Veri Sorumlusu ve Veri İşleyen Farkı

Açıklama:İlgili kişi, kişisel verisi işlenen kişiyi ifade etmekte olup bu yazı konusu dışındadır. Bu yazı kanunda yer alan veri sorumlusu ve veri işleyenleri incelemektedir. Yazıda kullanılan Kişi ifadesi veri sorumlusu ve veri işleyen olan gerçek ya da tüzel kişiler için kullanılmıştır

Tanımlar

Kişisel Verilerin Korunması Kanunu kişisel verilerin işlenmesi sürecinde yer alan kişileri veri sorumlusu ve veri işleyen olarak ayırmakta ve eşit seviyede sorumlu tutmamaktadır. Sürecin belirlenmesinde ve kişisel verilerin işlenmesinde karar verici konumunda olanlar veri sorumlusu olarak kabul edilmektedir.

Kanun'un birinci maddesindeki Tanımlar kısmında

Veri Sorumlusu
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi

Veri İşleyen
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi

Kişisel verilerin işlenmesi
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

olarak tanımlanmaktadır.

Kişisel verilerin işlenmesi tanımı, veri işleyen durumundaki kişinin yapabileceği faaliyetlerin ve alabileceği kararların belirlenmesinde yardımcı olabilir. Kişisel verilerin işlenmesi kişisel verilerle ilgili yapılabilecek teknik işlemlerle sınırlandırıldığı görülmektedir. Kolayca anlaşılabileceği üzere kişisel verinin toplanması, kaydedilmesi, saklanması, aktarılması gibi işlemler teknik işlemlerdir. Ama kişisel verilerin yorumlanması, bir karar verilmesi daha çok veri sorumlusunun faaliyet alanına girmektedir. Bu ayrım kesin çizgilerle olan bir ayrımdan ziyade kabaca yapılan bir ayrım olarak kabul edilmelidir. Çünkü kişisel verilerin muhafazası hem veri işleyen hem de veri sorumlusu tarafından sıklıkla yapılmaktadır.

Kanunda Kişisel Veri İşleme İhtiyacı

Genel ilkeler
Madde 4
(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
a)Hukuka ve dürüstlük kurallarına uygun olma
b)Doğru ve gerektiğinde güncel olma
c)Belirli, açık ve meşru amaçlar için işlenme
ç)İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
d)İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

Kişisel verilerin işlenmesinde bir serbestliğin bulunduğu söylenemez. Özellikle yukarıda aktarılan 4. maddenin 2. fıkrası kişisel verilerin işlenmesi için bir ihtiyacın olması gerektiğini ifade etmektedir. Kişisel verilerin işlenmesi için gereken ihtiyaç veri sorumlusu için olmalıdır. Kişisel verilerin işlenmesine ihtiyaç duyan veri sorumlusu, kendisi için kanunda öngörülen sorumluluklardan kişisel verileri işlemesi sorumluluğunu başkasına vererek kurtulamaz. Yani kişisel verileri toplayan veya saklayan bu işi bir kişisel veri işleme ihtiyacına istinaden değil de bir başkasının kişisel veri işleme ihtiyacı için yapıyorsa bu durumda veri sorumlusu değil veri işleyen olur.

Birden Fazla Veri Sorumlusu Olması

Bazen kişisel verilerin işlenmesi ihtiyacı birden fazla kişi için ortaya çıkabilir. Örneğin ortak yürütülen bir pazarlama faaliyeti için birden fazla şirket bir araya gelerek kişisel verilerin toplanması ve işlenmesi için bir araya gelebilir. Ortaklardan her birinin kişisel verileri işleme ihtiyacı var ise bu durumda her biri veri sorumlusu olarak kabul edilir. Birden fazla veri sorumlusunun bulunması halinde müteselsil bir sorumluluğun mu yoksa tek başına bir sorumluluğun mu olduğuna duruma göre karar vermek gerekir. İlgili kişinin açık rızasının nasıl gerçekleştiğine ve kabul edilen sözleşmenin şartlarına göre durum tespiti yapılabilir.

