Sorular Cevaplar Kitapçığı İncelemesi – 1

Av. Hasan Selçuk Turan

Kişisel Verileri Koruma Kurumu "6698 Sayılı Kişisel Verilerin Korunması Kanunu'nun Uygulanmasına Yönelik Soru ve Cevaplar" adında bir kitapçık yayınladı. Kitapçıkla kişi, kurum ve kuruluşların ortak sorularına cevap verilmeye çalışılmış. Öncelikle belirtmek lazım ki olması gereken bir çalışmaydı. Tüm dünyada konuların daha doğru ve daha kolay anlaşılması için anlatımı basit olan ve doğrudan soruları cevaplayan kitapçıklar yayınlanır. Bu kitapçığın yayınlanması ile Kurum tarafından yayınlanan Kurum'un bazı konulara bakış açısını öğrenmiş olduk.

Bizim de hazırladığımız "50 soruda Kişisel Verilerin Korunması" adlı bir kitapçığımız var. Bu kitapçığı Nisan 2016'da paylaşmıştık.

Bu kitapçıktaki bazı ifadelerle bizim yazdığımız ifadeler çelişiyor. Hem bu çelişkileri giderirsek hem de eleştirilerimizi ve düşüncelerimizi paylaşırsak bir sonraki kitapçık daha iyi olacaktır. Ayrıca bizim yanıldığımızı düşündükleri konulara cevap verirlerse biz de doğrusunu öğrenmiş oluruz.

Kitapçık Kurulu Bağlamıyor

Kitapçığın hemen başında bir uyarı var.

Bu çalışma, 6698 sayılı Kişisel Verilerin Korunması Kanununun ve ilgili mevzuatın ilgililer tarafından anlaşılmasını kolaylaştırmak ve bu alanda farkındalık oluşturmak üzere derlenen soruları ve açıklamaları içermektedir. Kişi, kurum veya kuruluşların Kanun karşısındaki durumuna ilişkin yorum yapılmasını gerektirecek hususlarda, bu çalışmada yer alan açıklamalar dayanak gösterilemez. Bu çalışmada yer alan açıklama, bilgi ve verilere dayanarak alınacak kararların sonuçlarından Kişisel Verileri Koruma Kurumu sorumlu tutulamaz.

Yani kısaca diyor ki bu kitapçığa göre amelde bulunmayın. Yani "Biz her ne kadar bu kitapçığı yayınlamış olsak da, burada yazanlara dayanarak bir şey yaparsanız, bu sizin sorumluluğunuz olur. "Kişisel Verileri Koruma Kurumu kitapçığında şöyle diyordu biz de o yüzden böyle yaptık savunmasını yapamazsınız".

Demek ki bu kitapçık öyle başvuru kaynağı olmamalı. Sadece fikir edinmek için bakılabilir. Sorularımızın cevabını bulsak bile kitapçıkta var diye bir karar almamalıyız, uzman birisine sormalıyız. Kurum sorumluluk kabul etmiyor.

Bu açıklama ile kitapçık sahipsiz, biraz ortada kalmış gibi olmuş. Oysa olması gereken şey Kurum'un adını taşıdığına göre her cümlesine Kurum'un imzasını atacağı bir döküman olmalıydı.

Kişisel Verilerin Korunmasına İlişkin Genel Hususlar
1. Kişisel verilerin korunması ne demektir?

(...)Verilerin korunması kişileri onlar hakkındaki bilgilerin (otomatik olarak ya da otomatik olmayan yollarla) işlenmesinden doğacak zararlardan koruma amacına yönelmiş ve kişisel verilerin korunmasına ilişkin ilkelerde somutlaşmış bir dizi (yasal ya da yasal olmayan) önlemi ifade eder.(...)

Ülkemizde bir hukuk düzeni bulunduğuna göre ve herkes sadece haklarını kullanabilirken yasal olmayan önlem ne demektir ve ne anlatılmak istenmiştir? Kastedilen yasalarda düzenlenmeyen ama yine de bir hukukun koruduğu bir hakka dayanan önlemler midir?

(...) bireylere kontrol hakkını yeniden kazandırmayı amaçladığı söylenebilir.

