6698 sayılı Kişisel Verilerin Koruması Kanunu (“Kanun”) uyarınca, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eden veri sorumlusunun aydınlatma yükümlülüğü, veri güvenliğine ilişkin yükümlülüğü, ilgili kişiler tarafından yapılan başvuruların cevaplanması, Kişisel Verileri Koruma Kurulu (“Kurul”) kararlarının yerine getirilmesi yükümlülüğü, Veri Sorumluları Siciline kaydolma yükümlülüğü ve veri ihlali durumunda Kurul’a bildirim yapma yükümlülüğü gibi birtakım yükümlülükleri mevcuttur.
Veri sorumlusunun yükümlülüklerinden biri olan veri güvenliğine ilişkin yükümlülük Kanun’un 12. maddesinde düzenlenmektedir. İlgili madde uyarınca, veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek; kişisel verilere hukuka aykırı olarak erişilmesini önlemek; kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbirleri almak zorundadır. Bununla birlikte veri sorumlusu, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmakla yükümlü kılınmıştır.
Günümüzde birçok veri sorumlusu, bilgi teknoloji ihtiyaçlarını karşılamak için Kanun uyarınca veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlanan veri işleyenlerden hizmet almaktadır. Veri sorumlularının, hizmet alırken söz konusu veri işleyenlerin kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesinin sağlandığından emin olmaları gerekmektedir. Her ne kadar, yükümlülük denildiğinde akıllara yalnızca veri sorumlusu gelse de esasen veri işleyenin de Kanun kapsamında yükümlülüklerinin bulunduğu tartışmasızdır. Zira Kanun’un veri güvenliğine ilişkin yükümlülükleri düzenleyen 12. maddesinin 2. fıkrası gereği veri işleyenler de kişisel verilerin güvenliğinin sağlanması konusunda veri sorumlusuyla müştereken sorumlu tutulmuştur. Bir diğer ifadeyle veri işleyenler de, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma noktasında kanunen yükümlüdür.
Avrupa Birliği Genel Veri Koruma Tüzüğü’nde (‘’GDPR’’) veri işleyenin verilerin güvenliğinden sorumluluğu özel olarak düzenlemiştir. GDPR'ın 28. maddesine göre, herhangi bir veri işleme faaliyeti veri sorumlusunun talimatı üzerine gerçekleştiriliyorsa, veri işleyen GDPR uyarınca belirlenen yönergeleri karşılamak için uygun organizasyonel ve teknik önlemleri almakla yükümlüdür. Ayrıca, veri işleyenler, veri sahibinin haklarının korunmasını sağlamakla yükümlü olduklarından kendi güvenlik önlemlerine de sahip olmalıdır. Herhangi bir veri ihlali tespit edildiği durumda, GDPR’ın 83. maddesi uyarınca veri sorumlusu ve veri işleyen tarafından uygulanan tüm teknik ve organizasyonel önlemler dikkate alınarak, veri sorumlusunun ve veri işleyenin sorumluluk derecesine göre bir para cezası uygulanmaktadır.
Yerel mevzuata bakıldığında, Kanun’un 18. maddesinin 2. fıkrasında, ilgili maddede öngörülen idari para cezalarının, veri sorumlusu olan gerçek ve özel hukuk tüzel kişileri hakkında uygulanacağı düzenlenmiştir. Bu nedenle Kurul’un kişisel verilerin güvenliğinin sağlanması hususunda veri işleyenler ile veri sorumlularının müşterek sorumluluklarına ilişkin olarak verdiği ihlal kararlarında, idari para cezaları veri sorumlusu üzerinde doğarken; veri işleyenin sorumluluğu veri sorumlusunun kusurluluk derecesini etkileyen bir husus olarak değerlendirilmektedir.
