Veri İhlali Durumunda Veri Sorumlusu ve Veri İşleyenin Tazminat Sorumluluğu

Veri İhlali Durumunda Veri Sorumlusu ve Veri İşleyenin Tazminat Sorumluluğu

6769 sayılı Kişisel Verilerin Korunması Kanunu kapsamında gerçek kişilerin verilerini kişilerin rızası dahilinde belirli amaçlar ile elinde bulunduran ve işleyen tüzel ve gerçek kişiler veri sorumlusudur. Veri sorumlusunun verdiği yetkiye dayanarak kişilerin verilerini işleyen gerçek veya tüzel kişi ise veri işleyen sıfatındadır.

Kişilerin belirli amaçlar doğrultusunda rızaları ile veri sorumlusuna bildirdikleri kişisel verilerin saklı tutulması ve amacı dışında işlenmemesi ile ilgili sorumluluk veri sorumlusuna aittir. Veri sorumlusunun bu yükümlülüğünden doğmuş olan ihlali nedeniyle zarar gören kişi zararlarının tazmini için veri sorumlusuna başvurabilecek, hukuki haklarını kullanabilecektir.

Veri sorumlularının veri ihlali nedeniyle doğmuş  olan zarardan dolayı tazminat sorumlulukları 6098 sayılı Türk Borçlar Kanunu kapsamında belirlenmektedir. Buna göre veri sorumlusunun sorumluluğu bazı durumlarda bir kusur, bazı durumlarda bir tehlike sorumluluğu olarak karşımıza çıkmaktadır. Kişisel verilerin kanuna uygun olarak işlenmemesi ve gerektiği gibi gizliliğinin sağlanmadığı durumlarda veri sorumlusunun kusur sorumluluğu gündeme gelecek, veri sorumlusu kusuru oranında veri ihlalinden sorumlu olacaktır. Veri işleyenin sorumluluğu da bu noktada gündeme gelecektir. Veri işleyen olarak yetkilendirilen gerçek veya tüzel kişi bu görevini yerine getirirken veri sorumlusunun hukuka uygun olarak verdiği talimatlar doğrultusunda hareket etmez ve bu yönde bir kusuru, kastı veya ihmali nedeniyle veri ihlaline neden olacak olursa bu hareketi nedeniyle veri ihlalinden dolayı sorumlu olacaktır. Veri sorumlusu veya veri işleyenin veri ihlalinde herhangi bir kusuru, kastı veya ihmali olmadığını kanıtlaması durumunda söz konusu sorumluluktan kurtulacaklardır.

Kusur sorumluluğundan kurtulmak adına veri sorumlusunun yapması gereken, gerçek kişilerin verilerini alırken hukuk çerçevesinde hareket ettiğinden emin olmak, veri işleyen yetkilendirilirken görevi ile ilgili tanımı kendisine anlatılarak ve gerekli eğitim verilerek yetkilendirmek, veri işleyenin yetkisinin sınırlarını hukuki bir çerçevede çizerek bildirmek, veri işleyene yetkisiyle ilgili talimat verirken gelecekte doğabilecek olan sorumlulukları da dikkate alarak tüm talimatları yazılı olarak vermesidir. Zira gelecekte doğabilecek olan bir veri ihlali sorumluluğunda tüm talimatların yazılı olarak veriliyor olması veri sorumlusunun kusuru bulunmadığını kanıtlamak için bir delil niteliğinde olacaktır.

Yukarıda anlatıldığı gibi veri ihlali durumunda veri sorumlusu bu ihlalden sorumlu olacaktır. Ancak veri sorumlusunun yetkilendirmiş olduğu veri işleyen, bu sıfatından dolayı doğmuş olan bir yükümlülüğünü ihlal etmiş, veri sorumlusunun hukuka uygun olarak vermiş olduğu talimatlara uygun davranmamış veya kötü niyetli olarak veri ihlaline sebep olmuş ise doğmuş olan zarardan dolayı sorumlu olacak ve veri sorumlusu hem veri ihlali durumunun oluşmasında hem de veri işleyenin işi ile ilgili gerekli özen ve denetim yükümlülüğünü gösterdiğine dair kusursuzluğunu ispat ettiğinde sorumluluktan kurtulacaktır.