Daha önceden vardı sonradan kaybedildi, kanun yeniden mi kazandırıyor?

10. Yurtdışında yerleşik olan şirketlerin veya kişilerin veri sorumlusu yükümlülükleri var mıdır? Kanun yurtdışında yerleşik olan veri sorumluları için de uygulanacak mıdır?

Yurtdışında yerleşik olmakla birlikte Türkiye’de faaliyet gösteren veri sorumluları hakkında da Kanun hükümleri uygulanacaktır.

Faaliyet göstermek muğlak bir ifade olmuş. Türkiye'de tüzel kişiliğe sahip olarak faaliyet gösteren yurt dışında yerleşik olan veri sorumluları için ayrı bir uygulama yok. Ancak Türkiye'de tüzel kişiliği olmayan yurt dışında yerleşik olan veri sorumlularının hangi faaliyetleri Türkiye'de sayılacaktır? Türkiye'de yerleşik Türkiye Cumhuriyeti vatandaşlarıyla ilgili faaliyetleri mi, yoksa Türkiye'de yerleşik her gerçek kişiye yönelik faaliyetler mi, yurt dışında yerleşik Türkiye Cumhuriyeti vatandaşları kanun kapsamının dışında mı? Bu soruların cevabını bulmak gerekiyor.

B. Kişisel Verilerin Korunması Açısından Önem Arz Eden Kavramlar
4. IP adresi, yaygın olarak kullanılan ve sıkça karşılaşılabilecek ad-soyad gibi veriler başka kaynaklardan bilgi almadıkça bir kişiyi tanımlayacak veya ilişkilendirilebilecek düzeyde değildir. Bu bilgiler de kişisel veri sayılacak mıdır?

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin tekil olarak kaydedilen ve işlenebilen veriler (örneğin TCKN, IP adresi, adı soyadı v.b.) olabileceği gibi kimliği belirli
veya belirlenebilir gerçek kişiyle ilişkili raporlar (örneğin müşteri şikâyet raporları, çalışan performans değerlendirme raporları, mülakat değerlendirme raporları), kayıtlar (ses veya görüntü kayıtları, resimler, kullanıcı işlem kayıtları), belgeler (örneğin özgeçmişler, bordro, fatura, banka dekontları, kredi kartı ekstreleri, nüfus cüzdanı fotokopileri), yazılar (örneğin mektuplar, davet yazıları) da kişisel veridir.

Sorunun cevabı "Evet" olarak anlaşılıyor. O zaman soruya verilen cevap kesinlikle yanlıştır. Kanun'da kişisel verinin tanımında çok net olarak "kimliği belirli veya belirlenebilir gerçek kişiye ilişkin" denilmektedir. "Mehmet Yılmaz" bir ad soyaddır. Türkiye'de onbinlerce Mehmet Yılmaz vardır. Bu yazıda Mehmet Yılmaz yazısı yer alıyor. O zaman hangi Mehmet Yılmaz çıkıp beni kastettin diyebilir ki? T.C. Kimlik numarası konusunda şüphe yok. Tek başına kişisel veridir. Keza telefon numarası da tek başına kişisel veridir. Ama IP adresi tek başına kişisel veri değildir. IP adresi ancak ilk kullanıldığı andan bu zamana kadar sadece bir gerçek kişi tarafından kesintisiz olarak statik IP olarak kullanılırsa kişisel veri olabilir. Yoksa IP adresi asla tek başına kişisel veri değildir. Ancak yanında zaman bilgisinin bulunması ile bir gerçek kişi tarafından kullanıldığı tespit edilebiliyorsa kişisel veri kabul edilebilir.

Kitapçıktaki bu bilgi doğru olsaydı Türkiye'de IP adresleri ile ilgili raporlar, bilgiler ve kararlar geçersiz olurdu. Kaos çıkardı.

9. Açık rıza tüm kişisel veri işleme faaliyetlerine hukukilik kazandıran yegâne unsur mudur?

Kanunun 5. maddesi uyarınca açık rıza Kanundaki kişisel veri işleme şartlarından biridir ve diğer kişisel veri işleme şartlarına göre karşılaştırmalı bir üstünlüğü bulunmamaktadır. Açık rıza
veri işleme faaliyetine hukukilik kazandıran yegane unsur değildir.

