08 Kasım 2023
KVKK ve GDPR Kapsamında Veri Sorumlusu ve Veri İşleyen
Veri Sorumlusu ve Veri İşleyen Kavramları
Kişisel Verilerin Korunması Kanunu, 2016 yılında yürürlüğe girmiş genç bir Kanundur. Bu sebeple çağımızın gereksinimlerine uygun olarak şekil aldığı rahatlıkla söylenebilmektedir. Kişisel Verilerin Korunması Kanunu'nun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Kanun, bu amacı doğrultusunda pek çok düzenleme yapmış, ilgili kavramları açığa kavuşturmaya çalışmıştır. Veri işleyen ve veri sorumlusu kavramları KVKK'da düzenleme altına alınan kavramlardandır.
Kişisel Verilerin Korunması Kanunu kişisel verilerin işlenmesi sürecinde yer alan kişileri veri sorumlusu ve veri işleyen olarak ayırmakta ve eşit seviyede sorumlu tutmamaktadır. Sürecin belirlenmesinde ve kişisel verilerin işlenmesinde karar verici konumunda olanlar veri sorumlusu olarak kabul edilmektedir.
Kanun'un birinci maddesindeki "Tanımlar" kısmında;
Veri Sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi; Veri İşleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade etmektedir. Kişisel verilerin işlenmesi ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem anlamına gelmektedir.
Kişisel verilerin işlenmesi tanımı, veri işleyen durumundaki kişinin yapabileceği faaliyetlerin ve alabileceği kararların belirlenmesinde yardımcı olabilir. Kolayca anlaşılabileceği üzere kişisel verinin toplanması, kaydedilmesi, saklanması, aktarılması gibi işlemler teknik işlemlerdir. Ama kişisel verilerin yorumlanması, bir karar verilmesi daha çok veri sorumlusunun faaliyet alanına girmektedir. Bu ayrım kesin çizgilerle olan bir ayrımdan ziyade kabaca yapılan bir ayrım olarak kabul edilmelidir. Nitekim kişisel verilerin muhafazası hem veri işleyen hem de veri sorumlusu tarafından sıklıkla beraberce yapılmaktadır.
Öte yandan kişisel verilerin işlenmesinde tam anlamıyla bir serbestliğin bulunduğu da söylenemez. Özellikle Kanun'un 4. maddesinin 2. fıkrası kişisel verilerin işlenmesi için bir ihtiyacın olması gerektiğini ifade etmektedir. Kişisel verilerin işlenmesi için gereken ihtiyaç veri sorumlusu için olmalıdır. Kişisel verilerin işlenmesine ihtiyaç duyan veri sorumlusu, kendisi için kanunda öngörülen sorumluluklardan kişisel verileri işlemesi sorumluluğunu başkasına vererek kurtulamayacaktır. Yani kişisel verileri toplayan veya saklayan bu işi bir kişisel veri işleme ihtiyacına istinaden değil de bir başkasının kişisel veri işleme ihtiyacı için yapıyorsa bu durumda veri sorumlusu değil veri işleyen olur.
Bazen kişisel verilerin işlenmesi ihtiyacı birden fazla kişi için ortaya çıkabilir. Örneğin ortak yürütülen bir faaliyet için birden fazla şirket bir araya gelerek kişisel verilerin toplanması ve işlenmesi için bir araya gelebilir. Ortaklardan her birinin kişisel verileri işleme ihtiyacı var ise bu durumda her biri ayrı ayrı veri sorumlusu olarak kabul edilecektir. Birden fazla veri sorumlusunun bulunması hâlinde müteselsil bir sorumluluğun mu yoksa tek başına bir sorumluluğun mu olduğuna somut olayın şartlarına göre karar vermek gerekecektir.
Veri Sorumlusu ve Veri İşleyen Kavramlarının Ayrımı
Kişisel verinin işlenmesi hususu, mevzuata tam anlamıyla uygun olarak ve gerekli tüm tedbirlerin alınarak yapılması durumunda teorik bir konu gibi görülebilir. Ancak kişisel verilerin yetkisiz kişilerin eline geçmesi veya hukuka aykırı bir fiil sebebiyle bir zarar oluşması halinde sorumlunun belirlenmesi amacıyla veri sorumlusu ve veri işleyen arasındaki ayrımın doğru şekilde yapılması gerekecektir. Kanunda öngörülen idari para cezalarının ve ilgili kişinin davasını yöneltebileceği hasımın belirlenmesi ancak bu ayrım sayesinde mümkün olabilecektir.
