Haklarınız İhlal Edildiğinde Veri Koruma Kurumuna Nasıl Şikayette Bulunulur
Bu makalede sizlere veri gizlilik haklarınız ihlal edildiğinde nasıl şikayette bulunacağınızı adım adım göstereceğiz.
- Eğer veri gizlilik haklarınızın ihlal edildiğine inanıyorsanız, bir veri koruma kurumuna şikayette bulunma hakkınız bulunmaktadır.
- Bunu yapmak için ihlalin ne olduğunu, ihlali yapanın kimliğini ve uygulanabilir yasaları belirlemeniz gerekmektedir.
- Daha sonra, ilgili DKK’ya gidip şikayette bulunmanız ve bir karar beklemeniz gerekiyor.
Aşağıdaki rehberde yukarıdakileri nasıl yapacağınızı adım adım anlatacağız.
Bir internet kullanıcısı olarak ve verilerinizin sahibi olarak, kişisel veri haklarınız ihlal edilirse ilgili veri koruma kurumuna şikayette bulunma hakkına sahipsiniz.
Veri koruma yasaları çevrimiçi gizliliğinizi korumaktadır. Ancak, milyarlarca web sitesi bulunmaktadır ve sadece bir avuç denetim ajansı bu web sitelerinin uyumluluğunu denetlemektedir.
Bu yüzden çevrimiçi kullanıcılar gizliliklerini korumak için proaktif bir yaklaşım benimsemelidir. Yetkililerin eylemlerine güvenmek, üzerlerindeki büyük görev göz önüne alındığında boşa olabilir.
Ayrıca, birçok veri koruma yasası, internet kullanıcılarına çevrimiçi gizliliklerine saygı göstermeyen işletmelere karşı gelme araçlarıyla donatmıştır. Eğer bir ihlal durumunda kendinizi korumak istiyorsanız, okumaya devam edin ve bunu nasıl yapacağınızı adım adım öğrenin.
Bir veri koruma kurumuna şikayette bulunma hakkınızın olduğunu açıklıyorum ve bunu yapmak için atmanız gereken adımları sıralıyorum.
Bu adımlar, ihlalin belirlenmesini, ihlal edeni ve uygulanabilir yasaları tanımlamayı ve veri koruma otoritenize şikayette bulunmayı içermektedir.
Ayrıca, gizliliğinizi korumak için proaktif bir yaklaşım benimsemenin öneminden bahsediyor ve ihlalleri düzeltme için öneriler sunuyorum.
İlgili Yasaları ve Veri Koruma Kurumunu Belirlemek
Öncelikle gerçek ihlalin ne olduğunu, ilgili veri koruma yasaları kapsamında bir ihlal olup olmadığını belirlemelisiniz. Eğer öyleyse, şikayeti sunacağınız ilgili veri koruma kurumuna başvurmalısınız.
İhlali Belirleyin
Birinin veri gizlilik haklarınızı ihlal ettiğini düşünüyorsunuz. Ne olduğunu anlayabilmek için ihlalin ne olduğunu tanımlayabilmelisiniz.
Örneğin:
- bir veri sızıntısı olduysa,
- verilerinizin izniniz olmadan üçüncü taraflara satıldıysa,
- veri konu talebinize cevap verilmediyse,
- verileriniz yasal bir dayanağı olmadan başka bir ülkeye aktarıldıysa,
- verileriniz izniniz ya da başka yasal bir dayanağı olmadan toplandıysa, vb.
Ne olduğunu bildiğinizde, çevrimiçi işletmenin eylemlerinden sizi koruyan geçerli bir yasanın olup olmadığını belirlemelisiniz.
Haklarınızın ihlal edildiğinden emin değilseniz, bir veri konu talebi göndererek bunu araştırabilirsiniz.
Verilerinizin izniniz olmadan veya başka bir yasal dayanakla toplandığından ve işlendiğinden şüpheleniyorsanız, bilgi talebinde bulunun veya işleme itiraz etmek için talepte bulunun.
Verilerinizin yeterli veri koruma standartlarına sahip olmayan bir ülkeye aktarıldığından endişeleniyorsanız, bilgi talebi sizin için gereken bilgiyi sağlayacaktır.
Eğer denetleyici cevap vermezse, burada bir şeyler yanlış olabilir. Bunun dışında, bir talebe cevap vermemek bir ihlaldir.
Uygulanabilir Yasaları Belirleyin
Veri koruma yasaları genellikle kullanıcı ile işletme arasındaki ilişkiye uygulanır. Bu, her ilişkide en az iki kuralın geçerli olduğu anlamına gelir – kullanıcının geldiği yerdeki kural ve şirketin geldiği yerdeki kural.
