Duyurular

Kurulun 2019/10 sayılı Kararına göre, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusu, veri ihlalini öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içerisinde “Kişisel Veri İhlal Bildirim Formu”nu kullanarak ihlali Kurula bildirmelidir. 

Bilgi kaynağı için tıklayınız.

Bir veri ihlali olması halinde Kanun, sorumluluğu veri sorumlusuna yüklemiştir.

Kanunda veri işleyen; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlanmıştır. Buna göre veri işleyen, veri sorumlusu adına, ondan aldığı yetki ve talimata göre kişisel veri işlemektedir.

Kanunun 12. maddesine göre; veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

Buna göre, veri işleme faaliyeti kapsamında bir ihlal olması halinde, bu ihlalin veri sorumlusu veya veri işleyen tarafından gerçekleştirilip gerçekleştirilmediğine bakılmaksızın, Kanun sorumluluğu veri sorumlusuna yüklemiştir. Dolayısıyla Kanun, ihlalden sorumlu olarak her zaman veri sorumlusunu görmektedir. Ancak veri sorumlusunun, bu ihlalin veri işleyen tarafından gerçekleştirildiğini tespit etmesi durumunda, aralarındaki sözleşme gereği ihlalin veri işleyeni ilgilendiren kısmı ile ilgili olarak veri işleyene rücu edebilmesi mümkündür.

Örneğin veri sorumlusu bir şirketin muhasebe kayıtlarını herhangi bir muhasebe şirketi tutuyorsa, söz konusu kişisel verilerin işlenmesine ilişkin olarak Kanunda belirtilen tedbirlerin alınması hususunda veri sorumlusu şirket, muhasebe şirketiyle birlikte müştereken sorumlu olacaktır. Ancak veri sorumlusu şirketin çalışanlarına ait kayıtlarla ilgili olarak veri işleyen konumundaki muhasebe şirketi dâhilinde bir ihlal gerçekleşirse bu ihlal ile ilgili sorumluluk veri sorumlusu olan şirkete ait olmakla birlikte, veri sorumlusu şirket muhasebe şirketine rücu edebilecektir. 

Bilgi kaynağı için tıklayınız.

Kanuna göre veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, veri sorumlusu, söz konusu tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

Ayrıca, veri sorumluları ile veri işleyenler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkalarına açıklayamaz, işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. Kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, kişisel verilerin hukuka aykırı işlenmesini önlemek, kişisel verilere hukuka aykırı erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla veri işleyen de veri sorumlusu ile birlikte sorumludur.

Bilgi kaynağı için tıklayınız.

Kişisel veriler hangi işleme şartına dayanarak işlenirse işlensin, yine de aydınlatma yükümlülüğü yerine getirilmelidir.

“Kanunlarda açıkça öngörülmesi”, Kanunun 5. maddesinde sayılan kişisel veri işleme şartlarından birisidir. Aydınlatma yükümlülüğü ise Kanunun 10. maddesinde açıklanan ve işleme şartı ne olursa olsun tüm kişisel veri işleme faaliyetleri kapsamında yerine getirilmesi gereken bir yükümlülüktür.

Bu nedenle, kişisel veri işleme faaliyeti kanunlarda açıkça öngörülse bile veri sorumlusunca ilgili kişilere yönelik aydınlatma yükümlülüğü yerine getirilmelidir.

Bilgi kaynağı için tıklayınız.