25 Mayıs 2018 tarihi itbarıyla hayata geçirilen Avrupa Birliği Genel Veri Koruma Yönetmeliği, İngilizce kısa ismiyle GDPR, Türkiye’de faaliyet gösteren pek çok şirket için de önemli sorumluluklar barındırıyor. Ünsal Gündüz Avukatlık Ortaklığı’ndan Avukat Mert Yaşar, Türkiye’de yürürlükte olan 6698 sayılı Kişisel Veri Koruma Kanunu (KVKK) ile GDPR arasındaki farkları ve Türk şirketlerinin uyumluluk sürecinde dikkat etmeleri gereken hususları 5 maddede şöyle özetliyor:
1. Veri işleyen ve veri sorumlusu, aralarında bir veri işleme sözleşmesi yaparak, işlemenin mahiyetini ve amacını, işlemenin konusunu ve süresini, işlenecek olan verinin ve very sahibinin tipini ve kategorisini, ayrıca veri sorumlusunun haklarını ve sorumluluklarını belirlemek zorundadır.
2. Veri işleyen, veri sorumlusunun talebi üzerine, hizmet süresi bittiğinde eğer Birlik veya Üye Ülke mevzuatı aksini öngörmüyorsa, tüm kişisel verileri silmek veya iade etmek zorundadır.
3. Veri işleyen, veri sorumlusuna GDPR’a uyum gösterdiğine dair gerekli tüm bilgiyi sağlamak ve veri sorumlusuna denetleme yapma imkanı tanımak zorundadır.
4. Veri işleyen, alt veri işleyenlerin hizmetlerinden faydalanabilir. Ancak bunun için veri sorumlusunun önceden iznini almak zorundadır. Böyle bir durumda, alt veri işleyenle, kendisiyle veri sorumlusu arasındaki veri işleme sözleşmesi çerçevesindeki sorumlulukların aynısını içeren bir sözleşme yapması gerekir.
5. Veri işleyenin çalışanları ve yüklenicileri, usulüne uygun bir gizlilik yükümlülüğü altında olmalıdır.
Veri işleyen aşağıdaki hallerde AB nezdinde yazılı olarak bir temsilci atamalıdır:
- Veri işlemenin büyük ölçekte yapılıyor olması,
- Hassas kişisel veri işleniyor olması,
- Adli sicile ilişkin veri işleniyor olması,
- İşlemenin doğası, amacı ve kapsamı itibarı ile gerçek kişilerin temel hak ve hürriyetlerini ilgilendirecek bir sonuç doğuracak olmasının yüksek bir ihtimal teşkil ediyor olması.
Av. Mert Yaşar, Ünsal Gündüz Avukatlık Ortaklığı
Yorumlar