Turkey: Avrupa Uygulamalari Işiğinda Kişisel Verilerin Kontrolünün Kaybedilmesi Halinde Veri Sorumlusunun Yükümlülüğü

İrlanda Kişisel Veri Koruma Otoritesi, Avrupa Genel Veri Koruma Tüzüğü (GDPR) ışığında kişisel verilerin kontrolünün kaybedildiği hallerde veri sorumlusunun nasıl bir yol izlemesi gerektiği konusunda görüş bildirmiş olup; bu görüş Türkiye'deki kişisel veri koruma uygulamaları GDPR'ı yakından takip ettiğinden ülkemizdeki veri sorumluları için de önem taşımaktadır.

Kişisel verilerin kontrolünün kaybedilmesi ve bilgilerin üçüncü taraf kişilerin eline geçmesi, hem veri sorumlusunun yükümlülükleri, hem de ilgili kişinin hakları konusunda büyük risk meydana getirmektedir. Bu türden bir veri ihlali; üçüncü tarafın kötü niyetli ve kasti bir fiiliyle (siber saldırılar gibi) gerçekleşebileceği gibi, yanlışlıkla da meydana gelebilir. Örneğin e-postaların, belgelerin vb. yanlış adrese yollanması sebebiyle veriler, bunları elde etme isteği ya da beklentisi olmayan üçüncü tarafın eline geçebilir. Böyle bir durumda çoğu zaman veri sorumlusunun, veriyi yanlışlıkla elde eden üçüncü taraflardan bu verileri silmeleri ya da imha etmelerini talep etmesi işe yarayacak, üçüncü taraf memnuniyetle talebi yerine getirecektir.

Verilerin korunmasına ilişkin sorun, bu üçüncü kişilerin işbirliği yapmaya yanaşmaması halinde meydana gelir. Bazı hallerde veriyi istenmeyen şekilde elde eden alıcılar, verileri kendi amaçları için kullanmaya karar verebilir, veri sorumlusunu verileri ifşa etmek veya yasa dışı şekillerde kullanmakla tehdit edebilir.

Kişisel verilerin silinmesini ya da iade edilmesini sağlama konusunda temel yükümlülük veri sorumlusundadır. Bu yükümlülük, veri sorumlusunun verileri güvenli bir şekilde işleme ve risklere karşı uygun teknik ve idari tedbirleri alma yükümlülüğünden doğmaktadır.

Böyle bir durumda veri sorumlusuna ilgili kişilerin haklarına yönelen riskleri ele almak ve azaltmak için derhal tüm makul tedbirleri alması tavsiye edilmektedir. Veri ihlalinin yerel veri koruma otoritesine (Türkiye için Kişisel Verileri Koruma Kurumu) bildirilmesinin yanı sıra, veri sorumlusu şunları yapmalıdır;

• Veriyi elinde tutan üçüncü tarafla iletişime geçerek, bu verileri elinde tutmasının hukuka aykırı ve ilgili kişilerin haklarına bir ihlal niteliğinde olduğunu anlatılmalıdır.
• Acil durum eylem planlarını devreye alınmalıdır.
• Etki analizi raporu oluşturulmalıdır.
• Veri sorumlusunun veri koruma ekipleri tarafından olay özelinde denetim ve yönetime ilişkin süreç tasarımı yapılmalıdır.
• Hukuki çözümler ve tedbirler konusunda hukuki danışmanlık alınmalıdır.
• Suç meydana getiren bir durum olduğu takdirde yetkili kurum ve kuruluşlara durum bildirilmelidir.

Bilgi ve değerlendirmenize sunarız.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.