INmagazine Sayı 23 Etik ve İtibar Derneği Etik ve İtibar Derneği | Page 21

kez aktarımının yapılacağı esnada bilgilendirilmesi gerekmektedir . Veri sorumlusu bu yükümlülüğü bizzat kendisi yerine getirebileceği gibi bu hususta yetkilendireceği bir kişi vasıtasıyla da yerine getirebilir .
ÜÇÜNCÜ TARAFIN KVKK ’ YA UYUMLULUĞU Neredeyse her sektörde üçüncü taraf ile ilişki kurulması gerekse de üçüncü taraf desteğine daha fazla ihtiyaç duyulan başlıca sektörler arasında finans , sigorta , otomotiv , haberleşme ve e-ticaret sayılabilir . Üçüncü taraf ile olan ilişki ürün / hizmet tedariki doğrultusunda olabileceği gibi bayilik / distribütörlük gibi teşebbüs kapsamında da olabilir . Her iki ihtimalde de veri sorumlusunun müşterilerine veya çalışanlarına ait kişisel verilerin üçüncü tarafça işlenmesi söz konusu olabilir . Örneğin veri sorumlusu şirketin , üçüncü taraftan müşteri verilerinin analizi için bir yazılım hizmeti alması veya bayilik ilişkisinde bayinin veri sorumlusu sıfatını haiz ana şirkete belirli bir döneme ait gerçekleşen işlemlere ilişkin bilgi vermesi , ana şirket sistemlerine müşteri bilgilerini işlemesi , yüklenici şirketin kendi çalışanlarının veri sorumlusu şirkete bildirimi gibi durumlarda müşteri ve / veya çalışan verisinin işlenmesi sonucu doğacaktır . Bu gibi ilişkilerde her bir tarafın KVKK kapsamında veri sorumlusu mu , yoksa veri işleyen mi olduğunu tayin etmek kritik önem taşımaktadır . KVKK , mehaz düzenlemesi olan Avrupa Birliği Genel Veri Koruma Tüzüğü ’ nün (“ GVKT ”) aksine ortak veri sorumlusu kavramını düzenlememektedir . Fakat hem KVKK ’ nın veri güvenliğine ilişkin 12 ’ nci maddesi hem de gerekçesi , tarafların verilerin güvenliğinden müşterek olarak sorumlu olduklarını belirtmektedir . Bu sebeple , üçüncü taraflarla girilen her türlü ilişkide öncelikle verisi işlenen kişi kategorileri , akabinde de veri kategorileri tespit edilmelidir . Yapılacak tespite göre KVKK hükümleri tayin edilmeli ve gerekli olması halinde ( örneğin özel nitelikli verilerin aktarımı , yüksek hacimde veri aktarımı , düzenli veri aktarımı gibi ) veri aktarımına dair ayrı bir sözleşme yoluna gidilmelidir .
KVKK ’ YA UYUM DENİLDİĞİNDE AKLA İLK GELEN MÜŞTERİLERLE OLAN İLİŞKİ OLSA DA ÜÇÜNCÜ TARAFLARLA OLAN İLİŞKİ İLE BİZZAT ÜÇÜNCÜ TARAFIN KVKK ’ YA UYUM SEVİYESİ DE OLDUKÇA ÖNEM TAŞIMAKTADIR . BU İLİŞKİDE MEYDANA GELEBİLECEK BİR VERİ İHLALİ , TARAFLAR AÇISINDAN MALİ RİSKİN YANI SIRA İTİBAR RİSKİ DE DOĞURABİLİR .