Örneğin bir projede yer alan kişilere biçilen rollerin kesin çizgilerle birbirinden ayrılmaması durumunda kanun tarafından yüklenen sorumlulukların nasıl paylaşılacağı tartışma konusu olacaktır. Her proje, kişisel veri işleme sürecinin tamamı bir kişi tarafından yapılan proje değildir. Bazı durumlarda toplanan kişisel veriler çok sayıda kişinin ihtiyacı için işlenebilir ve kişisel verilerin işlenmesi için çok sayıda firmadan yardım istenebilir. Sorumluluk sınırlarının belirsiz olması sonucu ya da sözleşmelerle kasten bırakılan sorumluluk alanındaki boşluklar ilgili kişinin hak kaybına sebep olabileceği gibi Kurul tarafından yapılacak denetimlerde de muhatabın olmamasına sebep olacaktır.
Bu noktada aşağıda izah edeceğimiz hususlar bu konuda sorumluluğun tespitinde yardımcı olacaktır:
Yukarıda da belirttiğimiz gibi veri sorumlusu kişisel verilerin işlenme amaçlarına ve yöntemine karar veren gerçek veya tüzel kişidir. Veri sorumlusu, söz konusu veri işleme faaliyetini başka kişilerle birlikte ortak olarak da yapabilir. Yani veri sorumlusu kişisel verilerin işlenmesinde "neden" ve "nasıl" sorularının cevabını verendir. Veri sorumlusu kişisel verilerin işlenme amaçlarının bir kısmını belirlerken tüm amaçları başka veri sorumluları ile ortak olarak da belirleyebilir.
Bir başka durum da amaçların belirlenmesinde etkin olan veri sorumlusunun tüm veri işleme işlemlerini kendisi yapmasına rağmen başka bir veri sorumlusunun da veri işleme amaçları hakkında söz sahibi olmasıdır. Bu durumda da veri sorumlusu tek değildir. Yani amaçların belirlenmesinde etkin olan herkes veri sorumlusu olarak kabul edilmelidir.
İş hayatında birçok iş modelinde kişisel verilerin işlenmesinde birden çok şirketin amaçların belirlenmesinde karar verici durumda olduğu görülmektedir. Burada dikkat edilmesi gereken husus öneride bulunulması ile karar verilmesi arasında farktır. Kişiler öneri ve fikirlerle amaçların belirlenmesinde etkin olabilirler ama amaçların belirlenmesinde karar verici konumda değillerse veri sorumlusu olduklarından söz edilemeyecektir.
Özetle veri sorumlusu aşağıdaki soruların cevaplarında karar verendir:
- Kişisel verilerin toplanması ve toplama yöntemi,
- Toplanacak kişisel veri türleri,
- Toplanan verilerin hangi amaçlarla kullanılacağı,
- Hangi bireylerin kişisel verilerinin toplanacağı,
- Toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı,
- Verilerin ne kadar süreyle saklanacağı
Bu kararlar ancak kişisel verilerin işlenmesi üzerinde tam hakimiyeti olan veri sorumlusu tarafından alınabilir. Veri işleyen ise veri sorumlusuyla anlaştığı sözleşmeye uyarak aşağıda belirtilen bazı konularda karar verme yetkisine sahip olabilecektir.
- Kişisel verilerin toplanması için hangi bilgi teknolojileri sistemlerinin veya diğer metotların kullanılacağı,
- Kişisel verilerin hangi yöntemle saklanacağı,
- Kişisel verilerin korunması için alınacak güvenlik önlemlerinin detayları,
- Kişisel verilerin aktarımının hangi yöntemle yapılacağı,
- Kişisel verilerin saklanmasına ilişkin sürelerin doğru uygulanabilmesi için kullanılacak metot,
- Kişisel verilerin silinmesi, yok edilmesi ve anonim hâle getirilmesi yöntemleri.