Veri Sorumlusu ve Veri İşleyen Ayrımı Neden Önemli?

Kişisel verinin işlenmesi tüm hukuk kurallarına uygun olarak ve gerekli tüm tedbirlerin alınarak yapılması durumunda teorik bir tartışma gibi görülebilir. Ancak kişisel verilerin yetkisiz kişilerin eline geçmesi durumunda sorumlunun belirlenmesi amacıyla veri sorumlusu ve veri işleyen arasındaki ayrımın doğru şekilde yapılması gerekecektir. Kanunda öngörülen idari para cezalarının ve ilgili kişinin dava edeceği muhatabının belirlenmesi ancak bu ayrım sayesinde mümkün olabilecektir.

Bir projede yer alan kişilere biçilen rollerin kesin çizgilerle birbirinden ayrılmaması durumunda kanun tarafından yüklenen sorumlulukların nasıl paylaşılacağı tartışma konusu olacaktır. Her proje, kişisel veri işleme sürecinin tamamı bir kişi tarafından yapılan proje değildir. Bazı durumlarda toplanan kişisel veriler çok sayıda kişinin ihtiyacı için işlenebilir ve kişisel verilerin işlenmesi için çok sayıda firmadan yardım istenebilir. Sorumluluk sınırlarının belirsiz olması sonucu ya da sözleşmelerle kasten bırakılan sorumluluk alanındaki boşluklar ilgili kişinin hak kaybına sebep olabileceği gibi Kurul tarafından yapılacak denetimlerde de muhatabın olmamasına sebep olacaktır.

Veri Sorumlusunun ve Veri İşleyenin Tespiti

Veri sorumlusu kişisel verilerin işlenme amaçlarına ve yöntemine karar verendir. Bunu başka kişilerle birlikte ortak olarak da yapabilir. Yani veri sorumlusu kişisel verilerin işlenmesinde "neden" ve "nasıl" sorularının cevabını verendir. Veri sorumlusu kişisel verilerin işlenme amaçlarının bir kısmını belirlerken tüm amaçları başka veri sorumluları ile ortak olarak da belirleyebilir.

Bir başka durum da amaçların belirlenmesinde etkin olan veri sorumlusunun tüm veri işleme işlemlerini kendisi yapmasına rağmen başka bir veri sorumlusunun da veri işleme amaçları hakkında söz sahibi olmasıdır. Bu durumda da veri sorumlusu tek değildir. Yani amaçların belirlenmesinde etkin olan herkes veri sorumlusu olarak kabul edilmelidir.

İş hayatında bir çok iş modelinde kişisel verilerin işlenmesinde birden çok şirketin amaçların belirlenmesinde karar verici durumda olduğu görülmektedir. Burada dikkat edilmesi gereken husus öneride bulunulması ile karar verilmesi arasında farktır. Kişiler öneri ve fikirlerle amaçların belirlenmesinde etkin olabilirler ama amaçların belirlenmesinde karar verici konumda değillerse veri sorumlusu olduklarından söz edilemez.

Veri sorumlusu aşağıdaki soruların cevaplarında karar verendir.

  • Kişisel verinin ilk nerede toplanacak ve hukuki sebebi nedir?
  • Hangi kişisel veriler toplanacak?
  • Kişisel veriler hangi amaç ya da amaçlar için işlenecek?
  • Hangi ilgili kişilerin kişisel verileri toplanacak?
  • Veriler paylaşılacak mı paylaşılacaksa kim ya da kimlerle?
  • İlgili kişi ya da diğer kişiler kişisel verilere erişecek mi ya da erişimleri kısıtlanacak mı?
  • Kişisel veriler ne kadar süre ile saklanacak ve hangi durumlarda değiştirilecek?

Bu kararlar ancak kişisel verilerin işlenmesi üzerinde tam hakimiyeti olan veri sorumlusu tarafından alınabilir.

Veri işleyen ise veri sorumlusuyla anlaştığı sözleşmeye uyarak bazı konularda karar verebilir.