Anılan hususlar , KVKK ’ nın 12 . maddesinde yer alan idari tedbirlere karşılık gelmektedir . Fakat veri güvenliğinin temini , idari tedbirlerin yanı sıra teknik tedbirleri de almayı gerektirir . Sözleşme ne kadar koruyucu olursa olsun , aktarımın yöntemi yeterli güvenlik seviyesinde değilse tarafların bir ihlali olmaksızın dahi üçüncü kişilerce aktarım ortamına erişim KVKK bakımından ihlal olarak sonuçlanacaktır . Bu doğrultuda aktarım esnasında güvenli yöntemlerin kullanılması , özel nitelikli veriler aktarılacaksa Kişisel Verileri Koruma Kurulu ’ nun 2018 / 10 sayılı Kararı 5 ile belirtilen yükümlülüklerin yerine getirilmesi , siber güvenliğin sağlanması , erişim yetkilerinin düzenlenmesi , verilerin tutulduğu ortamların fiziksel güvenliğinin temini gibi teknik tedbirlerin de alınması gerekmektedir . Bu tedbirlere benzer şekilde üçüncü kişilerin veri saklama ve imha politikalarının oluşturulması da unutulmamalıdır . Üçüncü taraflarla ilişkiler düzenlenirken belli tip bir tedbirin veya belli tip bir sözleşmenin tüm üçüncü taraflar açısından işe yarayacağını düşünmek kimi durumlarda yanıltıcı olabilir . Öncelikle bir üçüncü taraf envanteri oluşturulması , risk değerlendirmesi yapılması ve gerekli tedbirlerin uygun düştükleri oranda hayata geçirilmesi doğru olacaktır . Elbette en düzgün yapıyı kurmak bile tek başına çözüm sağlamayacaktır . Kurulan yapının sürdürülebilmesi , üçüncü tarafların denetlenmesi , süreçlerin sözleşmelere ve anlaşılan ilkelere uygun yürüdüğünün takip ve kontrolü önem arz edecektir . Ayrıca uygulamada bir kısım üçüncü taraflarla olan ilişkilerde sadece hukuki veya teknik tedbirlerin yeterli olmadıkları ve üçüncü taraf yapısını yönetim kurulu üyelerinden başlayarak tüm çalışanları kapsayacak şekilde kişisel ve- riler konusunda bilinçli hale getirmenin faydaları gözlemlenmektedir .
SONUÇ OLARAK … KVKK ’ ya uyum denildiğinde akla ilk gelen müşterilerle olan ilişki olsa da üçüncü taraflarla olan ilişki ile bizzat üçüncü tarafın KVKK ’ ya uyum seviyesi de oldukça önem taşımaktadır . Bu ilişkide meydana gelebilecek bir veri ihlali , taraflar açısından mali riskin yanı sıra itibar riski de doğurabilir . Böyle bir riskin bertaraf edilmesi için üçüncü taraf ile ilişkinin kurulması aşamasında üçüncü tarafın çalışanlarının , yetkililerinin ve verisi işlenen diğer gerçek kişilerin KVKK uyarınca aydınlatılması ve gerekli hallerde rızalarının alınması gerekir . Bunun yanı sıra , üçüncü taraf ile olan ilişki bir veri aktarımı gerektiriyor ise bu aktarıma dair hususların detaylandırılması , teknik tedbirlerin alınması ve veri aktarımında tarafların yükümlülüklerinin yazılı şekilde belirlenmesi bu riskin azaltılması için atılması gereken adımlardır . 4
DİPNOTLAR ( 1 ) 8 , 9 , 11 , 13 , 14 , 15 , 16 , 17 ve 18 . Maddeler 7 Ekim 2016 ’ da yürürlüğe girmiştir .
( 2 ) 17 Mart 2016 tarihli Resmi Gazete .
( 3 ) Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen , veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir .
( 4 ) Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ https :// kvkk . gov . tr / Icerik / 5443 / AYDINLATMA- YUKUMLULUGUNUN-YERINE- GETIRILMESINDE-UYULACAK-USUL-VE- ESASLAR-HAKKINDA-TEBLIG
( 5 ) https :// www . kvkk . gov . tr / Icerik / 4110 / 2018-10
19