Bu minvalde, Kurul’un 07.10.2021 tarih ve 2021/1021 sayılı kararına konu şikayette, veri sorumlusunun müşterisine ait kişisel veriler bir forum sitesinde üçüncü kişiler tarafından satılmaya çalışılmıştır. İlgili kararda Kişisel Verileri Koruma Kurumu’na (“Kurum”) sunulan ekran görüntülerinde veri sorumlusunun müşterilerine ait kişisel verileri satışa çıkaran kullanıcının, aynı forum sitesinde ve aynı tarihte başka veri sorumlularının müşterilerine ait verileri de satışa çıkardığının görüldüğü; anılan veri sorumlularının da aynı veri işleyenden hizmet aldıkları/almakta
oldukları; bu anlamda aynı veri işleyenden hizmet alan farklı veri sorumlularının müşterilerine ait kişisel verilerin, aynı kullanıcı tarafından aynı internet sayfasında ve aynı tarihte satışa çıkarılmasının tesadüf olarak değerlendirilemeyeceği ve verilerin veri işleyen sistemlerinden elde edilmiş olduğu yönündeki iddiaya dayanak teşkil ettiği belirtilmiştir. İlgili kararda Kurul, Kanun’da belirtilen veri işleyen ile veri sorumlusunun uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakta müştereken sorumlu olmaları hükmünün veri sorumlusunun veri güvenliğine yönelik hükümlerini ortadan kaldırmadığını belirtmiştir. Bununla birlikte veri işleyenin de uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almakla bağlı olduğu, veri işleyenin kişisel verilerin korunması hususunda uygun güvenlik düzeyini temin etmesini garanti altına almak noktasında üzerine düşen denetim tedbirini almadığı; ayrıca veri sorumlusunun, veri işleyenin muhafaza ettiği kişisel verilerin imhasına yönelik olarak aralarındaki ticari ilişkinin sonlanmasını müteakip gerekli girişimlerde bulunması gerekirken bunu ihlalden sonra yaptığı belirtilmiştir. Kararda, veri işleyenin ihlallerinin de sonuçları olduğuna dikkat çekilerek, veri sorumlusuna kusuru oranında 450.000 TL idari para cezası uygulanmıştır.
Kurul’un 12.08.2021 tarih ve 2021/799 sayılı bir başka kararında ise uluslararası geçerliliği olan bir dil sınavı konusunda ilgili akredite kuruluşun düzenlemiş olduğu sınava giren bir kişi, bu sınav öncesinde herhangi bir veri işleme şartına dayanmaksızın kendisine ait özel nitelikli kişisel verisi olan görsel kaydının (biyometrik fotoğraf) ve parmak izinin alındığını, giriş kaydının alternatif yollarla sağlanmasının mümkün olduğunu, bu kapsamda bahsi geçen kuruluşa başvuruda bulunarak Kanun’un 11. maddesi kapsamındaki hakları ve kişisel verilerinin saklama süresi sona erince ne şekilde imha edildiği hakkında bilgi edinme talebinde bulunduğunu, ancak başvurusunun haksız ve mesnetsiz gerekçelerle reddedildiğini belirterek Kurum’a şikayette bulunmuştur. Kurul ilgili kararda sınavı düzenleyen akredite kuruluşun veri işleyen olduğunu ifade etmiştir. Kararda ilgili kişinin Kanun kapsamında bilgi edinmeye yönelik taleplerine, talebi olmayan bir içerikle Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e (“Tebliğ”) uygun olmayacak bir şekilde cevap verildiği bu anlamda ilgili kişinin taleplerinin yanıtsız bırakıldığı, bununla birlikte ilgili kişinin başvurusunda yer alan taleplerini veri sorumlusu adına cevaplayabileceği dikkate alındığında veri işleyenin Kanun kapsamında kendisine yapılan başvurulara cevap verirken Kanun ve Tebliğ’in ilgili hükümlerine uyum konusunda gerekli dikkat ve özeni göstermediği belirtilmiştir. İlgili kararda Kurul tarafından veri sorumlusu hakkında idari para cezası uygulanmasına karar verilirken, veri işleyen hakkında yalnızca Türkiye’de sınava girişte kimlik doğrulaması amacıyla adaylardan parmak taraması kaydı alınması uygulamasına alternatif bir kimlik doğrulama sisteminin kullanılması, bu kapsamda veri işleyen başta olmak üzere Türkiye’deki yetkili test merkezlerinin bu sisteme uymasının sağlanması ve sonucundan Kurula bilgi verilmesi gerektiği yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.
Tüm bu bilgiler ışığında, veri sorumlularının veri işleyenlerden hizmet aldıkları durumlarda, veri işleyen ile imzalanacak olan sözleşmelerin yazılı olmasına, veri işleyenin sadece veri sorumlusunun talimatları doğrultusunda, sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket edeceğine ilişkin hüküm içermesine ve kişisel veri saklama ve imha politikasına uygun olmasına dikkat edilmelidir. Bununla birlikte ilgili sözleşmede veri işleyenin, işlediği kişisel verilere ilişkin olarak süresiz sır saklama yükümlülüğüne tabi olacağının da sözleşmede yer alması önem taşımaktadır. Kurum’un yayımladığı, Kişisel Veri Güvenliği Rehberi’nde yine söz konusu sözleşmede herhangi bir veri ihlali olması durumunda, veri işleyenin bu durumu derhal veri sorumlusuna bildirmekle yükümlü olduğunun öngörülmesinin de, veri sorumlusunun bu ihlali derhal Kurul’a ve ilgili kişiye bildirme yükümlülüğünü yerine getirmesi açısından faydalı olacağı belirtilmiştir.