Pratikte, bir Fransız internet kullanıcısı Birleşik Krallık’taki bir işletme ile çevrimiçi olarak etkileşimde bulunursa, hem Fransız yasası hem de BK yasası uygulanır, her ikisi de AB’nin GDPR’ı ile uyumludur.
Kaynak: Avrupa Komisyonu
Eğer bir Kaliforniya kullanıcısı Montreal’den bir Kanadalı işletme ile etkileşimde bulunuyorsa, her iki ülkenin devlet ve federal yasaları geçerlidir. ABD’nin ulusal bir veri gizlilik yasası olmadığı için Kaliforniya yasası, Quebec yasası ve Kanada federal yasası geçerli olacaktır.
Kaynak: Kaliforniya Adalet Bakanlığı
Eğer bir Hintli kullanıcı bir Hintli işletme ile etkileşimde bulunuyorsa, sadece Hint yasası uygulanır. Ancak yazma anında Hindistan’da kapsamlı bir veri koruma yasası bulunmamaktadır, bu nedenle muhtemelen kullanıcı, diğer bazı ülkelerde olduğu gibi konu veri haklarından faydalanmıyor.
Dolayısıyla, haklarınızı ihlal edebilecek işletme ile olan ilişkinizle ilgili şu iki yasa uygulanmaktadır:
- Eğer varsa, vatandaşı ya da sakin olduğunuz ülkenin veri koruma yasası, ve
- Eğer varsa, işletmenin kayıtlı olduğu ülkenin veri koruma yasası.
İlgili Veri Koruma Otoritesini Belirleyin
Her veri koruma yasasını bir veri koruma otoritesi uygular.
Sizin durumunuz için ilgili olanlar uygulanabilir yasalara bağlıdır.
Bir Fransız kullanıcı ve BK işletmesi durumunda, Fransız kullanıcı CNIL‘e (Fransız veri koruma otoritesi) ya da ICO‘ya (BK veri koruma otoritesi) şikayette bulunabilir.
Kaliforniya kullanıcısı ile Quebec ve Kanada işletmeleri durumunda, kullanıcı Kanada’daki otoritelere şikayette bulunabilir. Eğer CCPA (Kaliforniya Tüketici Koruma Yasası) geçerliyse, şikayet seçenekleri oldukça sınırlıdır.
Kaliforniya dışındaki kullanıcılar için, Amerika Birleşik Devletleri’nde neredeyse hiç koruma yoktur.
Veri gizliliği Hintli bir işletme tarafından ihlal edilen Hintli kullanıcının yazma anında yapabileceği çok bir şey yoktur, çünkü mevcut yasa kişisel veriler için yetersiz koruma sağlar.
İhlali Giderme Adımlarını Atın
Artık kişisel verilerinizin kötüye kullanıldığını ya da veri konusu haklarınızın ihlal edildiğini biliyorsunuz. O halde kendinizi koruma zamanı geldi.
Bu noktada elinizde birkaç seçenek var:
- Veri sorumlusundan ihlali gidermesini talep edin. Küçük bir ihlal için çok fazla gidip gelmekle uğraşmak istemiyorsanız, veri sorumlusuna bir e-posta gönderebilir, ihlalin farkında olduğunuzu belirterek davranışlarını düzeltmelerini talep edebilirsiniz.
Bu, ihlalin küçük olduğu durumlarda doğru bir yaklaşım olabilir. Size önemli bir zararı olmadığı için yetkililere şikayette bulunmaya değmez.Örneğin, bir veri sorumlusu sizin izniniz olmadan sizi telefonla arayarak bazı ürünler teklif ederse, izin vermediğinizi belirterek sizi aramamalarını söyleyebilirsiniz. Eğer uygun bir şekilde hareket ederlerse, önemli bir çaba göstermeden ihlali gidermiş olursunuz.
- Veri konusu talebinde bulunun. Bazen basit bir veri konusu talebi sizi koruyabilir.
Bu, veri sorumlusunun yanlış yaptığı şeyi düzeltemez ama gelecekte size nasıl davrandıklarını değiştirebilir.Eğer GDPR veya benzer bir yasa size ya da işletmeye uygulanıyorsa, taleplerin sizin için ne yapabileceğini görelim:
- İtiraz talebinde bulunun. İtiraz talebi, talep doğrultusunda veri sorumlusu ve işlemcilerinin veri işlemesini iyileştirmesine ya da durdurmasına neden olacaktır.
