Bilgi Farkındalığı Eğitimi

Veri Koruma Yasası çalışanlara koruma sağlar ve işverenlerin çalışanlar hakkında özel bilgi toplarken uyması gereken kuralları listeler. Her kuruluş, Veri Koruma Yasasının tüm hükümleri hakkında çalışanlara eğitim sunması gereken bir mevzuata uyum programına sahip olmalıdır. Veri Koruma Yasasının genel olarak kuralları belirlediği unutulmamalıdır. Her kuruluş kendi ortamına göre kendi uyum gerekliliklerini belirlemelidir. Çalışanların yanı sıra işverenlerin de hakları ve sorumlulukları hakkında net bir fikre sahip olmalarını sağlayacak cevaplanması gereken birçok soru vardır.

Kişisel verileri işleyen kuruluş veya kişinin aşağıdaki üç ilkeye titizlikle uyması gerektiği öngörülmüştür.

• Veri toplama adil bir şekilde yapılmalı ve tüm yasal hükümlere uygun olmalıdır.

• Veri toplamanın hangi amaçla yapılacağı açıkça belirtilmelidir.

• Sadece eldeki konuyla ilgili veriler toplanmalıdır.

Evet, işverenin insanları verilerinin toplandığı konusunda bilgilendirmesi kaçınılmazdır. Ayrıca bu verilerin neden toplandığını da bilmelidirler. Aslında Kanun, verilerin toplanmasından önce bir bildirim yapılmasını şart koşmaktadır. Bireyler, şirketin bu şekilde toplanan verilerle tam olarak ne yapacağına dair bilgi sahibi olmalıdır. Bildirim çalışanın anlayabileceği bir dilde olmalıdır.

Hayır, DPA bilgilerin diğer taraflara ifşa edilmesini yasaklamaktadır. İfşaya izin verilen belirli yasal istisnalar vardır. Kanun, verilerin polis ve sosyal güvenlik sistemi de dahil olmak üzere üçüncü taraflarla paylaşılmadan önce bireyin özel olarak bilgilendirilmesi gerektiği konusunda çok açıktır. Kanun, verilerin kolluk kuvvetlerine ve yeni işverenlere ifşa edilmesinden önce üst yönetimden özel izin alınması gerektiği konusunda açıktır. Bir diğer önemli husus ise ifşanın, ifşayı talep eden kuruluşun gereksinimleriyle ilgili olması gerektiğidir. İfşa prosedürleri kurumdan kuruma farklılık gösterebilir.

Toplanan verilerin korunması için izlenecek prosedürleri listeleyen iyi çerçevelenmiş bir politika belgesi olmalıdır. Güvenlik önlemleri, ülke yasaları tarafından belirlenen uluslararası standartlara uygun olmalıdır. Çoğu zaman e-ticaret web siteleri aracılığıyla pazarlama amacıyla veri toplanmaktadır. Bu tür veriler de güvenlik önlemlerine tabi olmalıdır. Her türlü veri toplama işlemi DPA'nın yetki alanına girer.

Veri toplamanın mümkün olduğunca güncellenmesini sağlamak işverenin başlıca sorumluluğudur. Çalışanlar adreslerini değiştirmiş olabilirler. Verilerin güncellenmesi mümkün olduğunca yapılmalıdır.

Kanunda çok açık bir şekilde kişisel verilerin sadece gerekli olduğu sürece saklanması gerektiği belirtilmiştir. Bu nedenle, veri toplayanların açık ve net bir veri saklama politikasına sahip olmaları öngörülmektedir. Ayrıca, gerekli sürenin sona ermesinden sonra verilerin kalıcı olarak silinmesi sağlanmalıdır.

Veri toplama amaca özel olmalıdır. Örneğin, kredi işleme işiyle uğraşan bir banka veya finans kurumu, bir pazarlama şirketinin ihtiyaç duymayacağı bazı ekstra kişisel verilere ihtiyaç duyacaktır. Dolayısıyla, kredi işleme şirketinin gereksinimi bir kredi pazarlama şirketinin gereksiniminden farklı olacaktır. Aşırı bilgi paylaşımı kanun kapsamında yasaklanmıştır. Bu durum, aranan bilgi etnik nedenlerden dolayı ise daha da geçerlidir. Siyasi ve dini konular hassas konulardır ve bu nedenle dikkatle ele alınmalıdır. Benzer şekilde, sağlık veya cinsel tercihlerle ilgili konular, herhangi bir duyguyu incitmemek için tamamen farklı bir şekilde ele alınmalıdır.

Elektronik ortamda saklanan verilerin güvenliğini sağlamanın en iyi yolu onları şifrelemektir. Bu şekilde kurcalanamaz hale gelirler ve kolay bir şekilde çalınamazlar. Teknoloji muazzam bir hızla geliştiği için bu tür güvenlik mekanizmalarının sürekli olarak güncellenmesine de toplama şirketi tarafından özen gösterilmelidir. Bu tür veriler bir bulut sunucusunda da saklanabilir, böylece cihazın çalınması veya hasar görmesi durumunda geri alma işlemi kolaylaşır.

Personel faaliyetleri izlenebilir ancak DPA hükümlerinin geçerli olacağı ve işverenin çalışanın gizlilik haklarını ihlal etmemesi gerektiği unutulmamalıdır. Evet, CCTV'nin yanı sıra e-posta tarayıcıları da DPA tarafından belirlenen kural ve düzenlemelere uygun olması koşuluyla kullanılabilir. Personelin bu tür izleme tedbirleri hakkında bilgi sahibi olması gerektiğini söylemeye gerek yoktur. Sadece personelin dürüstlüğünden şüphe duyulduğunda işveren gizli izlemeye başvurabilir. Bu amaçla özel kurallar belirlenmiştir ve bunlara her açıdan uyulmalıdır.

Gizli izlemeye başvurmadan önce yasal tavsiye alınması tavsiye edilir. 10. Tüm prosedürlerin uygulanmasına rağmen veri ihlalleri olması durumunda izlenecek prosedür nedir? Kişisel veri toplamanın güvenliğini sağlamak Veri sorumlularının birincil sorumluluğudur. İhlallerin bildirilmesi söz konusu olduğunda, veri ihlalinin kime bildirileceğine dair kesin ve katı bir kural yoktur. İhlalin ICO'nun bilgisine sunulması her zaman daha iyidir.

Bunlar, kişisel veri toplama konularıyla bağlantılı olarak derhal açıklığa kavuşturulması gereken bazı sorulardı.