Her alanda ferdî bilgilerin korunmasına dikkat edilmesi gerekiyor. İşe alımlardan e-ticaret sitelerindeki alışveriş süreçlerine, hastanelerde sıhhat süreçlerinden aktiflik ve tertiplerdeki şahsî bilgilerin elde edilmesi, işlenmesi ve korunmasına dair önemli sorumluluklar bulunuyor. Bilhassa tertip periyotlarında şirketlerin şahsî bilgiler özelinde daha dikkatli olmaları gerektiğini aktaran Siberasist Genel Müdürü Serap Günal, yapılan yanlışların ve alınmayan tedbirlerin karşılığında şirketlerin ceza alabileceklerini belirtiyor. Bu bahiste şirketlerin birçok alanda olduğu üzere aktiflik ve tertiplerde da iştirakçilerin şahsî datalarına KVKK’nın işaret ettiği önlemler doğrultusunda yaklaşım sergilemesi gerektiğini söz eden Günal, bir aktifliğin şahsî bilgilerin güvenliğine uygun gerçekleşmesi konusunda şirketlerin dikkat etmesi gereken kıymetli noktaları sıralıyor.
1. Aktiflik öncesi data sorumlusunun belirlenip, kaydının yapılmış olması gerekiyor. Etkinlikler öncesi, Data Sorumluları siciline kayıt yaptırma mecburiliği bulunan her gerçek ve hukuksal kişinin VERBİS kaydını tamamlaması gerekiyor. Verbis kayıt yükümlüğü bulunmasına karşın kayıt yaptırmayan gerçek ve hukukî şahıslar 1 milyon TL’ye kadar para cezaları ile karşılaşabiliyorlar.
2. Aktiflik öncesi aydınlatma yükümlülüğünün yerine getirilmesi gerekiyor. Etkinliği düzenleyen şirketlerin, iştirakçilerin şahsî datalarını işlemeden evvel bilgilendirmesi gerekiyor. Aydınlatma yükümlülüğünün kapsamında data sahiplerine data sorumlusunun ve varsa temsilcisinin kimliği, ferdî dataların hangi emelle işleneceği, işlenen ferdî dataların kimlere ve hangi gayeyle aktarılabileceği, ferdî data toplamanın prosedürü ve tüzel sebebi, verisi işlenen kişinin sahip olduğu haklar konusunda bilgilendirme yapılmak zorundadır. Aydınlatma yükümlülüğünün ihlali bilgi sorumlusunun önemli yaptırımlara maruz kalmasına sebep olmaktadır.
3. Aktiflik sırasında açık isteğin alınması gerekiyor. Etkinlik öncesi bilgi sorumlusunun datalarını saklamak ve kullanmak için iştirakçilerden müsaade almalı ve nasıl kullanılacağını şeffaf bir biçimde açıklamalıdır.
4. İştirakçilerin saklılığına dikkat edilmesi gerekiyor. Katılımcılar datalarını silmenizi ve datalarını üçüncü şahıslarla paylaşmayı durdurmanızı isteyebilir. Bu üçüncü şahıslar, talep üzerine bilgileri işlemeyi durdurmakla yükümlüdür.
5. İdari ve teknik önlemlerin alınması gerekiyor. Gerekli idari ve teknik önlemlerin data sorumlusu tarafından gereğince alınmaması data sorumlusunun yaptırıma uğramasına neden olabiliyor. Ferdî dataların aktiflik sürecinde açık isteğe bağlı biçimde elde edilmesinden sonra bilgilerin korunması için KVKK’nın belirttiği önlemlerin yerine getirilmesi gerekiyor.