  • Kişisel verilerin toplanmasında kullanılacak bilgi teknolojileri ve yöntemleri
  • Kişisel verilerin nasıl saklanacağı
  • Kişisel verilerin korunması için alınacak güvenlik tedbirleri
  • Kişisel verilerin aktarımında kullanılacak teknolojik yöntemler
  • Kişisel verilerin yedeklenmesinde kullanılacak yöntemler
  • Kişisel verilerin silinmesinde veya yok edilmesinde kullanılacak yöntemler

Anlaşılacağı üzere veri işleyenin karar verebildiği noktalar kişisel verilerle ilgili verilen kararların nasıl uygulanacağı ile sınırlıdır. Veri sorumlusunun çerçevesini çizdiği sorumluluk alanı içinde veri işleyenin bir sorumluluğundan bahsedilebilir.

Yukarıda listelenen durumlar olabilecek tüm durumlar olmayıp sadece neyin nasıl ayrılmasını göstermek amacıyla bazı durumlar listelenmiştir.

Veri işleyen veri sorumlusunun bilgisi dahilinde teknik konularda karar verici konumunda olabilir. Veri işleyen kendisine çizilen sınırları aşacak şekilde sadece veri sorumlusunun karar verebileceği konular olan kişisel verilerin içeriği ve işlenme amaçları konusunda karar veremez.

Kişisel Verilerin Korunmasında Sorumluluğun Tespitindeki Zorluklar

Kişisel verilerin işlenmesi çok geniş bir tanıma sahiptir. Kişisel verilerle ilgili yapılan her türlü işlem kişisel verilerin işlenmesi olarak kabul edilmektedir. İş hayatına bakıldığında iş ilişkileri tek düzelikten uzak farklı işbirliklerini içermektedir. Bir proje konusunda bir çok kişiden hizmet alınabilmekte, birden fazla şirket kişisel verilerin toplanması ya da kullanılmasında ortaklaşa davranmakta, küçük ölçekli şirketlerin büyük ölçekli şirketlerle değişik iş modelleri geliştirmekte ve daha bir çok konuda kanundaki gibi sade olmayan bir iş hayatı yaşanmaktadır.

Örneğin franchise iş modelinde ana şirket hangi kişisel verilerin toplanacağına ve kişisel verilerin nasıl işleneceğine karar verir ve şube olan şirket de bu kurallara harfiyen uymak zorundadır. Ancak kişisel verileri toplayan şube ilgili kişi ile doğrudan ilişkide bulunandır ve kişisel verilerin ilk toplandığı yer şubedir. Bu durumda şubenin kişisel verilerin toplanması konusunda karar verici olduğundan söz edilebilir mi? Özellikle franchise iş modelinde bazı modellerde şubeyi işleten sadece işletmen rolünde olup ana şirket adına işlemleri yapmakta diğer modellerde ise mali işlemleri yapan şubeyi işleten şirket olmaktadır. Şubeyi işleten şirketin ana şirket adına işlemler yapması durumunda sadece veri işleyen konumunda olduğu açıktır. Ancak diğer örnekte yani ünlü bir markanın ürünlerini satan ama kendi adına bu işleri yapan şirket ise veri sorumlusudur. Bu durumda ilgili kişinin açık rızasının alınması sırasında kişisel verileri kimlerle paylaştığı konusunda aydınlatma yükümlülüğünü yerine getirmesi gerekecektir.