Açık rıza diğer kişisel veri işleme şartları ile karşılaştırıldığında daha üstündür. Açık rıza bulunması halinde diğerlerinin varlığını araştırmaya gerek yoktur. Ayrıca açık rızanın kapsadığı alan daha geniştir. Özel nitelikli kişisel verilerin işlenmesi için 5. maddedeki şartlardan kanunda yer alması dışında bir şart kalmazken açık rıza özel nitelikli kişisel verilerin işlenmesinde de etkindir. Mukayese yapmak gereksiz olmakla birlikte yapılacaksa açık rıza hepsinden üstündür.

6. Özel nitelikli kişisel veri nedir?

Özel nitelikli kişisel veriler, işlenmeleri halinde sahipleri hakkında ayrımcılık yapılmasına neden olma riski taşıyan verilerdir.(...)

Son derece dar bir açıklama olmuş. Bu verilerin özelliği "özel" olmaları. Yani işlenmesi durumunda kişide oluşabilecek mağduriyetin çok daha fazla olmasıdır. Hiç bir ayrımcılık riski olmasa bile sadece öğrenilmesi dahi kişiyi mağdur edecektir.

Kanun tasarısında mu madde için yazılan gerekçe şöyledir:

(...)Bu verilerin, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikte veriler olmaları dikkate alınmakta, bu sebeple bu tür veriler özel nitelikli (hassas) veri olarak kabul edilmektedir.(...)

11. Açık rıza geri alınabilir mi? Açık rızayı ilgili kişi (veri sahibi) geri aldığı takdirde veri sorumlusunun hukuki yükümlülüğü gereği (örneğin yasal saklama süreleri, aradaki sözleşme ilişkisinin devam etmesi gibi) halen ilgili kişinin kişisel verisinin işlenmesi gerekiyorsa ne yapılmalıdır?

Kitapçıktaki en sorunlu noktalardan biri veri sahibi terimidir. Kanun veri sahibi terimini kullanmamaktadır. TBMM'deki komisyon raporunda veri sahibi terimi beş defa geçmekle birlikte kanun koyucu veri sahibi terimini kanuna bilerek almamıştır. Sahiplik bir mülkiyet ifade eder. Oysa ki kişisel verilerin sahipliği çok tartışmalı bir konudur. Örneğin perakende fatura bilgisinin sahibi kimdir? Bilginin bir sahibi yoktur. Verinin gerçek kişiyle ilgisi vardır. Bu durumda da ilgili kişi terimi çok daha uygun düşmektedir. Zaten Kanun da ilgili kişi terimini kullanmaktadır. Kitapçıkta ilgili kişi teriminin kullanılmayarak veri sahibi teriminin kullanılması "yerinde değildir" değil "yanlıştır".

Kişisel Verilerin Korunması Kanunu'nun en önemli faydalarından biri kişisel veriler konusunda bir düzen getirmesidir. Terimlerin doğru ve yerinde kullanılması da bu yararlardan biridir. Kurum'un veri sahibi terimini kullanması doğru bir kullanım değildir.

(...)Bununla birlikte veri işleme faaliyeti diğer kişisel veri işleme şartlarına dayanıyorsa bu faaliyet için açık rızaya gidilmemelidir(...)

Bu ifade ile gereksiz ise açık rıza almayınız denilmektedir. Bu yaklaşım hatalıdır. Kişisel verilerin korunması için farkındalık oluşturmak isteniyorsa kanunen açık rızanın alınması gerekmeyen durumlarda bile açık rızanın alınmasını teşvik etmek gerekir. Çünkü kanunda yazılan şartların değerlendirilmesi veri sorumlusunun sorumluluğundadır. Veri sorumlusunun yanlış değerlendirmesi ve açık rızaya gidilmemesi durumunda hukuki sorun yaşanabilir ve sonuç veri sorumlusunun aleyhine çıkabilir. İş hayatında kişisel verilerin işlenmesi amaç ve yöntemlerinin her birinin Kanun'daki şartlara uyması zordur. Ancak açık rıza hukuki boşlukları giderebilecek aynı zamanda kişilerin kendilerini değerli hissedebileceği etkin bir yöntemdir.

