Tek sorumlu ''veri sorumlusu'' mu? Veri işleyenin yükümlülükleri

Son zamanlarda Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yayınlanan veri ihlali bildirimlerinde dikkat çeken bir husus var; ihlallerin veri işleyenin gerekli tedbirleri almaması sebebiyle gerçekleşmesi.
Tek sorumlu ''veri sorumlusu'' mu? Veri işleyenin yükümlülükleri

21 Ağustos - kvkkarar.com - Verini Koru
kvkkarar.com ile birlikte

Türkiye'nin ilk KVKK arama motoru: KVKK ARAR Hiç araştırdığınız bir dava konusunda saatlerce örnek karar aradığınız oldu mu? Muhtemelen "evet" cevabını verdiniz. İşte KVKK Arar , kişisel veriler alanında aradığınız kararlara saniyeler içerisinde ulaşabilmeniz için onlarca KVK Kurumu ve GDPR kararlarını sizin için filtreliyor, özetliyor ve size sunuyor. KVKK Arar 'ı kullanarak: 📌 Kişisel Veriler alanında verilmiş tüm kararları ihlal konusu, tarih, ihlal edilen kanun maddesi ve sektör başlıklarında filtreliyor, 📌 Avrupa ülkelerinde GDPR kapsamında verilmiş farklı dildeki kararların Türkçe özetlerini size sunuyor, 📌 KVK Kurumu tarafından yayımlanmamış "Sadece KVKK Arar'da" etiketine sahip karaları size listeliyor, Dahası: Yeni yayınlanan KVK Kurumu kararlarına aynı gün kvkkarar.com adresinden ulaşabiliyorsunuz. Bu hafta yayınlanan kararlar: Karar 1 , Karar 2 . KVKK Arar'ı 15 gün ücretsiz denemek için aşağıdaki butondan "APOSTO" kodu ile aboneliğinizi başlatabilirsiniz. ÜCRETSİZ DENEYİN

Daha fazlasını öğren

Öncelikle veri sorumlusu ve veri işleyen kavramlarını hatırlamakta fayda var:

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade ediyor.

Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışında yer alan gerçek veya tüzel kişiler. Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işler ve veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişi olabilir.

Günümüzde veri sorumluları, bilgi teknolojileri, insan kaynakları, arşivleme, reklam ve analiz gibi çeşitli ihtiyaçlarını karşılamak için veri işleyenlerden hizmet alabilmekte. Bu noktada veri sorumlularının da hizmet aldıkları veri işleyenlerin gerekli veri güvenliği tedbirlerini aldıklarından emin olmaları gerek. Uygulamada veri sorumlularının yükümlülükleri ön planda olsa da, bir kurumda veri güvenliğinin tamamıyla sağlanması adına veri işleyenlerin yükümlülükleri göz ardı edilmemeli. Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) veri güvenliğine ilişkin yükümlülükleri düzenleyen 12. maddesi gereği veri işleyenler de kişisel verilerin güvenliğinin sağlanması konusunda veri sorumlusuyla müştereken sorumlu tutuluyor. Bir diğer ifadeyle veri işleyenler de kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma noktasında kanunen yükümlü. Avrupa Birliği Genel Veri Koruma Tüzüğü’nde (‘’GDPR’’) de veri işleyenin verilerin güvenliğinden sorumluluğu özel olarak düzenleniyor.

Aynı veri işleyen sebebiyle veri ihlali yaşayan 8 şirketin bildirimi ile gündeme gelen bu yükümlülükleri gelin birlikte inceleyelim:

1- Veri sorumlusunun talimatlarına uygun hareket etme yükümlülüğü (GDPR m. 28/III-a)

Veri sorumlusu, kişisel veri işleme sözleşmesiyle; (i) kişisel verilerin toplanması için sistemlerinin veya metotların kullanılacağı, (ii) kişisel verilerin hangi yöntemle saklanacağı, (iii) kişisel verilerin aktarımının hangi yöntemle yapılacağı, (iv) taraflar arasındaki mal veya hizmet alımına ilişkin sözleşmedeki amaca ve süreye bağlı kalacak şekilde işleneceği hususları kararlaştırılabilir.

GDPR m. 28/III-a ile yazılı dokümanlara dayanması kaydıyla veri işleyenin, veri sorumlusunun talimatlarına uygun bir veri işleme yapmasının zorunlu olduğu hükme bağlanmış. Bu yükümlülüğünün tek istisnası, kanundan kaynaklanan haller olacaktır.

2- Sır saklama yükümlülüğü (Kanun m. 12/IV, GDPR m. 28/III-b)

Veri işleyen, kişisel veri işleme faaliyetlerini, veri sorumlusu ile yapmış olduğu kişisel veri işleme sözleşmesi kapsamında gerçekleştirebilir ve bu sözleşmenin ifası sırasında edindiği bilgileri de bir başkasına açıklayamaz ve işleme amacı dışında kullanamaz. Bunun için şirketler, ilgili veri işleme faaliyetinde görev alacak çalışanlarına bu konuda eğitimler vermeli ve mümkünse gizlilik taahhütnamesi imzalatmalı. Çalışanların bu yükümlülüğü sözleşmenin sona ermesinden sonra da devam edecektir.