Telefon numaranızın işlenmesine itiraz ederseniz, sorumlu artık sizi aramak için onu kullanamaz. Eğer telefonunuzu sizi aramak dışında bir amaçla (örneğin kimliğinizi doğrulamak için) toplamışsa, bu hala veri gizlilik haklarınızın ihlalidir. Ancak, veri konusu talebi ileriye dönük veri işlemeyi önlemenizde size yardımcı olabilir. - Silme talebinde bulunun. Sorumludan hakkınızdaki tüm verileri silmesini talep edebilirsiniz. Verileriniz yoksa, artık onları işleyemezler.
- İtiraz talebinde bulunun. İtiraz talebi, talep doğrultusunda veri sorumlusu ve işlemcilerinin veri işlemesini iyileştirmesine ya da durdurmasına neden olacaktır.
- İlgili veri koruma otoritesine şikayette bulunun. Haklarınız ihlal edildiğinde şikayette bulunma her zaman bir seçenektir. İhlali gidermesi için veri sorumlusundan talepte bulunsanız ve bunu yapsalar bile bu hakkınızı kullanabilirsiniz.
Aynı zamanda bir şikayette bulunabilir ve ihlalin durdurulması için veri sorumlusuna itiraz ya da silme talebinde bulunabilirsiniz, eğer bu sizin özel durumunuz için uygun bir araçsa.Kaynak: Avrupa Komisyonu
Şikayetler, veri gizlilik yasalarına uymayan ve kullanıcılarının haklarını ihlal eden işletmelere karşı internet kullanıcıları (veya diğer kullanıcılar) tarafından kullanılmak üzere oluşturulmuştur. Bu nedenle, haklarınızın ihlal edildiğini makul bir şekilde düşündüğünüz herhangi bir zamanda bir şikayette bulunmakta özgürsünüz.
Veri Koruma Otoritesine Nasıl Şikayette Bulunulur?
Bu noktada, ihlalin farkında olduğunuzu ve geçerli yasaları ve ilgili veri koruma otoritelerini (DPA) bildiğinizi varsayıyoruz. Şimdi şikayetinizi sunma zamanı geldi.
İlgili DPA’nın web sitesine gidin. Her DPA’nın web sitesinde şikayet sunma hakkında bilgi içeren bir bölüm bulunmaktadır. Eğer böyle bir bölüm yoksa, iletişim sayfasından, e-posta, telefon veya başka yollarla onlarla iletişime geçebilirsiniz.
Genellikle, DPA’lar birçok farklı formda ve birçok farklı şekilde sunulan şikayetleri kabul eder.
Çoğu durumda, şikayetinizi web siteleri aracılığıyla sunma olanağını bulacaksınız. UK’nin ICO’su için bir örnek görebilir ve burada Fransa’da CNIL’in şikayetleri nasıl ele aldığını görebilirsiniz. Bir şikayette bulunmak oldukça kolay.
Eğer DPA’nızın web sitesi bir şikayette bulunma olanağı sunmuyorsa, UK ICO veya Fransız CNIL’in yaptığı gibi, posta, e-posta veya telefonla şikayette bulunun. Bu aşamada bazı hatalar yaparsanız, en kötü senaryoda DPA’dan biri size geri dönecek ve sizi doğru sürece yönlendirecektir.
Şikayeti doldurun. Çevrim içi olarak mevcut olan şikayet formları, DPA’nın olayı araştırması için gereken tüm bilgileri sizden isteyecektir. Tüm alanları en iyi bildiğiniz şekilde doldurmalı ve GÖNDER butonuna tıklamalısınız.
Eğer form mevcut değilse, herhangi bir form kılavuzunu takip etmeksizin bir şikayet yazabilirsiniz. Bu, hükümet otoritesine sunduğunuz diğer şikayetlere benzer olabilir. Sadece en azından şunları içerdiğinden emin olun:
- Adınız ve iletişim bilgileriniz
- İhlalde bulunan kişi veya kuruluş hakkında bilgiler, ve
- İhlalin tanımı.
Eğer DPA daha fazla ayrıntıya ihtiyaç duyarsa, size bazı sorularla dönüş yaparlar.
Şikayeti sunduktan sonra, beklemeniz gerekmektedir.
Kaynak: GDPR-Info.eu – Madde. 77 GDPR
Araştırma. DPA şikayetinizi aldığında, araştırmaya başlayacaklardır.
Yukarıda da belirtildiği gibi, daha fazla bilgi için size geri dönüş yapabilirler.
