Veri Sorumlusu Tüzel Kişilik İçerisinde Veri İşleme Faaliyetlerinden Sorumlu Olan Kişi veya Kişiler midir?
Kanunda veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak ifade edilmektedir. Bu kapsamda veri sorumlusu, tüzel kişiliğin kendisi olduğundan tüzel kişiliğin içerisinde veri işleme faaliyetlerinden sorumlu olan gerçek kişiler Kanunun uygulanması bakımından veri sorumlusu sayılmazlar.
Dolayısıyla, veri sorumlusu yükümlülüğü ilgili tüzel kişilik üzerinde doğacak ve bu yükümlülük tüzel kişiliği temsil ve ilzama yetkili organlar veya kişiler eliyle yerine getirilecektir. Tüzel kişiliği temsil ve ilzama yetkili olan organ veya kişiler, tüzel kişilik içerisinde tüzel kişiliğin sahip olduğu veri sorumlusu yükümlülüklerini yerine getirmek üzere kişi veya kişileri görevlendirebilirler. Bu görevlendirme tüzel kişiliğin veri sorumlusu yükümlülüğünü ortadan kaldırmayacağı gibi, ilgili gerçek kişilerin de veri sorumlusu olarak tanımlanmasını sağlamayacaktır.
Veri Sorumlusu Sorumluluğunu Devredebilir Mi?
İdari para cezasının sorumlusu, veri sorumlusudur. Yani şirketin tüzel kişiliğidir. KVKK anlamında yapılan ihlal şirket personeli tarafından yapılmış olsa dahi Kişisel Verileri Koruma Kurumu ilk olarak şirketin tüzel kişiliğini muhatap almaktadır.
Ayrıca veri sorumlusu idari ve teknik tedbirler almalıdır. Bunlara ek olarak veri sorumlusu olan şirket, muhatap olduğu 3. Gerçek veya tüzel kişiler ile yapacağı sözleşmelerle şart ve tazminat yükümlülüğü gündeme getirip kendisini korumalıdır. Örneğin şirketin personel adayı, personel, müşteri, misafir, Bundan ayrı olarak veri işleyenin hukuka aykırı davranışı varsa TCK 135, 136 vd. anlamında sorumluluğu vardır.
Ayrıca veri sorumlusu olan şirketlerin dikkat etmesi gereken konulardan biriside tüzel kişilik olarak yetki devrinde bulunabilir ancak denetim ve gözetim yükümlülüğünü devredemezler. Şirket tüzel kişiliğinin her halükarda sorumluluğu devam etmektedir.
Örneğin A şirketi dışardan hizmet yolu ile B şirketinden KVKK danışmanlık hizmeti almaktadır. A şirketi bünyesinde KVKK anlamında herhangi bir ihlalin varlığı halinde sorumluluğun sadece B şirketine ait olduğunu, bu konuda aralarında sözleşme olduğunu iddia edemeyecektir. Çünkü A şirketi, bünyesindeki veriler üzerindeki denetim ve gözetim yükümlülüğünü hiçbir şekilde devredemez.
Ancak şirket, KVKK anlamında ihlalin varlığı halinde KVKK için danışmanlık aldığı B şirketi ile arasındaki sözleşme çerçevesinde rücu hakkını kullanabilecektir.
Şirketlerin Dikkat Etmesi Gerekenler
Şirketler veri sorumlusu olarak tüm teknik ve idari tedbirleri almak zorunda olduğu için muhatap olduğu 3. Gerçek veya tüzel kişilerle olan ilişkisini KVKK anlamında tedbirler ve sözleşmeler ile hukuki bir zemine taşımalıdır.
Bu sözleşmeler ve tedbirler ile şirket ileri dönemde yaşanacak olan bir KVKK ihlalinde personel adayına, personele, müşteriye, 3. tüzel kişiye rücu hakkını kullanabilecektir. Bu sebeple sözleşmelerin özenle ve dikkatli bir şekilde hazırlanması gerekmektedir.
Uygulamada bir veri sorumlusu aralarında ticari faaliyet ilişkisi bulunan diğer bir veri sorumlusuna bahsedilen sözleşmeyi gönderirken sözleşmeyi kendisini koruyacak şekilde hazırlamaktadır. Bu sebeple KVKK anlamında sözleşmelerin dikkatli bir şekilde incelenmesi, gerekliyse düzeltilmesi gerekmektedir.
Comments