Her alanda kişisel verilerin korunmasına dikkat edilmesi gerekiyor. İşe alımlardan e-ticaret sitelerindeki alışveriş süreçlerine, hastanelerde sağlık işlemlerinden etkinlik ve organizasyonlardaki kişisel verilerin elde edilmesi, işlenmesi ve korunmasına dair ciddi sorumluluklar bulunuyor. Özellikle organizasyon dönemlerinde şirketlerin kişisel veriler özelinde daha dikkatli olmaları gerektiğini aktaran Siberasist Genel Müdürü Serap Günal, yapılan yanlışların ve alınmayan önlemlerin karşılığında şirketlerin ceza alabileceklerini belirtiyor. Bu konuda şirketlerin birçok alanda olduğu gibi etkinlik ve organizasyonlarda da katılımcıların kişisel verilerine KVKK’nın işaret ettiği tedbirler doğrultusunda yaklaşım sergilemesi gerektiğini ifade eden Günal, bir etkinliğin kişisel verilerin güvenliğine uygun gerçekleşmesi konusunda şirketlerin dikkat etmesi gereken önemli noktaları sıralıyor.
1. Etkinlik öncesi veri sorumlusunun belirlenip, kaydının yapılmış olması gerekiyor. Etkinlikler öncesi, Veri Sorumluları siciline kayıt yaptırma zorunluluğu bulunan her gerçek ve tüzel kişinin VERBİS kaydını tamamlaması gerekiyor. Verbis kayıt yükümlüğü bulunmasına rağmen kayıt yaptırmayan gerçek ve tüzel kişiler 1 milyon TL’ye kadar para cezaları ile karşılaşabiliyorlar.
2. Etkinlik öncesi aydınlatma yükümlülüğünün yerine getirilmesi gerekiyor. Etkinliği düzenleyen şirketlerin, katılımcıların kişisel verilerini işlemeden önce bilgilendirmesi gerekiyor. Aydınlatma yükümlülüğünün kapsamında veri sahiplerine veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, verisi işlenen kişinin sahip olduğu haklar konusunda bilgilendirme yapılmak zorundadır. Aydınlatma yükümlülüğünün ihlali veri sorumlusunun ciddi yaptırımlara maruz kalmasına sebep olmaktadır.
3. Etkinlik sırasında açık rızanın alınması gerekiyor. Etkinlik öncesi veri sorumlusunun verilerini saklamak ve kullanmak için katılımcılardan izin almalı ve nasıl kullanılacağını şeffaf bir şekilde açıklamalıdır.
4. Katılımcıların gizliliğine dikkat edilmesi gerekiyor. Katılımcılar verilerini silmenizi ve verilerini üçüncü şahıslarla paylaşmayı durdurmanızı isteyebilir. Bu üçüncü şahıslar, talep üzerine verileri işlemeyi durdurmakla yükümlüdür.
5. İdari ve teknik tedbirlerin alınması gerekiyor. Gerekli idari ve teknik tedbirlerin veri sorumlusu tarafından yeterince alınmaması veri sorumlusunun yaptırıma uğramasına neden olabiliyor. Kişisel verilerin etkinlik sürecinde açık rızaya bağlı şekilde elde edilmesinden sonra verilerin korunması için KVKK’nın belirttiği tedbirlerin yerine getirilmesi gerekiyor.