Yenileniyor
  • Adana
  • Adıyaman
  • Afyon
  • Ağrı
  • Amasya
  • Ankara
  • Antalya
  • Artvin
  • Aydın
  • Balıkesir
  • Bilecik
  • Bingöl
  • Bitlis
  • Bolu
  • Burdur
  • Bursa
  • Çanakkale
  • Çankırı
  • Çorum
  • Denizli
  • Diyarbakır
  • Edirne
  • Elazığ
  • Erzincan
  • Erzurum
  • Eskişehir
  • Gaziantep
  • Giresun
  • Gümüşhane
  • Hakkari
  • Hatay
  • Isparta
  • Mersin
  • İstanbul
  • İzmir
  • Kars
  • Kastamonu
  • Kayseri
  • Kırklareli
  • Kırşehir
  • Kocaeli
  • Konya
  • Kütahya
  • Malatya
  • Manisa
  • K.Maraş
  • Mardin
  • Muğla
  • Muş
  • Nevşehir
  • Niğde
  • Ordu
  • Rize
  • Sakarya
  • Samsun
  • Siirt
  • Sinop
  • Sivas
  • Tekirdağ
  • Tokat
  • Trabzon
  • Tunceli
  • Şanlıurfa
  • Uşak
  • Van
  • Yozgat
  • Zonguldak
  • Aksaray
  • Bayburt
  • Karaman
  • Kırıkkale
  • Batman
  • Şırnak
  • Bartın
  • Ardahan
  • Iğdır
  • Yalova
  • Karabük
  • Kilis
  • Osmaniye
  • Düzce
BIST 119,618
DOLAR 6.87
EURO 7.75
ALTIN 397.90

KVKK Kapsamında Veri İşleyenin Sorumluluğu227 defa okundu

kategorisinde, 09 May 2020 - 15:45 tarihinde yayınlandı
KVKK Kapsamında Veri İşleyenin Sorumluluğu

GİRİŞ

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 7 Nisan 2016 tarihinde yürürlüğe girmesiyle birlikte hukuk literatürüne yeni kavramlar girmiştir. Bu kavramlardan ikisi Veri sorumlusu ve veri işleyendir. Bu iki kavramı birbirinden ayırmakta ve olaylara uygulamakta zorluk çekebilmekteyiz. Bunun nedeni bu iki kavramın birbirleriyle olan ilişkilerinin yakınlığından kaynaklanmaktadır. Bu iki kavramı ayırt etmekteki gereklilik sorumluluk kapsamındaki değerlendirmelerimizde daha fazla önem kazanmaktadır. Bu çalışmada veri sorumlusu ile veri işleyenin yükümlülüklerine ve sorumluluklarına değinerek bu konunun daha iyi anlaşılması amaçlanmaktadır.

TANIMLAR

Veri sorumlusu (m.3/ı): “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder.”

Bu tanımdan anlaşılacağı üzere veri sorumlusu veri işleme amaçlarını ve araçlarını belirleyen, veri işleme faaliyetinin bu yönde gerçekleşmesini sağlayan(yönlendiren) tüzel veya gerçek kişidir.

Veri işleyen (m.3/ğ): “Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,” ifade etmektedir.

Tanımlarda geçen veri işleme faaliyetinin de tanımının yapılması gerekmektedir.

Kişisel Verilerin işlenmesi (m.3/e): “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,” ifade eder.

Söz konusu maddede geçen “gibi” bağlacından kanun koyucunun örneklendirme yoluyla bir tanım yaptığını çıkartabiliriz. Diğer bir ifadeyle kanun koyucu belli başlı veri işleme faaliyetlerini saymıştır, dolayısıyla kişisel veri üzerinde gerçekleşen ve söz konusu maddede belirtilen kriterleri sağlayan her türlü veri işleme faaliyeti kanun kapsamındadır.

VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ VE VERİ İŞLEYENİN SORUMLULUĞU

Veri işleyenin sorumluluğu kapsamında değerlendirme yapabilmemiz için veri sorumlusunun kanundan doğan yükümlülüklerini de değerlendirmemiz gerekmektedir. Bundan dolayı öncelikle Veri Sorumlusunun yükümlülüklerinden bahsedip daha sonra veri işleyenin sorumlulukları kapsamında değerlendirmelerde bulunacağız.

VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ

Veri sorumlusunun veri işleme faaliyetinden doğan kanunun öngördüğü belli başlı yükümlülükleri vardır.

Bunlar:

1)AYDINLATMA YÜKÜMLÜLÜĞÜ

Kanun, kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi edinme hakkı tanımakta ve bu hususları, veri sorumlusunun aydınlatma yükümlülüğü kapsamında ele almaktadır. Buna göre veri sorumlusu Kanunun 10. Maddesi çerçevesinde, Kişisel Verilerin elde edilmesi sırasında bizzat kendisi  veya yetkilendirdiği kişi aracılığıyla, ilgili kişiyi(veri sahibi) aşağıda belirtmiş olduğum hususlar konusunda bilgilendirmekle yükümlüdür.

a) Veri sorumlusunun ve varsa temsilcisinin kimliği,

b) Kişisel verilerin hangi amaçla işleneceği,

c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

d) 11 inci maddede sayılan diğer hakları,”

            Aydınlatma Yükümlülüğü başlıklı 10. Maddesinin d) bendinde atıfta bulunulan,ilgili kişinin hakları başlıklı 11. Maddede belirtilen haklar aşağıda belirtilmiştir:

(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,

b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

e) 7’nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.”

            11. maddenin, e) bendinde belirtilen “Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi” başlıklı 7. Maddede öngörülen şartlar, ilgili kişinin, kişisel verisinin silinmesini, yok edilmesini veya anonim hale getirilmesinin şartlarını ihtiva etmektedir. Bu şartlar:

(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir”

2) VERİ GÜVENLİĞİNE İLİŞKİN YÜKÜMLÜLÜKLER

            Kanunun Veri Güvenliğine ilişkin yükümlülükler başlıklı 12. Maddesine göre:

(1) Veri sorumlusu:

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir.

 Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.”

            Yukarıda belirtmiş olduğum Kanunun 12. Maddesinin 5. Fıkrasında belirtilen husus veri sorumluları bakımından önem arz etmektedir.

Veri sorumluları kendilerinden kaynaklanan (teknik veya idari tedbirsizlikten kaynaklanan bir sebepten dolayı) veya veri sorumlulularının sebep olmadığı veri güvenliğine ilişkin ihlallerde ticari itibarları zedelenmemesi için bu tür ihlalleri kamuoyundan gizlemektedirler.

Herhangi bir ihlal gerçekleşmesi durumunda Kurum (Kişisel Verileri Koruma Kurumu) resen veya şikâyet üzerine harekete geçerek, gerçekleşen ihlali tespit edip, sadece teknik veya idari tedbir almamaktan kaynaklanan veri ihlaline değil aynı zamanda gerçekleşen veri ihlalini Kuruma en kısa sürede (72 saat) bildirmemekten dolayı da idari para cezası        kesmektedir. Bu nedenle veri sorumlulularının bildirim yükümlülüğünü önemsiyor, veri sorumlularına bu hususta azami önem göstermelerini öneriyoruz.

3)VERİ SORUMLULULARI SİCİLİNE KAYIT YÜKÜMLÜLÜĞÜ(VERBİS)

Veri Sorumluları Sicili (VERBİS), veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir.

Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları,

Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları,

Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları,

Veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Yukarıdaki kriterleri sağlamayan Veri Sorumluları da VERBİS’e isteğe bağlı olarak kayıt olabilirler.

  • Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır:

a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.

b) Kişisel verilerin hangi amaçla işleneceği.

c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.

ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.

d) Yabancı ülkelere aktarımı öngörülen kişisel veriler.

e) Kişisel veri güvenliğine ilişkin alınan tedbirler.

f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

4)İLGİLİ KİŞİLER TARAFINDAN YAPILAN BAŞVURULARIN CEVAPLANMASI YÜKÜMLÜLÜĞÜ

Veri Sorumluluları, ilgili kişinin, Kanunun 11 inci maddesinde belirtilen hakları kapsamında, ilgili tebliğde (VERİ SORUMLUSUNA BAŞVURU USUL VE ESASLARI HAKKINDA TEBLİĞ) belirtilen vasıtalarla ilettiği taleplerini, etkin, hukuka ve dürüstlük kuralına uygun olarak (talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak) cevaplandırmakla yükümlüdür.

İlgili kişinin talebinin kabul edilmesi hâlinde, veri sorumlusunca talebin gereği en kısa sürede (30 gün) yerine getirilir ve ilgili kişiye bilgi verilir.

5)KURUL KARARLARININ YERİNE GETİRİLMESİ YÜKÜMLÜLÜĞÜ

Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.

Veri sorumlusu, Kurul Kararını yerine getirmemesi durumunda, Kanunda belirtilen tutar aralığında idari para cezasıyla cezalandırılır.

VERİ İŞLEYENİN SORUMLULUĞU

Veri işleyeni, veri sorumlusunun verdiği yetkiye dayanarak, onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlamıştık. Veri işleyenin, veri sorumlusunun yönlendirmesi doğrultusunda ve aralarında yapmış oldukları anlaşma çerçevesinde veri işleme faaliyeti gerçekleştirmesinden dolayı, veri işleyenin sorumluluğu kanunumuzda dar kapsamda düzenlenmiştir.

Veri işleyenin sorumluluğuna ilişkin ilk inceleyeceğimiz husus veri güvenliğine ilişkindir:

VERİ İŞLEYENİN VERİ GÜVENLİĞİNE İLİŞKİN SORUMLULUĞU

Kanun, Veri Güvenliğine İlişkin Yükümlülükler başlıklı 12. Maddesinin 2.fıkrasında,” Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.”

Dolayısıyla veri işleyen,

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak hususunda veri sorumlusu ile müştereken sorumludur.

Söz konusu maddeden şu sonucu çıkartabiliriz; veri sorumlusu ile veri işleyen, veri güvenliğine ilişkin ihlallerde payları oranında (kusurları oranında) sorumlu olması gerekmektedir.

Kanunun Kabahatler başlıklı 18. Maddesinin 2. Fıkrasında Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.” hükmü yer almaktadır. Bu hükme göre veri sorumlusu ve veri işleyen, Veri Güvenliğine ilişkin ihlallerde müşterek sorumlu olmalarına rağmen (m.12/2) Kurum (KVKK) idari yaptırımı sadece veri sorumlusuna uygulayacaktır.

Bu hükümden Kurum, yaptırım konusunda Veri İşleyeni muhatap almadığı sonucunu çıkartabiliriz.

Veri Sorumlusu, gerçekleşen veri güvenliği ihlallerinde (yeterli teknik veya idari tedbir almamak) müşterek sorumluluğa dayanarak (m.12/2) veri işleyene, veri işleyenin kusuru oranında, rücu etme hakkı saklıdır.

VERİ İŞLEYENİN AYDINLATMA YÜKÜMLÜLÜĞÜ DEĞERLENDİRMESİ

Kanunun Aydınlatma Yükümlülüğü başlıklı 10. Maddesinin 1. Fıkrasında “Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi ilgili kişileri bilgilendirmekle yükümlüdür.” Hükmü yer almaktadır. Söz konusu maddede geçen “Yetkilendirdiği kişi” kavramı önem arz etmektedir.

Eğer veri sorumlusunun yetkilendirdiği kişi, veri işleyen ise Veri işleyenin ilgili kişileri Aydınlatma yükümlülüğü gündeme gelir, dolayısıyla da Veri işleyen, Kişisel Verilerin elde edilmesi sırasında ilgili kişileri bilgilendirmekle yükümlü hale gelmektedir.