Oysa açık rızanın alınması bu riskleri minimize edecektir. Bu yüzden veri sorumlularının açık rızaya başvurmaları teşvik edilmelidir. Bu ayrıca Kurum'un önüne gelecek sorunların azalmasını ve çözümün kolaylaşmasını sağlayacaktır.

12. Açık rıza, herhangi bir ürün ve/veya hizmetin sunumunun (ya da herhangi bir üründen ve/veya hizmetten yararlandırmanın) ön şartı yapılabilir mi?

Açık rızanın özgür irade ile açıklanması gerektiğinden, herhangi bir ürün ve/veya hizmetin sunumu (ya da herhangi bir üründen ve/veya hizmetten yararlandırılması) ilgili kişi tarafından açık rıza verilmesi şartına bağlanmamalıdır. Örneğin, spor salonuna üye olabilmek için spor salonu yetkilileri tarafından üye olmak isteyen kişinin parmak izinin alınması zorunluluğu öngörülmesi bu bakımdan hukuka aykırı olacaktır.

Sözleşme hürriyetine aykırı bir cevap. Bazı durumlarda kişisel verilerin işlenmesi için açık rıza ön şart yapılamaz. Ancak bazı durumlarda da ön şart yapılabilir. Örneğin bir web sitesinde bulunan e-posta üyeliği için amaçla bağlantılı bir şekilde bilgileriniz üyelik sırasında istenebilir ve açık rızanız alınabilir. Açık rızanızı vermek istemiyorsanız üyeliğe sizi kabul etmeme hakkını kullanabilir.

Kişisel verilerin işlenmesinin genel ilkelerinden olan işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi göz önüne alındığında spor salonundan yararlanmak için parmak izinin okunmasının gerekli olduğu düşünülemez. Spor salonunun faaliyet alanı ile ilgisiz bir seviyede güvenlik için açık rıza ön şart olarak sunulamazken, kişinin ağırlık ve boyu ölçerek ona uygun bir çalışma programı hazırlayarak çalışan ve böyle bilinen bir spor salonu kişisel verileri ve açık rızayı ön şart olarak isteyebilir.

Bir bankada çalışan ve kasayla ilgili faaliyetlerde bulunan bir çalışanın parmak izinin alınması için açık rızasının alınmasına da gerek yoktur. Kısaca açık rızanın alınmasının gerekli olup olmadığına ilişkin bir genel kural yoktur, ön şart olup olamayacağına olayın durumuna göre karar verilmesi gerekir.

16. Kanunun yürürlüğe girmesinden önce işlenen kişisel veriler hakkında ne gibi bir işlem yapılacaktır?

Kanunun Geçici 1. maddesi uyarınca, Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, bu tarihten itibaren iki yıl içinde Kanun hükümlerine uygun hâle getirilir.
Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir.

Sorunun cevabı verilmemiş, Kanun'daki ilgili maddenin yazılması ile yetinilmiş. "Kanun hükümlerine aykırı olduğu tespit edilen kişisel verilerin" kanuna aykırı olduğunun tespiti iki yıl sonra mı yapılacak? Yani diyelim ki herhangi bir şekilde ilgili kişiden rızası alınmayan kişisel veriler var. Bunlar Kanun'un yayımı tarihinden sonraki iki yıl boyunca işlenecek ama Kanun'a uygun hale getirilememişlerse mi silinecekler?

Elbette hayır. Kanun'un yürürlüğü tarihinden önce de olsa sonra da olsa ilgili kişinin şartları eksik ya da tam açık rızası bulunmayan kişisel veriler derhal silinir. Bu kişisel verilerin kanuna uygun hale getirilmesi için iki yıllık süreleri yoktur. Bunun tersinin kabulü halinde TCK'nın kişisel verilerle ilgili maddeleri geçmişe yönelik ve sonrasındaki iki yıllık süre boyunca hükümsüz hale gelmiş olur.

