HUKUK
ları tarafından doldurulması esnasında birçok soru işareti
doğurabileceğini belirtmek gerekir. Muhtemelen Kurum da
Form’da yer alan bilgilerin 72 saatte tamamlanma ihtimali-
nin düşük olduğunu göz önünde bulundurarak Form’da yer
alan bilgilerin aynı anda sağlanmasının mümkün olmadığı
hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşa-
malı olarak sağlanmasını düzenlemiştir.
Bu çerçevede veri sorumlularının Form’da yer alan bilgi-
lerin sağlanabilmesi için veri işleme faaliyetlerine ilişkin
uyum çalışmalarını, risk değerlendirmelerini yap-
mış olmaları, bu uyum çalışmasını da tüm veri
işleyenlerine teşmil ettirmiş olmaları gerektiğini
düşündüğümü not etmek isterim.
18
Aynı Karar’la veri sorumlusu tarafından veri
ihlallerine ilişkin bilgilerin, etkilerinin ve alı-
nan önlemlerin kayıt altına alınması ve Kurulun
incelemesine hazır halde bulundurulması da dü-
zenleme altına alınmıştır. Bu düzenlemeye uyum
açısından veri sorumlularının böyle bir altyapıları
yoksa sistemsel olarak ihlalleri kayıt altına alacak ve Kuru-
lun olası incelemelerinde ulaşılabilir bir formatta tutacak
altyapılar geliştirmesi gerekeceğini önemle vurgulamak
gerekir.
Karar’la ayrıca veri işleyen nezdinde bulunan kişisel ve-
rilerin kanuni olmayan yollarla başkaları tarafından elde
edilmesi halinde, veri işleyenin bu konuda herhangi bir
gecikmeye yer vermeksizin veri sorumlusuna bildirimde
bulunmasına karar verilmiştir. Bu düzenlemenin yerine
getirilebilmesi için veri sorumlularının veri işleyenleriyle
yapacakları sözleşmelerde bu hususa ilişkin düzenlemelere
yer vermesi son derece önem arz etmektedir. Kanun’da her
ne kadar veri işleyenler ile veri sorumlularının veri güvenli-
ğine ilişkin yükümlülükler bakımından müştereken sorum-
lu oldukları düzenlenmiş olsa da Kanun, çerçeve niteliğinde
sayılabilecek bu düzenleme dışında veri işleyenler ile veri
sorumluları arasındaki hukuki ilişki için başkaca bir dü-
zenleme getirmemiştir.
Bununla birlikte Karar’da yer alan yükümlülü-
ğün ve esasen Kanun kapsamındaki yükümlü-
lüklerin veri işleyenler tarafından da yerine
getirilmesini teminen veri sorumlularının
veri işleyenleri ile kişisel verilerin korunma-
sına ilişkin mevzuat kapsamındaki tüm yü-
kümlülükleri düzenleyen sözleşmeler imzala-
masının son derece önemli olduğunu vurgulamak
isterim.
Son olarak veri ihlalinin yurtdışında yerleşik veri sorum-
lusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının
Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin
sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları
durumunda, bu veri sorumlusu tarafından da aynı esaslar
çerçevesinde Kurula bildirimde bulunulması gerektiği dü-
zenlenmiştir.
Kurum’un Temmuz ve Ağustos aylarında inter-
net sitesinde yayınladığı kararlarla Cathay Pasific
Airway Limited, Marriott International Inc., Cli-
ckbus Seyahat Hizmetleri A.Ş. ve Dubsmash
Inc. hakkında , bilgi güvenliği ihlalleri neticesin-
de yaşadıkları veri sızıntıları nedeniyle her dört
şirkete de “veri güvenliğini sağlamaya yönelik
gerekli teknik ve idari ve tedbirleri almamak”
nedeniyle verdiği para cezaları yanında ayrıca
dördüne de “en kısa sürede” bildirimde bulun-
ma yükümlülüğüne aykırılık nedeniyle (sırasıyla
100.000 TL, 350.000 TL, 100.000 TL, 50.000 TL)
para cezası vermesi, Kurum’un veri ihlal bildi-
rimlerinin zamanında ve eksiksiz yapılmasına
verdiği önemi gösteriyor ve bildirimlerdeki gecik-
Görsel www.shutterstock.com sitesinden alınmıştır.
meleri tolere etmeyeceğinin sinyallerini veriyor.