DPA, olayı araştıracak ve araştırmayı engellemeksizin paylaşılabilecek her türlü bulguyu sizinle paylaşacaktır. Bunun ne kadar süreceğini tahmin etmek mümkün değil. Her vakanın kendi özellikleri vardır ve bu, araştırmanın karmaşıklığını ve sonuç olarak süresini belirler. Bu aşamada sabırlı olmalısınız.
Bu araştırma, bir polis soruşturması gibi değildir. DPA’dan gelen kişiler sadece sıradan hükümet çalışanlarıdır ve durumunuzu inceleyip karar vereceklerdir. Vergi dairesi veya tüketici koruma organları ile benzer bir deneyim yaşayabilirsiniz.
Araştırmanın sonucu. Araştırma sona erdiğinde, birden fazla olası sonuç vardır:
- Dava reddedilir. Eğer DPA, veri gizlilik haklarınızın olmadığına ya da o dava için ilgili DPA olmadığına karar verirse, davayı reddeder. Bu konuda çok fazla bir şey yapamazsınız. Belki ilgili DPA’ya şikayette bulunmayı düşünmelisiniz.
- İhlal olmadığına karar verilir. Kanıtlar, veri sorumlusunun yasayı ve haklarınızı ihlal etmediğini gösteriyorsa, DPA sorumluya karşı harekete geçmez. İhlal yoksa, serbestler.
- İhlal olduğuna karar verilir. Böyle bir durumda, DPA bir ceza keser. GDPR cezası miktarı, ihlale, sorumlunun brüt yıllık gelirine ve DPA’nın gerçek cezayı belirlemesine yardımcı olan diğer faktörlere bağlıdır.
Hafif ihlallerde ve yasa izin veriyorsa, DPA bir uyarı, bir durdurma ve vazgeçme veya ihlalin etkilerini düzeltmek için başka bir tedbir alabilir. Ancak bu tür önlemler nadirdir. Çoğu durumda, ihlal edenler cezalandırılır.
Özetle
Kısacası, veri gizlilik haklarınızın ihlal edildiğini düşünüyorsanız, ilgili veri koruma otoritesine şikayette bulunabilirsiniz.
Öncelikle ihlali, ihlal edenin kim olduğunu ve sizin durumunuzda hangi yasaların geçerli olduğunu belirlemeniz gerekmektedir.
Sonra DPA’ya gitmeli, şikayetinizi sunmalı, işbirliği yapmalı ve kararı beklemelisiniz. Bu süre zarfında, ihlali düzeltmek için doğrudan ihlal edene başvurabilirsiniz. Sonuçta, işbirliği yapabilirler.
Tüm süreçte, veri gizlilik haklarınızı korumak için harekete geçmeniz gerektiğini unutmamak çok önemlidir. Yetkililerin her işletmenin yasalara uymasını sağlamasını beklemeyin. Bu asla olmayacak.
Dünya genelinde en proaktif DPA’lar bile her yasa dışı işletmeye karşı harekete geçmek için çok fazla kaynağa sahip değil.
Ama, harekete geçme fırsatlarıyla donatılmışsınız. Ve veri gizlilik haklarınız ihlal edildiğinde harekete geçmelisiniz.
Sıkça Sorulan Sorular
Bazı insanlar bu soruların cevaplarını faydalı buldu
GDPR şikayeti nasıl yapılır?
Öncelikle ihlali, suçluyu ve geçerli yasaları belirlemeniz gerekir. Ardından ilgili Veri Koruma Otoritesi (DPA) web sitesine gidip bir şikayette bulunmanız gerekmektedir. Genellikle doldurulması gereken bir çevrimiçi form olmalıdır. Eğer yoksa, DPA'yı arayabilir ve şikayette bulunma adımlarını adım adım nasıl yapacağınızı öğrenebilirsiniz.
Veri gizliliği ihlalini nereye bildirimde bulunabilirim?
Veri gizliliği ihlalini, ikamet ettiğiniz ülkenin ve/veya ihlal eden tarafın bulunduğu ülkenin Veri Koruma Otoritesi'ne bildirebilirsiniz. Ulusal Veri Koruma Otoriteleri genellikle web sitelerinde şikayet sunma için bir çevrimiçi form sağlar.
Veri koruma ihlali için dava açabilir miyim?
Çoğu yargı bölgesinde, geçerli veri koruma yasalarının ihlalinden dolayı zarar gördüyseniz, bir organizasyon veya işletmeden dava açma ve tazminat talep etme hakkınız vardır.