22. Veri işleyen kimdir?

(...)Veri sorumlusunun verdiği yetkiye dayanarak hareket eden;
Dışarıdan hizmet alınması suretiyle çağrı merkezi hizmeti sunan çağrı merkezi şirketi,
Pazar araştırma şirketleri,
Kuryeler vb.

Soruya verilen cevap Kanun'da geçen ifadedir. Bir sonraki soruda verilen cevapta da yer alan veri sorumlusu-veri işleyen dışında kişisel veri işleme ilişkisi de vardır. Veri sorumlusu-veri sorumlusu ilişkisinde her iki taraf da kişisel verileri işlemektedir, bir taraf diğerinin isteğine göre yapmaktadır ama veri sorumlusu sıfatını kaybetmez. Bu özellikle hukuki açıdan devlete ya da başka kurumlara karşı sorumlulukları olan veri sorumluları için geçerlidir. Örneğin kargo şirketleri ya da kurye şirketleri bu tür veri sorumlusudur. Bir paketin teslimatı için bir veri sorumlusundan kişisel verileri (ad, soyad, adres, telefon vb) alan veri sorumlusu paketin iletilmesi sırasında kişisel verileri işlemektedir ama bunu hukuki bir gereklilik sonucu yapmaktadır. Yapmış olduğu işlemlerle ilgili tutması gereken kanuni evraklar vardır. Bu sebeple bu cevapta verilen kurye örneği yanlıştır.

Kurum tarafından yayınlanan bir başka kitapçık olan
Kişisel Verilerin Korunması Kanunu ve Uygulaması
kitapçığının veri işleyen-veri sorumlusu ayrımını anlattığı örneklerin bulunduğu 38. sayfada kurye şirketinin veri işleyen olmadığı anlatılıyor.

(...)Ancak kurye şirketi gönderenin adı, soyadı, alıcının adresi gibi sevkiyatı yönetmek için topladığı veriler bakımından ve kendi çalışanlarıyla ilgili işlediği veriler bakımından veri sorumlusudur.(...)

Veri sorumlusu veri işleyen farkı için daha önce yazılan Veri Sorumlusu ve Veri İşleyen Farkı yazısını inceleyebilirsiniz.

23. Veri işleyen, tüzel kişilik içerisindeki bir birim midir yoksa başka bir tüzel kişilik veya organizasyon dışındaki kişi midir?

Verilen cevaba ek olarak basit bir tanım yapmak gerekirse; veri işleyen, veri sorumlusu tüzel bir kişilik ise veri sorumlusunun tüzel kişiliğinin dışında kalan, veri sorumlusu gerçek kişi ise veri sorumlusundan başka herhangi bir gerçek ya da tüzel kişiliktir.

24. Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu hem de veri işleyen olabilir mi?

Herhangi bir gerçek veya tüzel kişi yürüttüğü farklı faaliyetleri dolayısı ile aynı zamanda hem veri sorumlusu hem de veri işleyen olabilir. Örneğin, bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından ise veri işleyen olarak kabul edilecektir

Cevap doğru ama soru eksik. Soru "Aynı kişisel veriler ve amaçlar açısından herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu hem de veri işleyen olabilir mi?" olarak sorulmalıydı. Cevabı da "Hayır" olacaktır.

Kişi, kurum ya da kuruluşların veri sorumlusu mu veri işleyen mi oldukları, hukuki sorumlulukları açısından değerlendirilir. Kişinin sorumluluğu yalnızca muhatabı olan veri sorumlusuna karşı ise, kişisel verileri onun talimatıyla ve yönetiminde işliyorsa veri işleyendir. Veri sorumlusuna karşı olan hukuki sorumluluklarından farklı kanuni sorumluluklar da varsa veri sorumlusudur. Ancak her durumda aynı kişisel veriler açısından sadece bir kişi ya veri sorumlusudur ya da veri işleyendir. İkisi aynı anda olamaz.