Bu yükümlülüğe aykırılık durumunda ilgili bölümde de bahsettiğimiz gibi, Veri İşleyenin Aydınlatma Yükümlülüğüne aykırı faaliyetinden dolayı Veri Sorumlusuna idari yaptırım uygulanacaktır. (M18/2)

Veri sorumlusunun, aralarında akdetmiş oldukları sözleşmeye (veri sorumlusu-veri işleyen) ve kanunda belirtilen müşterek sorumluluk hükmüne dayanarak veri işleyenin kusuru oranında rücu hakkı saklıdır.

AÇIK RIZA ALINMASI GEREKEN DURUMLARDA VERİ İŞLEYENİN SORUMLULUĞU DEĞERLENDİRİLMESİ

Kanunun, Kişisel Verilerin İşlenmesinin Şartları başlıklı 5. Maddesinin 1. Fıkrasındaki” Kişisel Veriler ilgili kişinin Açık Rıza olmaksızın işlenemez.” hükmü gereğince hukuka uygun veri elde edebilmek için ilgili kişinin açık rızasının alınması gerekmektedir. Bu açık rızanın, veri işleyen tarafından mı veri sorumlusu tarafından mı yoksa her ikisi tarafından mı alınması gerektiği kanunda düzenlenmemiştir.

Aydınlatma yükümlülüğü başlıklı 10. Maddesinin 1. Fıkrasında geçen “Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi…” ibaresindeki yetkilendirdiği kişinin yukarıda da belirttiğimiz gibi veri işleyen olması durumunda, aydınlatma yükümlülüğünü veri işleyenin gerçekleştireceğinden, açık rıza alınması için ilgili kişinin aydınlatılması gerektiğini de göz önünde bulundurarak, her ikisinin de (veri işleyen veya veri sorumlusu) Açık Rıza alabileceği kanaatindeyiz.

Diğer durumda ise (veri sorumlusunun, veri işleyeni aydınlatma yükümlülüğü kapsamında yetkilendirmediği durumda) Açık Rızanın ancak Veri Sorumlusu tarafından alınması gerekmektedir.

SIR SAKLAMA YÜKÜMLÜLÜĞÜ ÇERÇEVESİNDE VERİ İŞLEYENİN SORUMLULUĞU

Kanunun 12. Maddesinin 4. Fıkrasına göre “Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.”

Dolayısıyla veri işleyen de veri sorumlusu gibi elde ettiği, muhafaza ettiği, genel ifadeyle işlediği kişisel veriler kapsamında sır saklama yükümlülüğü altındadır.

AMACI DIŞINDA VERİ İŞLEME FAALİYETİ KAPSAMINDA VERİ İŞLEYENİN SORUMLULUĞU

Sır saklama yükümlülüğüyle birlikte veri işleyen, kişisel verileri işleme amacı dışında kullanmamakla yükümlüdür. (M12/4)

Veri işleyenin bu yükümlülüklere aykırı faaliyetlerinden dolayı ileride çıkabilecek zararlara karşı aşağıda açıklamış olduğumuz haksız fiil sorumluluğu gündeme gelecektir.

VERİ İŞLEYENİN HAKSIZ FİİL SORUMLULUĞU

Veri işleyenin ilgili kişiyle (veri sahibi) herhangi akdi bir ilişkisinin olmaması sebebiyle Veri İşleyenin hukuka aykırı bir fiilinden dolayı (Hukuka Aykırı Bir Şekilde Kişisel Verinin İşlenmesi) Veri İşleyenin Haksız Fiil sorumluluğu gündeme gelecektir.

Kanunun 12. Maddesindeki hüküm uyarınca veri sorumlusu da veri işleyenin söz konusu haksız fiilinden ötürü, veri işleyenle birlikte sorumlu addedilecektir. Bu bağlamda veri işleyenin; veri sorumlusu adına ve veri sorumlusunun verdiği talimat gereği işin ifası sırasında ilgili kişiye vermiş olduğu zararın, veri sorumlusu tarafından tazmin edilmesi gerekliliğinden söz etmek mümkün olacaktır.

