e-Safe Zirveleri

Siber uzay var oldukça, siber güvenlikte var olacaktır. e-Safe Ulusal Güvenlik Etkinlikleri olarak, Siber Güvenlik ve Kişisel Verileri Koruma Sektörlerinin paydaşları olan; üreticiler, satıcılar, kamu, üniversite ve STK’ları bir araya getirerek sektörün sağlıklı gelişmesine katkıda bulunmaya çalışıyoruz. Bu bağlamda e-Safe, yerel sorunlara odaklanmış bir Ulusal Güvenlik Etkinlikleri platformudur.

Ortak veri sorumlusu kavramı ve ilgili Kurul kararı


Ortak veri sorumlusu kavramı ve ilgili Kurul kararı

5’inci e-Safe Kişisel Verileri Koruma Zirvesi, bu yıl ‘’Dijital Çağda Kişisel Verilerin Korunması’’ teması ile 17 Mayıs 2022 tarihinde Kişisel Verileri Koruma Kurumu (KVKK) binasında gerçekleştirildi. Zirve’de Türkiye’nin yakın gelecekte sürekli gündemine girecek olan kişisel verilerin korunmasıyla ilgili yapılması gerekenler, alanında uzman 17 konuşmacı tarafından değerlendirildi.

İşleme amaçları ve vasıtalarını ortak bir şekilde belirleyen iki ya da daha fazla sayıda veri sorumlusunun, ortak veri sorumlusu olarak kabul edildiğini belirten Bilkent Üniversitesi Hukuk Fakültesi Medeni Hukuk Anabilim Dalı Öğretim Üyesi Doç. Dr. Hüseyin Can Aksoy, “Ortak şekilde veri işleme iki anlama gelebilir. Bunlardan ilki ortak karar almak suretiyle olabilir. İkincisinde ise, ortak karar alınmamıştır ama yakınsak kararlar verilmiş olabilir. Yakınsak kararlar; iki veri sorumlusunca verilen kararların birbirini tamamlar nitelikte olması demektir. Tarafların işleme faaliyeti diğeri ile ayrılmaz şekildedir ve her iki tarafında katılımı olmaksızın işleme mümkün değildir. Amacın ortaklaşa belirlenmesi ise, veri sorumlularının birbirleriyle yakından ilgili veya birbirlerini tamamlayan amaçlar gütmeleri halinde de söz konusudur. Ortak veri sorumluluğundan söz edebilmek için amaçların yanında işleme vasıtalarının da ortaklaşa belirlenmesi gerekiyor” dedi.

Ortak veri sorumlularının yükümlülükleri

“GDPR’a göre; ortak veri sorumluları, özellikle veri sahibinin haklarının kullanımı ve aydınlatma yükümlülüğü ile ilgili olarak Tüzük kapsamındaki yükümlülüklere uygunluğa ilişkin sorumluluklarını, aralarındaki bir düzenleme vasıtasıyla şeffaf bir şekilde belirler” diyen Doç. Dr. Hüseyin Can Aksoy, bu düzenleme çerçevesinde veri sahiplerine yönelik bir iletişim noktası belirlenebileceğini söyledi.

Bu düzenlemenin, ortak veri sorumlularının ilgili kişiler karşısındaki rollerini ve ilişkilerini uygun şekilde ortaya koyduğunu da dile getiren Aksoy, “Düzenlemenin mahiyeti de ilgili kişiye sunulmalıdır. Bu düzenlemede en azından aydınlatma yükümlülüğünün yerine getirilmesi gerektiği ifade ediliyor. Ayrıca hangi yükümlülüğün yerine getirilmesinden hangi veri sorumlusunun sorumlu olduğu belirtilmelidir” ifadelerini kullandı.

Ortak veri sorumlularının sorumlulukları

Ortak veri sorumluluğunun, veri sorumluları arasında eşit bir sorumluluğun varlığı anlamına gelmeğini vurgulayan Aksoy, “Çünkü her bir veri sorumlusu veri işleme faaliyetine farklı aşamalarda katılabilir. Her bir veri sorumlusu, yasal bir veri işleme şartının varlığı ve verilerin, verileri paylaşan veri sorumlusu tarafından başlangıçta toplanma amaçlarına uygun olmayan bir şekilde işlenmemesini sağlama yükümlülüğü altındadır. Ortak veri sorumluları arasında yapılan düzenlemeden bağımsız olarak, ilgili kişi Tüzük kapsamındaki haklarını her veri sorumlusuna karşı kullanabilir” şeklinde konuştu.

İlgili Kurul Kararı

“23 Aralık 2021 tarihinde Kurul, ‘Araç kiralama sektöründeki kara liste uygulamaları hakkında bir İlke Kararı’ verdi. Araç kiralama şirketleri, müşterilerinin kişisel verilerini bir yazılım vasıtasıyla işliyorlar. Bu yazılımla her türlü veriyi işlerken aynı zamanda olumsuz bir takım sorunlar ortaya çıktıysa (müşteri araca zarar verdiyse, kaza yaptıysa, ödemeye ilişkin problem çıktıysa) bunları da kaydediyorlar. Bu yazılım farklı araç kiralama şirketlerince de kullanılıyor ve bu işlenen verileri yazılımı kullanan tüm araç kiralama şirketleri erişebiliyor. İlgili kişiler, işlenen verilerinin diğer kişiler ile paylaşıldığından habersizler. Bu verileri çok sayıda kişi kullanabiliyor. Fakat ilgili kişiler, bu çok sayıda kişiye ulaşarak her birine haklarını ileri sürmek bakımından güçlük yaşıyorlar” diyen Aksoy sözlerine şöyle devam etti:

“Bu nedenle Kurul diyor ki; araç kiralama firmaları, gerçek kişi müşterilerden kişisel verileri ilk elden toplayan veri sorumlularıdır. Ancak, yazılıma aktarılan kişisel verilere yazılımı kullanan diğer araç kiralama firmalarının da erişim sağlayabildiği ve veri üzerinde hakimiyetleri olduğu dikkate alındığında, kara liste kaydını kendi menfaatleri doğrultusunda kullanan araç kiralama şirketleri ile yazılım şirketlerinin ortak veri sorumluluğunun ortaya çıkacağı değerlendirilmektedir.”

VİDEO: 406
BAŞLIK: Ortak Veri Sorumlusu Kavramı ve İlgili Kurul Kararı
KONUŞMACI: Doç. Dr. Hüseyin Can Aksoy – Bilkent Üniversitesi Hukuk Fakültesi Medeni Hukuk Anabilim Dalı Öğretim Üyesi
ETKİNLİK: 5. e-Safe Kişisel Verileri Koruma Zirvesi
TARİH: 17 Mayıs 2022, Salı
YER: Kişisel Verileri Koruma Kurumu – Ankara