Bununla birlikte "Kılavuz İlkeler";
Hususlarını vurgulamaktadır. "Kılavuz İlkeler" özellikle aşağıdaki hususlara açıklık getirmektedir:
1. GDPR'ın Uygulanması "Kılavuz İlkeler'in" açık
bir şekilde ifade ettiği üzere
aşağıdaki durumlarda GDPR
uygulanmamaktadır:
2. Veri İşlemenin Kanuna
Uygunluğu Görüntü aygıtları yoluyla kişisel
veri işlemenin yasal dayanağının meşru
menfaate dayandığı durumlarda:
|
3. Görüntü Kayıtlarının
İfşası "Kılavuz İlkeler", verinin herhangi bir şekilde ifşa edilmesinin (iletim, yayma veya başka bir şekilde erişilebilir hale getirme yoluyla ifşa edilmesi) münferit bir veri işleme türü olarak kabul edildiğini ve veri sorumlusunun bu tür verilerin işlenmesi için yasal bir dayanağa sahip olması gerektiğini vurgulamaktadır. Ayrıca, üçüncü ülkelere veya uluslararası kuruluşlara aktarım yapıldığında, GDPR'nin 44. maddesi (ve dolayısıyla 5. bölüm) hükümleri uygulanacaktır. Bu husus özellikle, gözetim için yaygın olarak kullanılan ve AEA (Avrupa Ekonomik Alanı) dışında veya üçüncü bir ülkede veri aktarımı ve depolaması muhtemel olan İnternet Protokolü (IP) kameraları ile ilgilidir. Bu nedenle veri sorumluları, bu tür bir ifşanın meydana geldiği yerlerde uygun önlemleri aldıklarından emin olmalıdır. |
4. Biyometrik Veriler De Dahil Olmak Üzere Özel Nitelikli Kişisel Verilerin İşlenmesi "Kılavuz İlkeler", görüntü gözetiminin her zaman özel nitelikli kişisel verilerin işlenmesi olarak değerlendirilmediğini açıkça belirtir. GDPR'nin 9. maddesi yalnızca görüntü kayıtlarının özel nitelikli kişisel verileri belirlemek için işlenmesi halinde uygulanır. Örneğin; bir etkinlikte yer alan veri sahibinin belirlenebilir görüntülerinden politik fikirlerinin anlaşılabilmesi gibi. Ancak kişinin görüntü kaydı, o kişinin belirlenmesine katkıda bulunmak amacıyla teknik olarak özellikle işlenmemişse tek başına biyometrik veri olarak kabul edilemez. Bunun özel nitelikli kişisel veri olarak kabul edilebilmesi için, veri gerçek bir kişiyi benzersiz bir şekilde tanımlamak amacıyla kullanılmalıdır. 5. Görüntü Aygıtları Yoluyla Kişisel Verileri İşlenen Veri Sahiplerinin Hakları"Kılavuz İlkeler", veri sahiplerinin tüm haklarının görüntü kayıtları kullanılarak kişisel verilerin işlenmesi bakımından da geçerli olacağını belirtmekte ve bu haklardan bazıları ile ilgili birtakım açıklamalarda bulunmaktadır: Erişim Hakkı: Görüntü gözetimi ile ilgili erişim haklarına uymak, görüntülerden belirlenebilen diğer veri sahipleri bakımından ters bir etki yaratarak bu kişilerin haklarını olumsuz etkileyebilir. Söz konusu üçüncü kişileri korumak için görüntü düzenleme ve karıştırma yöntemleri kullanılmalıdır. Veri sorumluları ayrıca veri sahiplerine, bu hususlarda yardımcı olacakları makul zaman dilimlerini belirlemek üzere başvurabilirler. Silme Hakkı: EDPB, bir fotoğrafı, eski haline döndürülebilme özelliği olmadan belirlenebilir bir görüntü oluşturacak şekilde yeniden dönüştürerek bulanıklaştırmanın GDPR hükümleri uyarınca kişisel verinin silinmesi olduğunu belirtmektedir. İtiraz Hakkı: Görüntü gözetimi durumunda bu hak alana girişten önce, içerdeyken veya izlenen alandan ayrıldıktan sonra kullanılabilir. Bu durum, veri sorumlusunun meşru gerekçeleri bulunmadığı sürece, kişilerin belirlenebileceği bir alanı izlemenin yalnızca aşağıdaki durumlardan birinin varlığı halinde hukuka uygun olduğu anlamına gelir: (i)Veri sorumlusunun talep halinde kameranın kişisel verileri işlemesini derhal durdurabiliyor olması veya (ii)Şayet izlenen alan kısıtlı ise, veri sorumlusunun alana girmeden önce veri sahibinin onayını almış olması. Doğrudan pazarlama amacıyla görüntü gözetimi kullanılıyorsa (pratikte pek olası olmamakla birlikte), itiraz hakkı mutlaktır. Bilgilendirilme Hakkı: EDPB, GDPR'nin gerektirdiği bilgi yoğunluğunun ışığında katmanlı bir yaklaşım önermektedir. En önemli bilgiler ilk katman olan uyarı işaretinde ve diğer zorunlu bilgiler de ikinci katmanda gösterilmelidir.