Aynı kişisel veriler birden fazla amaç için kullanılıyorsa bu durumda ayrımı sağlamak için amaçların da değerlendirilmesi gerekir. Örneğin bir çalışanın çalıştığı şirketi veri sorumluları için kişisel veri işleme hizmetleri veriyorsa ve bu çalışanla ilgili kişisel veriler müşteri olan veri sorumlusu tarafından şirketle paylaşılmışsa; şirketin sakladığı kişisel verilerin bir kısmı (TC Kimlik No, telefon numarası, doğum tarihi vb.) veri sorumlusu tarafından paylaşılan kişisel verilerle aynı olabilir. Kişisel verilerin birden fazla veri tabanında saklanması önemsiz olduğundan, aynı kişisel veriler açısından şirketin hem veri sorumlusu olarak hem de veri işleyen rolü ortaya çıkabilir. Bu durumda aynı kişisel veriler açısından şirketin veri sorumlusu mu yoksa veri işleyen mi olduğu farklı olan amaçlara bakılarak tespit edilir.

25. Veri sorumlusu ile veri işleyenin ayrı kişiler olması halinde, Kanunun uygulanması bakımından sorumluluk rejimi nasıldır?

Soru yanlış.

Aynı kişisel veriler için veri sorumlusu ile veri işleyen aynı kişi olamaz. Veri işleyenin olması kişisel verilerin işlenmesi için bir başka kişi ile paylaşılması durumunda geçerli olabilir.

Veri sorumlusunun sorumluluğu sadece hukuki açıdandır. Cezai sorumluluk açısından veri sorumlusunun böyle bir sorumluluğu yoktur. Suçun şahsiliği ilkesi uyarınca fiili suç olan failin cezalandırılmasında sadece fail cezalandırılır. Sebep olunan maddi ve manevi zarar içinse hukuki sorumluluğu olanlara gidilir.

26. Kanun, veri sorumlusunu mu, veri işleyeni mi esas alarak bir sorumluluk rejimi ortaya koymuştur?

(...)Buna göre, veri işleyenin veri sorumlusunun talimatlarını yerine getirdiği açıktır. Kanunda gerek aydınlatma yükümlülüğü gerekse veri güvenliğine ilişkin yükümlülükler de veri sorumlusu üzerinden tanımlanmış olup ilgili kişinin, haklarını veri sorumlusuna karşı ileri sürüleceği düzenlenmiştir.

Kanun'un veri sorumlusuna bir çok konuda sorumlu tuttuğu açıktır. Ancak bazı durumlarda veri sorumlusunun sorumluluğu azdır ya da yoktur. İlgili kişinin haklarını mutlaka veri sorumlusuna karşı ileri sürüleceği Kanun'da düzenlenmemiştir.

Madde 12
(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

Veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, hukuka aykırı olarak erişilmesini önlemek, muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Kişisel verileri bir veri işleyen ile paylaşmışsa bu durumda bu konularda veri işleyenle müştereken sorumludur.

Buradaki önemli kelime sorumluluğun belirlendiği "müştereken" kelimesidir. Veri sorumlusunun kusursuz ve müteselsil sorumluluğu düzenlenmemiştir.

Kusursuz sorumluluk, sorumluluk yüklenen tarafa hiç bir kusuru olmasa dahi zararın tazmin edilmesini yükler. Örneğin işçi çalıştıranlar için işverenin kusursuz sorumluluğu vardır. Verdikleri zararı işveren tazmin eder. Müteselsil sorumlulukta ise zarara uğradığını iddia eden, zararda kusuru bulunan herhangi bir kişiden zararının tamamının tazmin edilmesini isteyebilir.

Kanun'daki bu düzenlemeye göre zarar gören ilgili kişinin hukuki yollara başvurması durumunda hem veri işleyene hem de veri sorumlusuna dava açması gerekecektir. Davaya bakan mahkeme zararı, zararın oluşmasında kusuru bulunanları ve hangi düzeyde kusurlu olduklarını belirleyecektir. Mahkemenin bir zararın tazminine karar vermesi durumunda zarardan sorumlu olana karşı takibat yapılabilecektir.

Madde 12
(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

Kanun veri sorumlusuna veri işleyende kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak ve yaptırmak zorunluluğu yüklememektedir. Yani veri işleyen veri sorumlusuyla yaptığı sözleşmede kanuna uyduğu konusunda taahhütler vermesi durumunda veri sorumlusunun taahhütlerin doğruluğunu denetlemesi ya da denetlettirmesi gerekmemektedir.