Anlaşılacağı üzere veri işleyenin karar verebildiği noktalar kişisel verilerle ilgili verilen kararların nasıl uygulanacağı ile sınırlıdır. Veri sorumlusunun çerçevesini çizdiği sorumluluk alanı içinde veri işleyenin bir sorumluluğundan bahsedilebilir.
Yukarıda listelenen durumlar olabilecek tüm durumlar olmayıp sadece örnek olması adına nasıl bir ayrım yapılması gerektiğini göstermek amacıyla bazı durumlar listelenmiştir.
Veri işleyen veri sorumlusunun bilgisi dâhilinde teknik konularda karar verici konumunda olabilir. Veri işleyen kendisine çizilen sınırları aşacak şekilde sadece veri sorumlusunun karar verebileceği konular olan kişisel verilerin içeriği ve işlenme amaçları konusunda karar veremez.
Sorumluluğun Belirlenmesi
Ancak yine de veri işleyen ve veri sorumlusu sıfatlarının ve dolayısıyla sorumluluğun tespitinde somut olay bazında değerlendirme yapılırken birçok zorluk ile karşılaşılabilmektedir. İş hayatına bakıldığında iş ilişkileri tek düzelikten uzak farklı işbirliklerini içermektedir. Örneğin bir proje konusunda bir çok kişiden hizmet alınabilmekte, birden fazla şirket kişisel verilerin toplanması ya da kullanılmasında ortaklaşa davranmakta, küçük ölçekli şirketler büyük ölçekli şirketlerle değişik iş modelleri geliştirmekte ve daha bir çok konuda kanundaki gibi sade olmayan bir iş hayatı yaşanmaktadır.
Örneğin bayilik veya franchising iş modelinde ana şirket hangi kişisel verilerin toplanacağına ve kişisel verilerin nasıl işleneceğine karar verir ve şube olan şirket de bu kurallara harfiyen uymak zorundadır. Ancak kişisel verileri toplayan bayi veya şube ilgili kişi ile doğrudan ilişkide bulunandır ve kişisel verilerin ilk toplandığı yer şubedir. Bu durumda şubenin kişisel verilerin toplanması konusunda karar verici olduğundan söz edilebilir mi? Özellikle bayilik ve franchise iş modelinde bazı modellerde şubeyi işleten sadece işletmen rolünde olup ana şirket adına işlemleri yapmakta diğer modellerde ise mali işlemleri yapan şubeyi işleten şirket olmaktadır. Şubeyi işleten şirketin ana şirket adına işlemler yapması durumunda sadece veri işleyen konumunda olduğu açıktır. Ancak diğer örnekte yani ünlü bir markanın ürünlerini satan ama kendi adına bu işleri yapan şirket ise veri sorumlusudur. Bu durumda ilgili kişinin açık rızasının alınması sırasında kişisel verileri kimlerle paylaştığı konusunda aydınlatma yükümlülüğünü yerine getirmesi gerekecektir.
Bir başka örnek teknoloji konusunda uzmanlaşmış bir şirketin başka bir şirkete veri merkezi hizmeti vermesidir. Veri merkezi hizmeti veren şirket kendi alanında uzmanlaşmıştır. Müşterisi olan şirkete saklanacak verilerle ilgili bazı taahhütlerde bulunur ve bu taahhütlerini yerine getirirken çoğu zaman hangi teknolojileri kullandığını detaylı olarak açıklamasına gerek yoktur. Hangi cihazları nasıl kullanacağına kendisi karar verir. Örneğin bir veritabanı sunucusu hizmeti ya da sanal sunucu hizmeti veriyorsa müşterisi için kullanılan cihazlardan çok şirketin verdiği garantiler önemlidir. Veri merkezi hizmetinden faydalanan şirket ise hangi kişisel verilerin toplanacağına ve ne süreyle saklanacağına karar verir ve veri merkezinde bunları işleyebilir. Veri merkezinden bu verilerin yedeklenmesi başka yere aktarılması gibi hizmetler de alabilir. Benzer şekilde arşiv hizmeti veren bir şirket kendisine gelen kişisel veriler bulunan kâğıtları saklayabilir ve müşterisinin talebi ile bunları yok edebilir ya da başka yere de gönderebilir. Bu ilişkide ister kâğıt olsun isterse dijital veri, kişisel verileri saklayan karar verici konumunda değildir. Kendisine gönderilen talepleri yerine getirmektedir. Bu durumda veri işleyendir. Kararları veren taraf ise veri sorumlusudur.