Veri sorumlusu, veri işleyeni seçerken, veri işleme faaliyetiyle ilgili talimat verirken, gözetim ve denetimde bulunurken, zararın doğmasını engellemek için gerekli özeni gösterdiğini ispat edebilmesi, sorumluluğun tayini açısından önem arz etmektedir. (TBK m66/2)

Söz konusu özenin ispat edilmesi halinde, Kanunun veri sorumlusunun müşterek sorumluluğuna dair hükmü nasıl tatbik edileceği belirsizliğini korumaktadır.TBK madde 66’daki hükmün uygulanması durumunda, veri sorumlusu, kanunda (TBK 66) belirtilen özen sorumluluğunu yerine getirdiğini ispat etmesi durumunda, sorumlu olmayacağı kanaatindeyiz.

Dolayısıyla veri sorumlusu, tazmin etmiş olduğu zarar için, veri işleyene, onun sorumlu olduğu ölçüde, rücu eder. (TBK M66/4)

TCK M. 135-140 BAKIMINDAN VERİ İŞLEYENİN SORUMLULUĞU

Türk Ceza Hukukunun en temel ilkelerinden biri olan “Suçta ve Cezada Şahsilik” ilkesi gereği kimse başkasının fiilinden dolayı sorumlu tutulamaz. (TCK M.20)

Dolayısıyla Veri işleyenin hukuka aykırı bir şekilde kişisel verileri kaydetmesi, üçüncü kişiye aktarması, ele geçirmesi veya yok etmemesi fiillerinden doğan cezai sorumluluk, şahsilik ilkesi gereği sadece veri işleyeni kapsamaktadır. Veri sorumlusunun, veri işleyenin fiillerinden dolayı herhangi bir cezai sorumluluğu bulunmamaktadır.

SONUÇ

Veri sorumlusu ile Veri işleyen arasındaki ilişkinin sıkı olmasından dolayı, ayrıma gitmekte bazı zorluklar yaşamaktayız. Şüphesiz ki bu iki konu arasındaki ayrımın daha belirgin hale gelmesi, ilgili kanuni düzenlemelere ayrıntılı hükümlerin getirilmesi ile gerçekleşebilir. Avrupa Birliğine üye devletlerin ortak Veri Koruma Yasası olan GDPR(Avrupa Genel Veri Koruma Tüzüğü)’da bu hususla ilgili ayrıntılı düzenlemeler mevcuttur. GDPR kapsamındaki hükümlerin, çalışmamızın içeriğini daraltmak adına kapsam dışı bırakmamızdan dolayı söz konusu düzenlemelere değinmedik. Ancak bu konu hakkında kısa bir değerlendirmede bulunmak istiyorum. Bildiğiniz üzere KVKK’nın mehaz düzenlemesi, Mayıs 2018 tarihinde GDPR’ın yürürlüğe girmesiyle yürürlükten kalkan 24 Ekim 1995 tarihli “95/46/AT sayılı Avrupa Parlamentosu ve Konseyi Yönergesi”dir. Söz konusu direktif(95/46/AT)  veri işleyenin sorumluluğu hususunu dar kapsamda incelediğinden dolayı KVKK kapsamında da bu husus dar kapsamda düzenlenmiştir. Geçtiğimiz aylarda Hükümetin açıklamış olduğu 11. Kalkınma Planında Kişisel Verilerin Korunması kapsamında gerekli kanuni düzenlemelerin getirileceği hususu açıklanmış olup, söz konusu kanuni düzenlemelerin, GDPR kapsamındaki düzenlemeler dikkate alınarak, getirileceğini öngörüyoruz. Dolayısıyla ilerleyen süreçlerde yapılacak değişikliklerle ve eklemelerle bu konu hakkında daha ayrıntılı düzenlemelerin getirileceği ve bu sayede daha temelli tartışmaların gerçekleşeceği kanaatindeyiz.

Etiketler:
Haber Editörü : Tüm Yazıları
İstanbul Üniversitesi Hukuk Fakültesi mezunu KVKK uzmanı
YORUM YAZ