INmagazine Sayı 15 | Page 20

HUKUK ları tarafından doldurulması esnasında birçok soru işareti doğurabileceğini belirtmek gerekir. Muhtemelen Kurum da Form’da yer alan bilgilerin 72 saatte tamamlanma ihtimali- nin düşük olduğunu göz önünde bulundurarak Form’da yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşa- malı olarak sağlanmasını düzenlemiştir. Bu çerçevede veri sorumlularının Form’da yer alan bilgi- lerin sağlanabilmesi için veri işleme faaliyetlerine ilişkin uyum çalışmalarını, risk değerlendirmelerini yap- mış olmaları, bu uyum çalışmasını da tüm veri işleyenlerine teşmil ettirmiş olmaları gerektiğini düşündüğümü not etmek isterim. 18 Aynı Karar’la veri sorumlusu tarafından veri ihlallerine ilişkin bilgilerin, etkilerinin ve alı- nan önlemlerin kayıt altına alınması ve Kurulun incelemesine hazır halde bulundurulması da dü- zenleme altına alınmıştır. Bu düzenlemeye uyum açısından veri sorumlularının böyle bir altyapıları yoksa sistemsel olarak ihlalleri kayıt altına alacak ve Kuru- lun olası incelemelerinde ulaşılabilir bir formatta tutacak altyapılar geliştirmesi gerekeceğini önemle vurgulamak gerekir. Karar’la ayrıca veri işleyen nezdinde bulunan kişisel ve- rilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri işleyenin bu konuda herhangi bir gecikmeye yer vermeksizin veri sorumlusuna bildirimde bulunmasına karar verilmiştir. Bu düzenlemenin yerine getirilebilmesi için veri sorumlularının veri işleyenleriyle yapacakları sözleşmelerde bu hususa ilişkin düzenlemelere yer vermesi son derece önem arz etmektedir. Kanun’da her ne kadar veri işleyenler ile veri sorumlularının veri güvenli- ğine ilişkin yükümlülükler bakımından müştereken sorum- lu oldukları düzenlenmiş olsa da Kanun, çerçeve niteliğinde sayılabilecek bu düzenleme dışında veri işleyenler ile veri sorumluları arasındaki hukuki ilişki için başkaca bir dü- zenleme getirmemiştir. Bununla birlikte Karar’da yer alan yükümlülü- ğün ve esasen Kanun kapsamındaki yükümlü- lüklerin veri işleyenler tarafından da yerine getirilmesini teminen veri sorumlularının veri işleyenleri ile kişisel verilerin korunma- sına ilişkin mevzuat kapsamındaki tüm yü- kümlülükleri düzenleyen sözleşmeler imzala- masının son derece önemli olduğunu vurgulamak isterim. Son olarak veri ihlalinin yurtdışında yerleşik veri sorum- lusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurula bildirimde bulunulması gerektiği dü- zenlenmiştir. Kurum’un Temmuz ve Ağustos aylarında inter- net sitesinde yayınladığı kararlarla Cathay Pasific Airway Limited, Marriott International Inc., Cli- ckbus Seyahat Hizmetleri A.Ş. ve Dubsmash Inc. hakkında , bilgi güvenliği ihlalleri neticesin- de yaşadıkları veri sızıntıları nedeniyle her dört şirkete de “veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almamak” nedeniyle verdiği para cezaları yanında ayrıca dördüne de “en kısa sürede” bildirimde bulun- ma yükümlülüğüne aykırılık nedeniyle (sırasıyla 100.000 TL, 350.000 TL, 100.000 TL, 50.000 TL) para cezası vermesi, Kurum’un veri ihlal bildi- rimlerinin zamanında ve eksiksiz yapılmasına verdiği önemi gösteriyor ve bildirimlerdeki gecik- Görsel www.shutterstock.com sitesinden alınmıştır. meleri tolere etmeyeceğinin sinyallerini veriyor.