21 Kasım 2019 tarihli 30955 sayılı Resmi Gazete’de yayımlanan, Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 18.10.2019 tarihli 2019/308 numaralı Kararı uyarınca; hukuk büroları ile finans, gayrimenkul danışmanlık, sigorta gibi farklı sektörlerde faaliyet gösteren bazı kişi ve kuruluşlar tarafından muhtelif yollarla elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerin sorgulanmasına imkan tanıyan yazılım/program/uygulamaların kullanılmakta olduğu Kurul tarafından yapılan incelemeler neticesinde tespit edilmiştir.
Bu kapsamda bahse konu durumun 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) veri sorumlularının veri güvenliğine ilişkin yükümlülüklerini düzenleyen 12. maddesi hükümlerine aykırılık oluşturduğu Kurul tarafından önemle vurgulanmıştır.
Bu doğrultuda Kurul tarafından;
- Bu mahiyetteki yazılımları/programları/uygulamaları kullandığı tespit edilenler hakkında Türk Ceza Kanunu kapsamında gerekli adli işlemlerin tesisi için konunun, 5271 sayılı Ceza Muhakemesi Kanununun 158. maddesi hükmü uyarınca ihbarın ilgili Cumhuriyet Başsavcılıklarına bildirileceği,
- Kurul’un görev alanına giren yönüyle de veri sorumluları hakkında KVKK’nın 18. maddesi hükmü çerçevesinde idari işlem tesis edileceği,
hususlarında kamuoyunun bilgilendirilmesine karar verilmiştir.
Yorumumuz: Bilindiği üzere KVKK’nın 3. maddesinin 1. fıkrası uyarınca veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen bu tür gerçek veya tüzel kişiler, KVKK’nın 3. maddesinin 1. fıkrasının (ğ) bendinde “veri işleyen” olarak adlandırılmıştır. KVKK’da kişisel verilerin korunmasına ilişkin bazı yükümlülükler, veri sorumluları ile birlikte veri işleyenler için de getirilmiştir.
Bu kapsamda veri sorumlusu, kişisel verilerin kendi adına veri işleyen tarafından işlenmesi halinde; alınan her türlü teknik ve idari tedbirler hususunda bu kişilerle birlikte müştereken sorumlu olacaktır.
Bu doğrultuda; hukuka aykırı veri işlenmesi durumunda veri işleyenin faaliyetlerinden dolayı veri sorumlusu da KVKK’nın 12. maddesi uyarınca sorumlu olacaktır. Bir başka deyişle; Kurul kararı uyarınca kişisel verileri içeren donanım hizmeti sağlayan tedarikçiler tarafından da gerekli yükümlülüklerin, idari tedbirlerin yerine getirilmesi gerekmektedir aksi durumda Kurul tarafından KVKK’nın 18. maddesinde yer alan idari para cezasının yanında Savcılık’a suç duyurusunda bulunulacağı belirtilmiştir.
İlgili kamuoyu duyuruna buradan ulaşabilirsiniz.
|
NAZALI HUKUK |