6. Saklama ve Silme YükümlülükleriKişisel verilerin çoğu durumda, tercihen birkaç gün sonra otomatik olarak silinmesi önerilir. Depolama süresi ne kadar uzun belirlenmişse (özellikle 72 saatin ötesinde), amacın meşruiyetini ve depolamanın gerekliliğini kanıtlamak da bir o kadar zor olacaktır. Saklama süreleri açıkça belirlenmeli ve belirlenen süre amaca ulaşmak için gerçekten gerekli olmalıdır. 7. Teknik ve Organizasyonel ÖnlemlerKılavuz, teknolojinin yanı sıra organizasyonel uygulamaların tasarım özelliklerine (gözetim ile ilgili olmayan alanların maskelenmesine veya karıştırılmasına izin veren sistemler veya üçüncü kişilerin fotoğraflarının düzenlenmesi gibi) gizlilik önlemlerinin getirilmesini de tavsiye ederek ve varsayılan ayarların veri işlemeyi en aza indirmesini önererek "Privacy by Design" (tasarım yoluyla gizlilik: geliştirilen projelerin başından itibaren mahremiyet ve veri korumasına uygun sistematik geliştirilmesinin teşvik edilmesi yaklaşımına verilen genel isim) ilkesine de değinmektedir. Buna göre bir kuruluşun ticari bir görüntü kayıt sistemi edinmeyi planlaması durumunda, bu gereksinimleri satın alma şartnamesine dahil etmeleri gerekmektedir. "Kılavuz İlkeler", veri sorumlularının görüntü gözetim politikalarını ve prosedürlerini oluştururken yapması gereken şu hususları içerir: sistemin yönetiminden kimin sorumlu olduğu, görüntü gözetiminin amaç ve kapsamı, uygun ve yasaklı kullanımlar, şeffaflık önlemleri, güvenlik olaylarıyla ilgili arşiv depolaması da dahil olmak üzere görüntünün nasıl ve ne süreyle kaydedildiği; kimlerin ne zaman ve hangi ilgili eğitimleri alacakları, kimlerin hangi amaçla görüntülere erişim hakkının bulunduğu, görüntüleri kimin izlediği ve veri ihlali durumunda ne olacağı gibi operasyonel amaçlar, üçüncü kişilerin kayıt talep etmek için izlemesi gereken prosedürler ve bu talepleri reddetmek veya yerine getirmek için gerekli prosedürler, olay yönetimi ve kurtarma prosedürleri. Son olarak, GDPR'nin 35. maddesinin gereklilikleri de
göz önünde bulundurulduğunda, birçok
görüntü gözetimi vakasının bir VKED
(Veri Koruma Etki Değerlendirmesi) gerektireceğini
varsaymak makul görünmektedir. Bunun gerekli olduğu
durumlarda VKED, yukarıda bahsedilen meşru menfaat
değerlendirmesine dayanacaktır. |
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.