Veri İşleyen Olarak Müşterinize Karşı Sorumluluklarınız Neler?

Kişisel Verilerin Korunması Kanunu’nda veri sorumlusu, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanır. Veri işleyen de “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlanır.

Kişisel Verileri Koruma Kurumu rehberine göre “Veri işleyenler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişidir“.

Müşterilerinizin veri sorumlusu sizin veri işleyen olduğunuz durumlarda yapmanız gerekenleri biliyor musunuz? Cevabınız hayır ise bu yazıda pratikte yapmanız gerekenleri ana hatlarıyla bulacaksınız.

Veri işleme sözleşmesi imzalayın

• Müşteriniz ile bir veri işleme sözleşmesi imzalamalısınız. Veri işleme sözleşmesinde, veri işlemenin konusunu, işlenen veri kategorilerini, işleme amacını, süresini, ilgili kişi kategorilerini belirleyin. Veri işleme sözleşmesinde, veri işleyen olarak veri güvenliği ve gizliliğini sağlamak için üzerinize düşenleri düzenleyin. Veri işleme sözleşmesinde olması gereken hükümlere ilişkin detaylı bilgiyi buradan okuyabilirsiniz. 

• Unutmayın, veri işleme faaliyetlerini veri sorumlusunun talimatlarına uygun yapmalısınız. O yüzden müşterinizin talimatlarını yazılı bir liste olarak tutun.

• Müşterilerinizin ve onlar adına yaptığınız veri işleme faaliyetlerinin kaydını tutun.

Başka bir veri işleyen için izin alın

• Başka bir veri işleyen görevlendirmek için mutlaka veri sorumlusu müşterinizin iznini almanız gerekir. Bu izni veri işleme sözleşmesi içinde genel bir izin olarak alabilir veya ilgili veri işleyenleri spesifik olarak belirterek özel izin olarak alabilirsiniz.

Kişisel verilerin güvenliğini sağlayın

• Müşteriniz için işlediğiniz verilerin güvenliği ve gizliliği için yeterli idari ve teknik tedbirleri almak zorundasınız. Kişisel verilerin güvenliği için aldığınız idari ve teknik tedbirlerle ilgili müşterinizi bilgilendirin ve alınan tedbirlerle ilgili dokümantasyonunuzu paylaşın. 

• Müşterilerinize sunduğunuz uygulamalar, araçlar, ürünler vb. kişisel veri koruma mevzuatına ve gerekliliklerine uyumlu olmalı. Sadece veri işleme faaliyeti için gerekli verilerin işlendiğinden emin olun.

• Müşteriniz ile yaptığınız kullanıcı sözleşmesi veya üyelik sözleşmesi gibi hizmet sağlanmasına yönelik sözleşmeniz sona erince veya daha öncesinde veri işleme amacı sona erdiyse o vakit, bütün verileri silin veya veri sorumlusuna iade edin. Verilerin başka nüshalarının sizde kalmadığından emin olun.  

Çalışanlarınızı bilgilendirin

• Veri işleme faaliyetinde görevli çalışanlarınızı veri güvenliği ile ilgili bilgilendirin ve gizlilik yükümlülüğü altına alın.

Veri sorumlusu müşterinizin yanında olun

• Veri ihlali olması halinde müşterinizi hemen detaylı şekilde bilgilendirin. Veri ihlalinden Kişisel Verileri Korunması Kurumu’nu bilgilendirmek müşterinizin sorumluluğunda olduğu için, onun yükümlülüğünü zamanında yerine getirmesine yardımcı olmalısınız.

• İlgili kişiden Kanunda sayılan haklarından bir veya birkaçını kullanmak için talep gelirse, müşterinizi hemen bilgilendirin ve veri sorumlusu olarak yükümlülüğünü yerine getirebilmesi için mümkün olan olanakları sunun.

Bunları yapmayın

• Veri sorumlusunun talimatı dışında veri işlemeyin.
• Veri ihlalini bildirmekte gecikmeyin.
• Yeterli güvenlik tedbiri sunmayan başka bir veri işleyen kullanmayın.