Kişisel verilerin silinmesi yükümlülüklerine aykırılık
Veri koruma veya Genel Veri Koruma Yönetmeliği (GVKY) ihlalleri yüksek para cezaları ile cezalandırılabilir. Hamburg Veri Koruma ve Bilgi Özgürlüğü Sorumlusu (HmbBfDI), kişisel verileri zamanında silmediği için alacak yönetimi sektöründen bir şirkete 900.000 Euro para cezası uygulamıştır.
Genel Veri Koruma Yönetmeliği’nin (GVKY) yürürlüğe girmesiyle birlikte şirketler için veri koruma gereksinimleri önemli ölçüde artmıştır. Bu nedenle şirketler, kişisel verilerin işlenmesi sırasında verilerin korunması amacıyla uygun önlemleri almak zorundadır. Ayrıca, ilgili kişilerin verilerinin süresi içinde silinmesi yönünde bir hakkı bulunmaktadır. Veri koruma hukukuna veya GVKY’ye aykırı hareket edilmesi durumunda, şirketlerin ağır para cezaları ile karşılaşabileceği, MTR Legal avukatlık firması tarafından, özellikle IT hukukunda danışmanlık hizmeti veren, belirtilmektedir.
Alacak yönetimi sektöründe şirketlerin incelenmesi
Kişisel verilerin saklanması, özellikle borçlarını ödemekte zorlanan borçlular için büyük bir yük oluşturabilir. Zira bu bilgiler düzenli olarak bilgi bürolarına da iletilir. Bu da örneğin bir sözleşme yapmayı önemli ölçüde zorlaştırabilir. Bu nedenle, borçlular için verilerin ilgili sürelerin sonunda yeniden silinmesi büyük önem taşır.
Hamburg, alacak yönetimi alanında önemli bir merkezdir. Hamburg Veri Koruma ve Bilgi Özgürlüğü Sorumlusu (HmbBfDI), bu nedenle odak incelemesi kapsamında alacak yönetimi alanından güçlü şirketleri mercek altına almıştır.
Genel olarak olumlu bir sonuç
Bu kapsamda, şirketlerde kişisel verilerin nasıl saklandığı ve işleme tabi tutulduğu esasen incelendi. Veri koruma sorumlusu ve ekibi, bazı şirketleri yerinde iş alanlarında ziyaret etti. Bu süreçte veri korumacılar ağırlıklı olarak olumlu bir sonuç çıkardı. Özellikle, şirketlerin ilgili kişilere karşı şeffaflığının arttığı 12 Kasım 2024 tarihli basın açıklamasıyla duyuruldu.
Veriler çok uzun süre saklandı
Ancak bazı istisnalar da bulunmaktadır. Müfettişler, bir şirkette silme süreleri çoktan dolmuş olmasına rağmen veri setlerinin saklandığını tespit ettiler. Şirket, altı haneli kişisel veri setlerini hukuki bir dayanak olmadan saklamıştır. Bu durum, GVKY’nin Madde 5, Paragraf 1, lit. a, 6 Paragraf 1 ihlalini oluşturur. Veriler üçüncü taraflara aktarılmamış olsa da, yasal saklama sürelerinin sonunda dahi 5 yıl daha saklanmış ve veritabanından silinmemiştir, Hamburg Veri Koruma Sorumlusu’nun açıklamalarına göre.
Bu ihlal için veri koruma sorumlusu, şirkete 900.000 Euro para cezası kesmiştir. Şirket, para cezasını kabul etmiştir. Şirketin veri koruma ihlalinin ortadan kaldırılması sürecinde denetim otoritesi ile iş birliği yapması, cezanın miktarında dikkate alınmıştır. Benzer ihlaller başka bir şirkette de tespit edilmiştir. Ancak burada incelemeler henüz tamamlanmamıştır.
Bir müşteri ilişkisi sona erdiğinde, saklanan veriler derhal veya saklama sürelerinin sonunda silinmelidir. Bu silme yükümlülüklerine uyulmaması maliyetli olabilir, işte Hamburg merkezli şirket örneği. Böyle ihlallerden kaçınmak için, şirketler etkili bir veri koruma uyumluluğu entegre etmelidir.
Verilerin zamanında silinmesi
Hassas kişisel verilerle hukuka uygun bir şekilde başa çıkmak için, uygunsuz saklanmayı ve böylece GVKY’yi ihlal etmelerini önlemek amacıyla sistematik bir silme konsepti geliştirilmelidir. Verilerin toplama aşamasında, ne kadar süreyle saklanabileceği ve işlenebileceği net olmalıdır. Bu şekilde veri koruma ihlalleri nedeniyle para cezalarından kaçınılabilir ve müşterilerin güveni artırılabilir.
Bu süreçte veri koruma, yalnızca müşterilerle olan dış ilişkilerde değil, aynı zamanda çalışanlarla olan iç ilişkilerde de önemli bir rol oynamaktadır. Çünkü çalışanların da işverenlerinden kişisel verilerinin kullanımı hakkında bilgi alma hakkı bulunmaktadır.
MTR Legal avukatları, veri koruma hukuku ve IT hukukunun diğer konularında danışmanlık hizmeti verir. Lütfen, bize ulaşın!