Veri ihlali konusunda doktrinde bahsedilen ve gelecek dönemde karşı karşıya kalabileceğimiz ayrıca bir tehlike sorumluluğu bulunmaktadır. Bu sorumluluk esas itibarı ile veri sorumlusunun veri toplarken ve işlerken bu verilerin kendi kontrolü dışında sızabileceğini kabul etmiş olduğu bir sorumluluktur. Veri sorumlusu veri işlerken bu verilerin çalınabileceği tehlikesini biliyor olarak veri işlemeye başlamış bulunmaktadır. Veri işlenirken veri sorumlusu, kişisel verilerin güvende olduğunu her ne kadar kesin olarak garanti edemeyecek olsa da söz konusu tehlike için gerekli önlemleri almak durumundadır. (Örneğin; veri işlenen programa belirli kişilerin erişim yetkisinin olması, söz konusu bilgisayarın gerekli antivirüs donanımı olması vb.)

Söz konusu sorumluluk veri sorumlusunun elinde bulundurmakta ve işlemekte olduğu kişisel verilerin sızmaması ile ilgili gerekli tedbirleri almasını gerektirecek bir sorumluluktur. Zira veri sorumlusu gerekli tedbirleri almasına rağmen bilgisayar korsanlarının saldırısına uğrayıp söz konusu verileri koruyamadıysa, gerekli tedbirleri aldığını kanıtlayarak söz konusu sorumluluktan kurtulabilecek, ancak konu ile ilgili sistemde bir güvenlik zaafiyeti olduğunun ortaya çıkması durumunda bu durumla ilgili sorumluluk veri sorumlusunun olacaktır.

Sonuç olarak veri sorumlusu veya veri işleyen doğmuş olan zarardan dolayı sorumlu tutuluyorlar ise sorumluluktan ancak zararı doğuran duruma hiçbir şekilde sebep olmadıklarını kanıtlayarak kurtulabilirler. Bu nedenle veri sorumlusunun yetkilendirmiş olduğu veri işleyene kişisel verilerin işlenmesi ile ilgili bir talimat verilirken gelecek dönemde oluşabilecek herhangi bir veri ihlali nedeniyle oluşacak olan zarardan sorumlu olmamak adına verilen talimatların yazılı olarak verilmesi ve veri işleme sisteminin veri işleyenin iyi niyet kuralına aykırı olarak gerçekleştirebileceği herhangi bir fiil dışında veri ihlaline açık hale gelmeyecek bir sistem olması gerekmektedir. Bu sistem herhangi güvenli ve yapılan işlemlerin takip edilebileceği bir server olabileceği gibi kurumun içerisinde sadece belli yetkili kişilerin girdiği bir hesap veya bilgisayar ile yapılabilecek virüs korumasından emin olunan bir bilgisayar, server ve sistem ile yapılabilecektir.

Çitil Avukatlık Ortaklığı web sitesi üzerinde yer alan makaleler ile ihitiyacınız olan bilgilere ulaşabilirsiniz. Sonrasında merak ettikleriniz için ve ihtiyaç duyduğunuz hukuki konuda uzman yardımı almak için dilediğiniz zaman web sitemizde yer alan iletişim kanallarından bizlere ulaşabilirsiniz.

Çitil Avukatlık, her zaman yanınızda

Çitil Avukatlık

Av. Bensu Berivan Özkan Hakkında

Eğitim:
English, German, LL.B. İstanbul Bilgi University
Uzmanlık:
Aile Hukuku, İcra ve İflas Hukuku, İş Hukuku, Tüketici Hukuku, Miras Hukuku, Moda Hukuku

Son Eklenen Makaleler