Bir başka örnek ise bir reklam ajansı ile anlaşan iki şirketin ortak bir pazarlama kampanyası yapmasıdır. Toplanacak olan kişisel verilerin hangileri olduğuna karar veren reklam ajansı değildir. Ancak reklam ajansı toplanan kişisel verilerle ilgili bazı faaliyetlerde bulunabilir. Bu faaliyetler şirketlerin izni ve çizdiği çerçeve içinde olabilecektir. Şirketlerin kişisel verilerin toplanmasındaki amaçları belirlemesi ve saklama süresi ve işlenme yöntemlerini belirlemesi iki şirketi veri sorumlusu yaparken reklam ajansını veri işleyen yapmaktadır.
Veri işleyenler veri sorumlularının sorumluluğunda ve izni ile kişisel verileri işleyebilirler. Veri işleyenlerin karar verdikleri başka kişisel veriler de olabilir. Örneğin bir banka için veri hizmeti sunan bir şirket aynı zamanda gerçek kişilere de hizmet veriyor ve bu kişilerin kişisel verilerini saklıyor olabilir. Bu durumda veri merkezi işleten şirket veri sorumlusu konumundadır. Şirketin veri sorumluluğu sadece karar yetkisi kendisine ait olan kişisel veriler içindir. Banka için işlenen kişisel veriler konusunda ise sadece veri işleyendir.
Bir şirket aynı kişisel veri için hem veri işleyen hem de veri sorumlusu olamayacaktır. Diğer bir deyişle ya veri işleyendir ya da veri sorumlusudur. Ancak farklı kişisel verilerden biri için veri işleyen diğeri için ise veri sorumlusu olabilir. Bu ayrımın yapılabilmesinde kıstas alınabilecek noktalardan biri verilerin "kimin" olduğudur. Örneğin bu kişisel verilerin fatura bilgisi olduğunu varsayarsak verilerin kime ait olduğu faturayı kimin kestiğine bakarak anlaşılabilir. Elbette "kimin olduğu" sorusunun ilgili kişinin haklarını ihlal etmeden sadece bir ilgiyi anlatmak için kullanıldığı unutulmamalıdır.
Veri sorumlularının kişisel veriler için hizmet aldıkları taşeronların ve danışmanların her durumda veri işleyen olması gerekmez. Bir kişinin veri sorumlusu ya da veri işleyen olup olmaması kişisel verilerin işlenmesindeki rolüne ve sorumluluklarına bakılarak karar verilebilir.
Çoğu zaman firmalar bazı uzmanlık gerektiren konularda tedarikçilerden yardım alabilirler. Örneğin bir avukattan bir konuda hukuki mütalaa, bir muhasebeciden muhasebe hizmetleri, bir doktordan bir hasta için tıbbi görüşü, bir insan kaynakları şirketinden belli bir konuda uzmanın bulunmasını isteyebilirler.
Bazen de veri sorumlusuyla sözleşme imzalayan veri işleyen yapılacak işin bir kısmı için başkalarından hizmet alıyor olabilir. Örneğin bir şirkete veri merkezi hizmeti sunan firma bulut hizmetleri için uluslararası başka bir şirketle anlaşmış olabilir. Veri sorumlusu ile veri işleyen arasındaki sözleşmede alınan hizmetin bir bölümünün başkalarından alınıp alınamayacağının bir kurala bağlanmış olması gerekir. Bu durumda veri işleyenin kişisel verilerin işlenmesi için başka bir şirketten yardım alması veri sorumlusu hâline getirmeyecektir. Veri işleyene hizmet veren ve veri sorumlusu ile aralarında bir sözleşme olmayan başka veri işleyenler de olabilecektir.
