerin sadece toplanırken değil aktarılırken de cimri davranmak gerektiği ve veri işleme amacıyla bağlı olunması gerektiği artık Kurul tarafından da onaylanmış durumda. Talep eden Kurum mahkeme dahi olsa talep edilenden daha fazla olacak şekilde gönderilmemesi gerekiyor. Veri içeren belgeleri elemeden, örneğin istenen belgenin olduğu dosyanın tamamını mahkemeye göndermemelisiniz.
Veri Paylaşımında Sadece Gerekli Bilgileri Aktarmak Esastır
Veri koruma konusunda sadece veri toplarken değil, paylaşırken de seçici olmamız gerekiyor. Kişisel Verileri Koruma Kurulu, bu konuda net bir tavır sergiliyor: Sadece talep edilen veriyi paylaşmalıyız, fazlasını değil. Bu, mahkeme veya diğer kurumlar için de geçerli.
Kişisel Verileri Koruma Kurulu’nun kararında, sadece talep edilen verinin paylaşılmasının altı çiziliyor. Bu, veri koruma kanununun spesifik maddelerine dayanıyor. Yani, bir mahkeme veya kamu kurumu belge talep ettiğinde, sadece talep edilen bilgileri göndermeliyiz. Özellikle iş uyuşmazlıklarında, çalışanların dosyaları mahkemeye sunulurken sadece ilgili belgelerin paylaşılması gerektiğini unutmamalıyız.
Mahkemelere, bilgi talep eden kamu kurum ve kuruluşlarına kişisel veri aktarımının hukuki sebebi Kanun’un 8/2 fıkrasında atıfta bulunulan Kanun’un 5/2 (ç) bendinde düzenlenen “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu” olmasıdır.
Peki veri sorumlusu bu hukuki sebeplere dayalı olarak işlenme amacının gerektirdiğinden fazla veri aktarımı yapabilecek midir?
Kurul Kararında da yer aldığı üzere HAYIR. Söz konusu bu karar, iş uyuşmazlıklarına örnek teşkil edebilecek mahiyettedir. İşe iade, işçilik alacakları gibi iş uyuşmazlıklarda çalışanların özlük dosyaları mahkeme ile paylaşırken çalışana ve/veya aile yakınlarına ilişkin uyuşmazlık konusu olmayan bilgi ve belgeler paylaşılabilmektedir. Mahkeme ve bilgi talep eden kamu kurum kuruluşlarına veri aktarımı yapılırken işlenme ve aktarım amacını aşan veri aktarımından kaçınılmalı, Kurul Kararında da görüldüğü üzere sadece talep edilen kadarıyla veri aktarımı yapılmalıdır.
Sonuç
Veri koruma, sadece topladığımız veriler için değil, paylaştığımız veriler için de son derece önemli. Kurul’un kararı bu konuda net bir rehberlik sunuyor. Uzmanlık alanımız olan bu konuda, sadece gerekli olan bilgileri paylaşarak hem kanuna uyumlu hareket ederiz hem de veri güvenliğini sağlarız.
Daha detaylı bilgi için Kişisel Verileri Koruma Kurulu’nun kararını bu linkten inceleyebilirsiniz.