ERDEM-HUKUK-POSTASI-TR-2018-metin

325 KİŞİSEL VERİLERİN KORUNMASI kuruluş veri sorumlusu olarak adlandırılır. Veri sorumlusu, işlemenin Tüzük’e uygun şekilde gerçekleştirilmesini sağlamak ve bunu ortaya koyabilmek amacıyla uygun teknik ve organizasyonel önlemleri al - makla yükümlüdür. Veri İşleyen Veri işleyen, veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi, kamu otoritesi, veya başkaca bir kamu kuruluşudur. Veri işleyenler, kişisel verileri yalnızca veri sorumlusunun talimatı üzerine işleyebilirler. Veri işleyen, veri sorumlusunun önceden yazılı izni olmadan başka bir veri işleyen ile etkileşimde bulunup başka bir veri işleyen kullanamaz. Veri işleyenin gerçekleştireceği işlemeler, AB veya Üye Devlet kanunları kapsamında bir sözleşme veya başkaca bir hukuki işleme tabi olmalıdır. Ayrıca, veri işleyen, veri sorumlusu ile birlikte, riskle orantılı bir güvenlik düzeyi sağlamak için uygun teknik ve organizasyonel önlemleri uygulamakla yükümlüdür. Kişisel veri güvenliğinin ihlali halinde, veri işleyen, ihlalden haberdar olur olmaz gecikmeksizin gerçekleşen ihlali veri sorumlusuna bildirmekle görevlidir. AB’de Kurulu İşletmesi Olmayan Veri Sorumlularının veya Veri İşleyenlerin Temsilcileri Tüzük’ün 3(2) maddesinin 2 uygulandığı hallerde, AB’de yerleşik olmayan veri sorumlusu veya veri işleyen, AB’de bir temsilci atamakla yükümlüdür. Atanan temsilcinin işletmesi, kişisel verileri işlenen ilgili kişilerin bulunduğu Üye Devletlerden birinde bulunmalıdır. Örneğin, bir şirket AB’de yer alan ilgili kişilere mal veya hizmetler sunuyorsa veya AB içindeki davranışlarını izliyorsa, Tüzük uyarınca ilgili şirke - tin AB’de bir temsilci tayin etmesi gerekir. Uygunluk Kararına Dayanan Aktarımlar AB dışındaki bir ülkenin veya uluslararası bir kuruluşun, kişisel verilerin aktarımı için yeterli seviyede koruma sağlayıp sağlamadığına ilişkin kararı Avrupa Komisyonu (“Komisyon”) verir. Tüzük’ün 45(3). maddesi uyarınca, Komisyon, koruma seviyesinin yeterliliğini değer - 2 Tüzük, m. 3(2).