Bir başka örnek teknoloji konusunda uzmanlaşmış bir şirketin başka bir şirkete veri merkezi hizmeti vermesidir. Veri merkezi hizmeti veren şirket kendi alanında uzmanlaşmıştır. Müşterisi olan şirkete saklanacak verilerle ilgili bazı taahhütlerde bulunur ve bu taahhütlerini yerine getirirken çoğu zaman hangi teknolojileri kullandığını detaylı olarak açıklamasına gerek yoktur. Hangi cihazları nasıl kullanacağına kendisi karar verir. Örneğin bir veritabanı sunucusu hizmeti ya da sanal sunucu hizmeti veriyorsa müşterisi için kullanılan cihazlardan çok şirketin verdiği garantiler önemlidir. Veri merkezi hizmetinden faydalanan şirket ise hangi kişisel verilerin toplanacağına ve ne süreyle saklanacağına karar verir ve veri merkezinde bunları işleyebilir. Veri merkezinden bu verilerin yedeklenmesi başka yere aktarılması gibi hizmetler de alabilir. Benzer şekilde arşiv hizmeti veren bir şirket kendisine gelen kişisel veriler bulunan kağıtları saklayabilir ve müşterisinin talebi ile bunları yok edebilir ya da başka yere de gönderebilir. Bu ilişkide ister kağıt olsun isterse diijital veri, kişisel verileri saklayan karar verici konumunda değildir. Kendisine gönderilen talepleri yerine getirmektedir. Bu durumda veri işleyendir. Kararları veren taraf ise veri sorumlusudur.

Bir başka örnek ise bir reklam ajansı ile anlaşan iki şirketin ortak bir pazarlama kampanyası yapmasıdır. Toplanacak olan kişisel verilerin hangileri olduğuna karar veren reklam ajansı değildir. Ancak reklam ajansı toplanan kişisel verilerle ilgili bazı faaliyetlerde bulunabilir. Bu faaliyetler şirketlerin izni ve çizdiği çerçeve içinde olabilecektir. Şirketlerin kişisel verilerin toplanmasındaki amaçları belirlemesi ve saklama süresi ve işlenme yöntemlerini belirlemesi iki şirketi veri sorumlusu yaparken reklam ajansını veri işleyen yapmaktadır.

Aynı Zamanda Veri Sorumlusu Olan Veri İşleyenler

Veri işleyenler veri sorumlularının sorumluluğunda ve izni ile kişisel verileri işleyebilirler. Veri işleyenlerin karar verdikleri başka kişisel veriler de olabilir. Örneğin bir banka için veri hizmeti sunan bir şirket aynı zamanda gerçek kişilere de hizmet veriyor ve bu kişilerin kişisel verilerini saklıyor olabilir. Bu durumda veri merkezi işleten şirket veri sorumlusu konumundadır. Şirketin veri sorumluluğu sadece karar yetkisi kendisine ait olan kişisel veriler içindir. Banka için işlenen kişisel veriler konusunda ise sadece veri işleyendir.

Bir şirket aynı kişisel veri için hem veri işleyen hem de veri sorumlusu olamaz. Ya veri işleyendir ya da veri sorumlusudur. Ancak farklı kişisel verilerden biri için veri işleyen diğeri için ise veri sorumlusu olabilir. Bu ayrımın yapılabilmesinde kıstas alınabilecek noktalardan biri verilerin "kimin" olduğudur. Örneğin bu kişisel verilerin fatura bilgisi olduğunu varsayarsak verilerin kime ait olduğu faturayı kimin kestiğine bakarak anlaşılabilir. Elbette "kimin olduğu" sorusunun ilgili kişinin haklarını ihlal etmeden sadece bir ilgiyi anlatmak için kullanıldığı unutulmamalıdır.

Taşeronlar ve Danışmanlar

Veri sorumlularının kişisel veriler için hizmet aldıkları taşeronların ve danışmanların her durumda veri işleyen olması gerekmez. Bir kişinin veri sorumlusu ya da veri işleyen olup olmaması kişisel verilerin işlenmesindeki rolüne ve sorumluluklarına bakılarak karar verilebilir.

Çoğu zaman firmalar bazı özel konularda başka kişilerden yardım alabilirler. Örneğin bir avukattan bir konuda hukuki mütalaa, bir muhasebeciden muhasebe hizmetleri, bir doktordan bir hasta için tıbbi görüşü, bir insan kaynakları şirketinden belli bir konuda uzmanın bulunmasını isteyebilirler.