Sorumluluk Tespiti Hususunda Muhtelif Örnekler
- Bir perakende şirketi müşterilerin memnuniyet düzeyini ölçmek amacıyla bir pazar araştırması şirketi ile anlaştığı örnekte tecrübesine güvenerek bağlantı kurulacak müşterilerin belirlenmesini, sorulacak soruları, görüşme sırasında toplanacak kişisel verilerin seçimini, bağlantı yöntemine karar verilmesini araştırma şirketinin kararına bırakılmıştır. Bu durumda her ne kadar pazarlama şirketi perakende şirketi tarafından görevlendirilmiş olsa ve sonucunda kişisel veriler perakende şirketi tarafından saklanmış olsa bile araştırma sırasında toplanan kişisel veriler açısından pazarlama şirketi veri sorumlusu konumundadır.
- Başka bir örneğimizde; internet üzerinden satış yapan bir şirketin müşterilerinden tahsil edeceği ücreti ödeme hizmeti veren bir şirket üzerinden tahsil ettiğini düşünelim. Bu yapı da bilindiği üzere oldukça yaygındır. İki şirket arasında verilen hizmetin sınırlarını çizen ve finansal ilişkiyi düzenleyen bir sözleşme olmasına rağmen tahsilatı yapan ödeme hizmeti veren şirket satış yapan şirketin veri işleyeni konumunda değil veri sorumlusu konumundadır. Çünkü hangi kişisel verilerin toplanacağına karar vermekte ve toplanan kişisel verilerle ilgili doğrudan tasarrufta bulunma imkânına sahiptir. Ayrıca kanunla kendine yüklenen sorumlulukları yerine getirmek zorunda olduğundan müşteri ile kurduğu ilişki satışı yapan şirketin dışındadır. Örneğin kredi kartıyla yapılan ödeme işleminde uyması gereken kurallar (ödeme bilgisinin saklanması kart numarası, CV2, son kullanım tarihi gibi) ya da kredi kartı numarasının sonraki alışveriş için saklanması satış yapan şirketin müşterisiyle doğrudan kurduğu ilişkidir. Bu şartlarda ödeme hizmeti veren şirket kendi topladığı kişisel veriler bakımından veri sorumlusudur ve kişisel verilerin korunması konusunda tüm sorumluluğu üstlenmektedir.
- Diğer bir örnekte ise bir hastane müşterilerine ait laboratuvar sonuçlarını postayla adreslerine göndermektedir. Kapalı zarf içinde yer alan bilgilerin kişisel veri olduğuna kuşku bulunmamaktadır. Peki bu durumda veri sorumlusu ve veri işleyen ilişkisi açısından nasıl bir ilişkiden bahsedilebilir ve kişisel verilerin korunması sorumluluğu nasıl dağılmalıdır?
- Bir mühendislik firması çalışanının ayrılmadan önce şirketin müşterilerine ait bilgileri almış olduğunu ve rakip bir firmanın işlerini arttırmak için kullandığını ve olayı sadeleştirmek için müşteri bilgilerinin gerçek kişilere ait olmadığını varsayalım. Bu durumda müşteri bilgilerinin kanun kapsamına girmeyeceği izahtan varestedir. Müşteri bilgileri çalınan şirket, avukatlarını arayarak bu müşteri bilgilerinin kullanılmasının nasıl önlenebileceğini öğrenmek istemektedir. Avukata verdikleri eski çalışanla ilgili bilgiler kanun kapsamındaki kişisel verilerdendir. Eski çalışanı durdurabilmek için eski çalışanla ilgili adres, telefon bilgileri, şirketteki geçmişi gibi kişisel verilerin hangisinin gerekli olduğuna avukat karar vermektedir.
