INmagazine Sayı 23 Etik ve İtibar Derneği Etik ve İtibar Derneği | Page 20

DOSYA
18
KVKK ’ nın uygulanmasında ilgili veri sorumlusunun 3 üçüncü taraflarla olan ilişkisi en az ilgili veri sorumlusunun çalışanları veya müşterileri ile olan ilişkisi kadar önem taşımaktadır . Zira herhangi bir veri ihlalinde gündeme gelebilecek itibar riski , hukuki risk veya maddi risk açısından bir ayrım bulunmamaktadır . Bu yazımızda üçüncü taraflar ile olan ilişkide öne çıkan hususlara değineceğiz . Veri sorumlusunun tedarikçisi , destek hizmeti sağlayıcısı , danışmanları , yüklenicileri , distribütörleri , bayileri ve diğer üçüncü taraflarla olan ilişkisi , alınan hizmetin niteliğine göre değişmekle birlikte genel olarak bu ilişkide KVKK ’ ya uyum riski iki ana durumda ortaya çıkabilir . Bunlardan ilki , üçüncü tarafla olan ilişki kapsamında işin doğası gereği edinilen şirket çalışanlarının , yetkililerinin , hissedarlarının , son nihai faydalanıcılarının verilerinin işlenmesi halidir . Diğer bir durum ise üçüncü tarafın anılan ilişki süresince ve bu ilişki çerçevesinde elde ettiği kişisel veriler bakımından KVKK ’ ya uyum seviyesidir .
ÜÇÜNCÜ TARAFLARLA ALAKALI GERÇEK KİŞİLER Veri sorumlusunun bir üçüncü tarafla
kuracağı ilişkide , söz konusu ilişki sözleşme aşamasına gelmemiş olsa dahi şüphesiz ki bir veri işleme faaliyeti gerçekleşmektedir . Bir üçüncü tarafın çalışanının e-posta adresi , telefon numarası gibi iletişim bilgilerinin yazışma , görüşme veya toplantı düzenlenmesi gibi süreçlerde veri sorumlusu tarafından işlenmesi , en sık karşılaşılan veri işleme faaliyeti örneğidir . Bunun yanı sıra sözleşme müzakeresi / imzası aşamasında üçüncü tarafın çalışanlarına ek olarak gerçek kişi hissedarlarının veya imza yetkililerinin de kimlik ve iletişim bilgileri alınabilmektedir . Bu bilgi alışverişi ticari hayatın sürdürülebilmesi için zorunlu olmakla birlikte , bu zorunluluk KVKK ’ ya uyum açısından bir istisna oluşturmamaktadır . KVKK , kişisel verilerin işlenmesinde dayanılabilecek hukuki sebepleri 5 ve 6 . maddelerde düzenlemektedir . Her bir veri işleme faaliyeti özelinde bu sebeplerden hangisine dayanıldığının ayrıca değerlendirilmesi gerekir . Değerlendirme neticesinde ilgili kişinin açık rızası olmaksızın veri işleme faaliyetinin hukuka uygun olmayacağı tespit edilirse , kişiden açık rıza alınması gerekecektir . Açık rıza , ilgili kişiye doğrudan erişim imkânı varsa kişinin kendisinden alına-
bileceği gibi , böyle bir imkân yoksa rıza alınabilmesi için üçüncü tarafla iletişime geçilmesi gerekebilir . Bu durumda , veri sorumlusunun operasyonlarının bu yöntemle rıza alınabilecek şekilde kurgulanması önemli olacaktır . Her halükârda -ister açık rızaya , ister diğer bir hukuki sebebe dayanılsın- KVKK ’ nın 10 . maddesi uyarınca veri sorumlusunun ilgili kişiyi aydınlatma yükümlülüğü bulunmaktadır . Aydınlatma yükümlülüğüne ilişkin usul ve esasları düzenleyen Tebliğ 4 , kişisel verilerin ilgili kişiden elde edilmemesi halinde ne şekilde aydınlatma yapılması gerektiğini özel olarak düzenlemiştir . İlgili kişinin bizzat kendisi vasıtasıyla kişisel verilerin elde edilmesi halinde , veri sorumlusunun en geç verilerin elde edilmesi sırasında ilgili kişiyi bilgilendirmesi gerekmektedir . Fakat üçüncü tarafın hissedarı , imza yetkilisi , çalışanı veya sair gerçek kişilerin verileri her zaman bu kişinin kendisi tarafından beyan edilmeyebilir . Böyle bir durumda Tebliğ ’ in 6 . maddesine göre ilgili kişinin makul bir süre içerisinde , verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda , ilk iletişim kurulması esnasında veya verilerin aktarılacak olması halinde , en geç kişisel verilerin ilk
NEREDEYSE HER SEKTÖRDE ÜÇÜNCÜ TARAF İLE İLİŞKİ KURULMASI GEREKSE DE ÜÇÜNCÜ TARAF DESTEĞİNE DAHA FAZLA İHTİYAÇ DUYULAN BAŞLICA SEKTÖRLER ARASINDA FİNANS , SİGORTA , OTOMOTİV , HABERLEŞME VE E-TİCARET SAYILABİLİR .