Bazen de veri sorumlusuyla sözleşme imzalayan veri işleyen yapılacak işin bir kısmı için başkalarından hizmet alıyor olabilir. Örneğin bir şirkete veri merkezi hizmeti sunan firma bulut hizmetleri için uluslarası başka bir şirketle anlaşmış olabilir. Veri sorumlusu ile veri işleyen arasındaki sözleşmede alınan hizmetin bir bölümünün başkalarından alınıp alınamayacağının bir kurala bağlanmış olması gerekir. Bu durumda veri işleyenin kişisel verilerin işlenmesi için başka bir şirketten yardım alması veri sorumlusu haline getirmez. Veri işleyene hizmet veren ve veri sorumlusu ile aralarında bir sözleşme olmayan başka veri işleyenler de olabilir.

Örnekler

Pazar Araştırması Şirketi
Diyelim ki bir perakende şirketi müşterilerin memnuniyet düzeyini ölçmek amacıyla bir pazar araştırması şirketi ile anlaşsın. Tecrübesine güvenerek bağlantı kurulacak müşterilerin belirlenmesini, sorulacak soruları, görüşme sırasında toplanacak kişisel verilerin seçimini, bağlantı yöntemine karar verilmesini araştırma şirketinin kararına bıraksın. Bu durumda araştırma sırasında toplanan kişisel veriler açısından pazarlama şirketi veri sorumlusu konumundadır. Her ne kadar pazarlama şirketi perakende şirketi tarafından görevlendirilmiş olsa ve sonucunda kişisel veriler perakende şirketi tarafından saklansa bile.

Tahsilat Hizmetleri
Internet üzerinden satış yapan bir şirketin müşterilerinden tahsil edeceği ücreti ödeme hizmeti veren bir şirket üzerinden tahsil ettiğini varsayalım. Bu yapı oldukça yaygındır. Küçük çaplı internet üzerinden satış yapan şirketlerin kendi başlarına bankalarla anlaşmaları, şartları yerine getirmeleri ve işleri yürütmeleri maliyetlerine katlanamayacakları kadar masraflı bir iştir.

İki şirket arasında verilen hizmetin sınırlarını çizen ve finansal ilişkiyi düzenleyen bir sözleşme olmasına rağmen tahsilatı yapan ödeme hizmeti veren şirket satış yapan şirketin veri işleyeni konumunda değil veri sorumlusu konumundadır. Çünkü hangi kişisel verilerin toplanacağına karar vermekte ve toplanan kişisel verilerle ilgili doğrudan tasarrufta bulunma imkanına sahiptir. Ayrıca kanunla kendine yüklenen sorumlulukları yerine getirmek zorunda olduğundan müşteri ile kurduğu ilişki satışı yapan şirketin dışındadır. Örneğin kredi kartıyla yapılan ödeme işleminde uyması gereken kurallar (ödeme bilgisinin saklanması kart numarası, CV2, son kullanım tarihi gibi) ya da kredi kartı numarasının sonraki alışveriş için saklanması satış yapan şirketin müşterisiyle doğrudan kurduğu ilişkidir.

Bu şartlarda ödeme hizmeti veren şirket kendi topladığı kişisel veriler bakımından veri sorumlusudur ve kişisel verilerin korunması konusunda tüm sorumluluğu üstlenmektedir.

Posta Hizmetleri
Diyelim ki bir hastane müşterilerine ait laboratuvar sonuçlarını postayla adreslerine gönderiyor. Kapalı zarf içinde yer alan bilgilerin kişisel veri olduğuna kuşku yoktur. Veri sorumlusu ve veri işleyen ilişkisi açısından nasıl bir ilişkiden bahsedilebilir ve kişisel verilerin korunması sorumluluğu nasıl dağılır?