Şüphe yok ki müşterilerine ait bilgileri toplayan, saklayan ve üreten hastanedir. Bu açıdan hastane veri sorumlusudur. Kapalı zarfın içinde koyduğu kişisel veriler posta yoluyla dağıtılırken taşıma işlemini yapan posta şirketi veri işleyen konumunda değildir. Çünkü posta şirketinin zarfın içindeki kişisel verilere erişmesi ve değişiklik yapması mümkün değildir. Yani bu hâliyle posta şirketi zarfın içindeki verilerle ilgili herhangi bir kişisel veri işleme faaliyetinde bulunmamaktadır. Kanunda kişisel verilerin işlenmesinin tanımında yer alan "depolanması, muhafaza edilmesi ve aktarılması" eylemleri kişisel veriyle aracısız yapılan doğrudan işlemlerle ilgilidir. Yani veri işleyen kişisel veriye erişebilir ve onun ne olduğunu görebilir ve kullanabilir durumda olması gerekir. Oysa bu olayda kişisel veriler zarfın içindeki kâğıtta yer almakta ve posta şirketi sadece kağıdı taşımakta üzerinde yazanlara ilişkin özel bir işlem yapmamaktadır. Posta şirketi hastanenin topladığı ya da ürettiği kişisel verilerin veri işleyeni durumunda değildir. Buna göre posta şirketleri daha geniş anlamda kargo ve kurye şirketleri hizmetlerinden faydalanan müşterilerinin veri işleyenleri değildir. Mefhumu muhaliften hareketle düşünüldüğünde bu durumda posta şirketlerine taşıdıkları zarf ya da kutuların içindeki kişisel verilerin doğru olması konusunda Kanun'un 11. Maddesi kapsamında sorumluluk yüklenmesi gerekirdi ki bunun mantıklı bir açıklaması olamaz.
Postayla gönderilen kişisel verilerin sorumluluğu veri sorumlusuna yani hastaneye aittir. Postanın kaybolması durumunda ilgili kişiye karşı sorumlu olacak olan hastane yani veri sorumlusudur. Kişisel verinin taşınacağı posta şirketine karar veren veri sorumlusu olan hastanedir. Kişisel verilerin güvenliğinin sorumluluğu veri sorumlusuna ait olup nasıl gönderileceği konusunda karar sahibi de odur. Zarfın ya da kutunun içindeki kişisel veriler için durum böyleyken zarfın ya da kutunun üzerinde yazan kişisel veriler açısından posta şirketi veri sorumlusudur. Göndericinin ya da alıcıya ait kişisel verilere ilişkin karar verme yetkisi posta şirketinde olduğundan bu tür kişisel veriler için veri sorumlusudur.
Avukat elde ettiği bu bilgilerle gerekli gördüğü işlemlere başlayacaktır. Bu kişisel verilerin bir kısmını farklı kişilere verip eski çalışana ulaşmak ya da rakip firmanın harekete geçmesini önlemek isteyebilir. Bu süreçteki kararlar avukatın uzmanlık alanında ve yönlendirmesi ile müşteri bilgileri çalınan şirket adına yapılmaktadır. Bu olayda avukat veri sorumlusudur. Çünkü hangi kişisel verilerin gerekli olduğuna, kimlerle paylaşacağına ve nasıl kullanacağına avukat karar vermektedir. Avukatın veri sorumlusu olması eski çalışanla ilgili kişisel verileri saklayan şirketin veri sorumlusu olduğu gerçeğini değiştirmez. Burada dikkat çekilmek istenen husus avukatın kişisel veriler üzerinde karar verme imkânı sebebiyle veri sorumlusu olmasıdır.
Benzer şekilde bir şirketin muhasebe işlemlerini yürütmesi için bir muhasebe şirketinden hizmet satın alması durumunda muhasebe şirketi müşterisinin kayıtlarında yer alan kişisel veriler için veri sorumlusu durumundadır. Muhasebe ve finans gibi benzer hizmetleri veren kişi ve şirketler işlenen kişisel verilerle ilgili kanunen bazı sorumluluklar altındadır. Tespit ettikleri finansal suçları ya da usulsüzlükleri savcılığa ya da ilgili birimlerle bildirmekle yükümlüdür. Hatta bazı durumlarda (çalışanın SGK ile ilgili işleri gibi) muhasebeci işverenle birlikte müteselsil sorumludur. Bu durumda muhasebeciler şirketin veri işleyeni olamayacaktır. Yaptıkları işin gereği olarak hukuki sorumlulukları bulunan kişiler, işledikleri kişisel veriler açısında veri işleyen değil veri sorumlusudurlar. Sorumluluklarını müşterilerine devredemez ya da paylaşamazlar. Müşterilerinin sakladığı kişisel verilerle ilgili veri sorumluluğu da ayrıca devam etmektedir.
