6698 sayılı KVKK'ya göre, bir veri sorumlusunun, veri işleme faaliyetlerinde 'veri işleyen' kullanması, veri güvenliğine ilişkin sorumluluğunu (m.12) ortadan kaldırır mı? Veri işleyenin bir hatası sonucu meydana gelen veri sızıntısından veri sorumlusunun sorumluluğu nedir?

Hayır, ortadan kaldırmaz. Aksine, KVKK m.12/2 bu durumu özel olarak düzenlemiş ve 'Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur' hükmünü getirmiştir. Bu, veri sorumlusunun, veri işleyen seçiminde, denetiminde ve ona talimat vermesinde bir 'özen yükümlülüğü' olduğu anlamına gelir. Bir veri işleyenin (örneğin, bulut hizmeti sağlayıcısı, dışarıdan hizmet alınan çağrı merkezi vb.) güvenlik zafiyeti nedeniyle bir veri sızıntısı meydana gelirse, bu durumdan sadece veri işleyen değil, veri sorumlusu da Kurul'a ve ilgili kişilere karşı 'müştereken sorumlu' olur. Veri sorumlusu, Kurul tarafından verilecek idari para cezasının muhatabı olabilir. Daha sonra, ödediği bu ceza ve zararlar için, aralarındaki sözleşme ve kusur durumuna göre veri işleyenine rücu etme hakkı saklıdır. Ancak üçüncü kişilere ve Kurul'a karşı birincil sorumluluk devam eder.