Veri sorumlusu ile veri işleyen arasında yapılan sözleşmede Kanun'da öngörülen tedbirlerin alınması konusunda anlaşılmış, fakat veri işleyen bu konuda yükümlülüklerini yerine getirmezse ne olur?

Veri sorumlusunun veri işleyenin seçiminde azami dikkati göstermemesi, gerekli araştırmaları yapmaması, kişisel verilerin paylaşımından sonra gerekli denetimleri yapmaması veri sorumlusunun kusuru olacaktır. Veri işleyen ile yapacağı sözleşmeye Kanun'da öngörülen denetimlerin kendisi tarafından da yapılabilmesi için hükümlerin eklenmesini sağlamalıdır.

Ancak objektif olarak bakıldığında tüm bu şartları yerine getirmesine rağmen veri işleyenin kusuru sonucu bir zararın oluşması durumunda veri sorumlusuna sorumluluk yüklenemez.

Sonuç

Kişisel Verileri Koruma Kurumu tarafından yayınlanan Kanun'un uygulanmasına yönelik sorular ve cevaplar kitapçığının ilk iki bölümündeki soru ve cevaplar değerlendirildi. Bazı sorular ve cevaplarda önemli yanlışlıklar olduğu gözlemlenmiştir. Amaç göz önüne alındığında Kurum'un bu çalışmaları teşvik etmek ve özendirmek gerekir. Bu çalışmadan dolayı teşekkür ediyoruz.

NOT: Bu kitapçıktaki diğer bölümlerle ilgili değerlendirme devam etmektedir. Diğer kitapçıklar da incelenip sonuçları buradan paylaşılacaktır.

Diğer Yazılar

Bir Kurul Kararı Daha

İlgili kişinin KEP adresine yaptığı başvurusuna zamanında cevap vermeyen veri sorumlusunun cevap vermesi ve vermemesi durumunda idari para cezası uygulanacağına ilişkin Kurul kararı

İstisnalar

Kurul’un Sicile kayıttan istisna tutulanları belirlediği kararının incelenmesi. Veri sorumlularının doğrudan belirlenmesi mevzuata aykırıdır.

KVKK – GDPR Karşılaştırması

23 mayısta İstanbul Barosu’ndaki etkinlikte yapılan KVKK-GDPR karşılaştırması sunumu. (Sürenin kısalığı sebebiyle en önemli maddelerin karşılaştırılması)

VERBİS’in Sorunları

Veri Sorumluları Sİcili VERBİS’in sunumda gösterilen halinde tespit edilen hukuksal, mantıksal ve teknik hatalar ve yorumlar

VERBİS Nasıl Çalışıyor?

Kişisel Verilerin Korunması Kanunu’nda öngörülen Veri Sorumluları Sicili VERBİS’in nasıl çalıştığına dair Kurumca yapılan sunumdaki bilgiler

7 Nisan’ın Önemi

7 Nisan 2016 öncesinde işlenen kişisel verilerin Kanun’a uygun hale getirilmesini düzenleyen Kanun’un geçici birinci maddesi ile ilgili açıklamalar

Bildiğimiz Ders: Kişisel Verilerini Kullanarak Kişileri Yönetmek

Facebook kullanıcıları ile kişisel verilerin seçimlerde seçmenlerin kararını manipüle etmek amacıyla kullanılması ilgili bir yazı

İrtibat Kişisi Muamması

Veri Sorumluları Sicili Hakkındaki Yönetmelik’te yer alan İrtibat Kişisi konusundaki düzenlemelerdeki çelişkiler ve hatalar

Kişisel Verileri Koruma Görevlisi (KVKG)

Veri sorumlularında yapılması gereken ve sürdürülmesi gereken görevler için görevlendirilecek kişisel verileri koruma görevlisi

Kişisel Veri İşleme Envanteri

Veri sorumlularının aydınlatma yükümlülüğünün yerine getirilmesi, Veri Sorumluları Sicili’ne kayıt ve imha politikası için başvurulması gereken belge