GDPR Açısından Veri İşleyen ve Veri Sorumlusu
KVKK'nın kısmi bir uyumluluğa sahip olduğu Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR), 2016 yılında yürürlüğe girmiş bir tüzüktür. Avrupa Birliği hukukunda, tüm Avrupa Birliği ve Avrupa Ekonomik Alanı içerisinde yer alan bireyler için veri koruma ve gizliliğine ilişkindir. Avrupa Birliği'ne dahil olmayan ülkelerde faaliyet gösterse de üye ülkelerin firmalarıyla iş yapan, onları hedefleyen firmaların GDPR'a uyumluluk göstermesi gerekmektedir.
GDPR da KVKK gibi tanımlara yer vermektedir. Veri sorumlusu ve veri işleyen kavramlarını GDPR açısından ele alacak olursak;
"Tanımlar" başlıklı 4. Maddeye göre "'işleyici' kontrolör adına kişisel verileri işleyen bir gerçek ya da tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organdır." KVKK'daki "veri sorumlusu" kavramı, GDPR açısından "veri kontrolörü" kavramı ile açıklanmaktadır. Yine aynı 4. Madde " 'kontrolör' yalnız başına veya başkalarıyla birlikte kişisel verilerin işlenmesine ilişkin amaçlar ve yöntemleri belirleyen gerçek veya tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organdır" şeklinde kontrolör kavramına açıklık getirir.
Daha önce de belirttiğimiz gibi KVKK'daki "veri sorumlusu" kavramı, GDPR açısından "veri kontrolörü" kavramı ile anılabilir. Hem veri sorumlusu hem de veri işleyen açısından benzerlikler ve farklılıklar görülmektedir. Bunları örneklendirecek olursak;
Kontrolör kişisel verilerin işlenmesine ilişkin amaç ve yöntemleri belirlerken işleyici bu verileri kontrolör adına işlemekle görevlendirilmiştir. Bu açıdan KVKK ile örtüşmektedir.
Her iki düzenlemede de kişiler işlenen verilerinin silinmesini talep edebilir.
Her iki düzenlemede de yurtdışına aktarılacak veriler açısından aktarım yapılacak ülkenin yeterli korumayı, güvenliği sağlıyor olması önemsenir. Sorumlular buna dikkat etmelidir.
GDPR, veri kontrolörü için KVKK'dan çok daha yüksek miktarlarda para cezaları öngörmektedir.
GDPR 26. Maddesinde "İki ya da daha fazla sayıda kontrolörün işleme amaçları ve yöntemlerini ortak bir şekilde belirlediği hallerde, bu kontrolörler ortak kontrolörlerdir." düzenlemesiyle "ortak kontrolör" kavramını düzenlemiştir. Bu şekilde KVKK'dan farklı düzenlemelere de rastlanabilmektedir.
SONUÇ
KVKK ve GDPR açısından veri sorumlusu ve veri işleyen kavramları incelendiğinde bazı konularda örtüşen, bazılarında ise farklılık gösteren düzenlemeler olduğunu görmekteyiz. Sonuç itibariyle her somut olay özelinde veri işleme faaliyetinde bulunan gerçek veya tüzel kişinin veri sorumlusu yahut veri işleyen sıfatları ayrı ayrı değerlendirilecek, sorumlulukları bu değerlendirmeye göre tayin edilecektir. İşbu makalemizde izah ettiğimiz kriter ve nüanslar bu sorumlulukların belirlenmesinde önemli rol oynayacaktır. Dolayısıyla kişisel veri işleme faaliyetinde bulunan her gerçek ve tüzel kişinin bu alanda uzmanlaşmış kişi veya kurumlardan danışmanlık alması da önem arz etmektedir.
Ek bilgiye ihtiyaç duymanız hâlinde bizimle iletişime geçiniz.
Bilgilendirme Metni!