Bireylerin izni olmadan kişisel verileri işleyebilir miyim?
Temmuz 20, 2023 | 60,00 EUR | cevaplandı Tobias Helbig
Sayın Veri Koruma Hukuku Avukatı,
umuyorum ki benim konum hakkında bana yardımcı olabilirsiniz. Adım Fred König ve küçük bir işletme işletiyorum, burada düzenli olarak müşterilerimizin kişisel verilerini işliyoruz. Şimdiye kadar mağdurların iznini almadık çünkü bunun gerekli olmadığını düşündük. Ancak şimdi endişelerim var, acaba geçerli veri koruma düzenlemelerine karşı mı geliyoruz.
Firmamızda müşteri verilerini isimler, adresler, telefon numaraları ve e-posta adresleri gibi bilgileri içeren bir iç veritabanında saklıyoruz. Bu bilgileri müşteri tabanını yönetmek ve onları güncel teklifler ve kampanyalar hakkında bilgilendirmek için kullanıyoruz. Şimdiye kadar müşterilerin verilerini işlemek için açık bir izin almadık.
Kaygım, kişisel verileri mağdurların izni olmadan işleyerek Genel Veri Koruma Yönetmeliği'ne (GDPR) muhtemelen karşı geldiğimizi düşünmemdir. Bu nedenle, müşterilerin verilerini işlemeye başlamadan önce onların iznini almak için yasal olarak zorunlu olup olmadığımızı bilmek istiyorum. Eğer bu gerekli ise, mağdurların iznini yasal olarak almak için hangi adımları atmamız gerekiyor?
Önceden desteğiniz için teşekkür ederim ve konumum hakkındaki değerlendirmenizi merakla bekliyorum.
Saygılarımla,
Fred König
Sayın Kral,
Şirketinizde kişisel verilerin işlenmesi ile ilgili talebiniz için teşekkür ederim. Veri koruma hukuku avukatı olarak size yardımcı olmaktan memnuniyet duyarım ve veri koruma hukuku konusundaki endişelerinizi açıklığa kavuşturabilirim.
Öncelikle, kişisel verilerin işlenmesinin Genel Veri Koruma Yönetmeliği'ne (GDPR) göre temelde yalnızca yasal bir dayanağın varlığında mümkün olduğunu bilmek önemlidir. Kişisel verilerin işlenmesi için yasal dayanaklardan biri, ilgili kişilerin rızasıdır, GDPR'nin 6. Maddesi 1. Fıkrası (a) bendine göre. Bu, temelde müşterilerinizin verilerini işlemeye başlamadan önce rızalarını almanız gerektiği anlamına gelir.
Müşterilerinizin adları, adresleri, telefon numaraları ve e-posta adresleri gibi kişisel verileri sakladığınız ve pazarlama amaçları için kullandığınız durumda, ilgili kişilerin rızasını almak gereklidir. Bu tür bir rıza olmaksızın GDPR'ye aykırı davranış riskiyle karşı karşıya kalabilir ve ciddi para cezaları ile karşılaşabilirsiniz.
Müşterilerinizin rızasını hukuki olarak almak için, bunun gönüllü, bilgilendirici, belirgin ve açık bir şekilde gerçekleştiğinden emin olmalısınız. Müşterilerinizin veri işleme amacı, veri türü, saklama süresi ve GDPR'ye göre hakları hakkında bilgilendirilmeleri gerektiği anlamına gelir. Ayrıca, rızanın net bir eylemle (örneğin, bir kutuyu işaretleyerek) aktif bir şekilde verildiğinden ve rızanın her zaman geri alınabilir olduğundan emin olmalısınız.
Web sitenizde veri işleme hakkında şeffaf bir şekilde bilgi veren ve müşterileriniz için bir rıza seçeneği sağlayan bir gizlilik politikası yayınlamanız önerilir. Ayrıca, rızaların belgelenip kanıtlanabileceğinden emin olmak için iç süreçler uygulamanız önemlidir.
Bu bilgilerin size yardımcı olmasını umarım ve şirketinizde kişisel verilerin işlenmesi için rızaların alınması konusundaki endişelerinizi açıklığa kavuşturur. Başka sorularınız veya hukuki destek gereksinimleriniz varsa, memnuniyetle yardımcı olurum.
Saygılarımla,
Tobias Helbig, Veri Koruma Hukuku Avukatı