3-Veri işleyenin veri güvenliğini sağlama konusunda alacağı tedbirlerin tespiti (Kanun m. 12/II, GDPR m. 28/III-c)

Veri sorumlusu ve veri işleyen, veri güvenliğinin sağlanmasından müştereken sorumlu kabul ediliyor. Bu nedenle veri işleyenin hangi teknik ve idari tedbirlerin alacağı veri sorumlusu tarafından özel olarak belirtilebilir.

4- Şahsen ifa yükümlülüğü (GDPR m. 28/III-d)

GDPR, alt veri işleyen kullanılmadan önce veri sorumlusunun yazılı rızasının alınması gerektiğini belirtirken, Türk hukukunda alt işleme konusunda bir düzenleme bulunmuyor. Ancak, herhangi bir düzenlemenin bulunmuyor olması, asıl veri işleyenin mevcut sorumluluğunu ortadan kaldırmamakta.

5- Veri işleyenin ilgili kişilere haklarının kullandırılmasına ilişkin olarak uygun tedbirlerin alınması konusunda veri sorumlusuna yardım etme yükümlülüğü (GDPR M. 28/III-e)

İlgili kişinin veri sorumlusuna başvurmak amacıyla, veri işleyene başvuruda bulunması halinde söz konusu başvurunun veri sorumlusuna iletilmesi gerekir. Bu yükümlülük veri işleyen tarafından yerine getirilmediğinde, ilgili kişilerin başvuruları yanıtsız kalmış olacak, dolayısıyla veri sorumlusu zarara uğrayacaktır.

6- Veri işleyenin veri ihlallerinin bildirilmesi konusunda veri sorumlusuna yardım etme yükümlülüğü (GDPR M. 28/III-f)

Veri işleyenin faaliyet alanında meydana gelecek bir ihlalin, öncelikle veri sorumlusuna iletilmesi, veri sorumlusunun bildirim yükümlülüğü konusunda önemli bir rol oynamaktadır.

7- Veri işleyenin sözleşmenin sona ermesi ile kişisel verileri silme veya iade etme yükümlülüğü (GDPR m. 28/III-g)

Veri sorumlusu ile veri işleyen arasındaki sözleşme ilişkisi sonlandığında, GDPR seçim hakkı veri sorumlusuna ait olmakla birlikte veri işleyene kişisel verilerin tamamını silmek ya da verileri veri sorumlusuna aktarma yükümlülüğü getirmiş durumda. Bu yükümlülük her ne kadar Türkiye’de yer almasa da, kişisel veri işleme sözleşmesi ile veri işleyenler için böyle bir yükümlülük düzenlenebilir.

8- Bilgilendirme ve iş birliğinde bulunma yükümlülüğü (GDPR M. 28/III-h)

Veri işleyen, sözleşme konusu işleme faaliyetinin yerine getirilip getirilmediği ya da işlemede hangi yöntemlerin izlendiğiyle ilgili olarak veri sorumlusuna bilgi ve hesap vermekle yükümlü tutuluyor.

9- Gerekli denetimlerin yapılmasına izin verme yükümlülüğü (Kanun m.12/3, GDPR m. 28/III-h)

Veri sorumlusu, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorunda. İşleme faaliyetlerinin denetlenmesi kapsamında, dolaylı olarak veri işleyenin de gerekli tüm bilgileri sağlama yükümlülüğü doğacaktır.

10- Aydınlatma yükümlülüğünün veri işleyene devri hâlinde veri işleyenin yükümlülükleri (Kanun, m. 10/I)

Kanun’un 10. maddesi, ilgili kişileri aydınlatma yükümlülüğünün veri sorumlusu tarafından başkasına devredilmesine imkan tanımakta. Veri sorumlusu eğer bu konuda veri işleyenini yetkilendirirse, ilgili kişileri aydınlatma yükümlülüğü de veri işleyenin yükümlülükleri arasında yerini alacaktır.

Özetlemek gerekirse, veri sorumluları her ne kadar gerekli uyum aksiyonlarını almış olsalar da, tam anlamıyla bir veri güvenliği sağlamak adına veri işleyenlerin yükümlülükleri konusunda da bilinçli olmalı. Veri işleyenler de veri işleme faaliyetlerinde sorumluluklarını yerine getirmeli, tek sorumlunun veri sorumlusu olmadığını unutmamalı.

Bu yazı Verini Koru gönüllüsü İrem Naz Yıldız tarafından hazırlanarak, 21.08.2023 tarihli bültenimizde yayınlanmıştır.

Hikâyeyi paylaşmak için:

Kaydet

Okuma listesine ekle

Paylaş

NEREDE YAYIMLANDI?

İngiltere'den Snapchat'e inceleme, Norveç ve Finlandiya'dan Rusya'ya veri transferi yasağı

Reklam Kurulu'ndan dark patterns incelemesi, Birleşik Krallık vs. Snapchat, Rusya'ya yaptırımlar mahremiyet alanında da hız kesmiyor. Yukarıdakiler ve daha fazlası bu sayımızda...

21 Ağu 2023

kvkkarar.com ile birlikte
canva

YAZARLAR

İrem Naz Yıldız

Yazar @ Verini Koru

Veri Koruma ve Mahremiyet Gündemi

Sivil toplum kuruluşu Verini Koru'nun ekibi, Türkiye'de ve dünyada kişisel verilerin korunması alanında yaşanan gelişmeleri yakından takip ediyor ve her Pazartesi sizlerle buluşturmak için bültenler hâline getiriyor.

İLGİLİ OKUMALAR