Müşterilerine ait bilgileri toplayan, saklayan ve üreten hastanedir. Bu açıdan hastane veri sorumlusudur. Kapalı zarfın içinde koyduğu kişisel veriler posta yoluyla dağıtılırken taşıma işlemini yapan posta şirketi veri işleyen konumunda değildir. Çünkü posta şirketinin zarfın içindeki kişisel verilere erişmesi ve değişiklik yapması mümkün değildir. Yani bu haliyle posta şirketi zarfın içindeki verilerle ilgili herhangi bir kişisel veri işleme faaliyetinde bulunmamaktadır. Kanunda kişisel verilerin işlenmesinin tanımında yer alan "depolanması, muhafaza edilmesi ve aktarılması" eylemleri kişisel veriyle aracısız yapılan doğrudan işlemlerle ilgilidir. Yani veri işleyen kişisel veriye erişebilir ve onun ne olduğunu görebilir ve kullanabilir durumda olması gerekir. Oysa bu olayda kişisel veriler zarfın içindeki kağıtta yer almakta ve posta şirketi sadece kağıdı taşımakta üzerinde yazanlara ilişkin özel bir işlem yapmamaktadır. Posta şirketi hastanenin topladığı ya da ürettiği kişisel verilerin veri işleyeni durumunda değildir.

Buna göre posta şirketleri daha geniş anlamda kargo ve kurye şirketleri hizmetlerinden faydalanan müşterilerinin veri işleyenleri değildir. Tersi düşünüldüğünde bu durumda posta şirketlerine taşıdıkları zarf ya da kutuların içindeki kişisel verilerin doğru olması konusunda sorumluluk yüklenmesi gerekir ki bunun mantıklı bir açıklaması olamaz (Md.11/1f).

Postayla gönderilen kişisel verilerin sorumluluğu veri sorumlusuna yani hastaneye aittir. Postanın kaybolması durumunda ilgili kişiye karşı sorumlu olacak olan hastane yani veri sorumlusudur. Kişisel verinin taşınacağı posta şirketine karar veren veri sorumlusu olan hastanedir. Kişisel verilerin güvenliğinin sorumluluğu veri sorumlusuna ait olup nasıl gönderileceği konusunda karar sahibi de odur.

Zarfın ya da kutunun içindeki kişisel veriler için durum böyleyken zarfın ya da kutunun üzerinde yazan kişisel veriler açısından posta şirketi veri sorumlusudur. Göndericinin ya da alıcıya ait kişisel verilere ilişkin karar verme yetkisi posta şirketinde olduğundan bu tür kişisel veriler için veri sorumlusudur.

Avukatlar
Farz edelim ki bir mühendislik firması çalışanı ayrılmadan önce şirketin müşterilerine ait bilgileri almış olsun ve rakip bir firmanın işlerini arttırmak için kullandığını varsayalım. Olayı sadeleştirmek için müşteri bilgilerinin gerçek kişilere ait olmadığını varsayalım. Bu durumda müşteri bilgileri kanun kapsamına girmemektedir. Müşteri bilgileri çalınan şirket avukatlarını arayarak bu müşteri bilgilerinin kullanılmasının nasıl önlenebileceğini öğrenmek ister. Avukata verdikleri eski çalışanla ilgili bilgiler kanun kapsamındaki kişisel verilerdendir. Eski çalışanı durdurabilmek için eski çalışanla ilgili adres, telefon bilgileri, şirketteki geçmişi gibi kişisel verilerin hangisinin gerekli olduğuna avukat karar vermektedir.

Avukat elde ettiği bu bilgilerle gerekli gördüğü işlemlere başlayacaktır. Bu kişisel verilerin bir kısmını farklı kişilere verip eski çalışana ulaşmak ya da rakip firmanın harekete geçmesini önlemek isteyebilir. Bu süreçteki kararlar avukatın uzmanlık alanında ve yönlendirmesi ile müşteri bilgileri çalınan şirket adına yapılmaktadır.

Bu olayda avukat veri sorumlusudur. Çünkü hangi kişisel verilerin gerekli olduğuna, kimlerle paylaşacağına ve nasıl kullanacağına avukat karar vermektedir. Avukatın veri sorumlusu olması eski çalışanla ilgili kişisel verileri saklayan şirketin veri sorumlusu olduğu gerçeğini değiştirmez. Burada dikkat çekilmek istenen husus avukatın kişisel veriler üzerinde karar verme imkanı sebebiyle veri sorumlusu olmasıdır.

Muhasebeciler
Bir şirketin muhasebe işlemlerini yürütmesi için bir muhasebe şirketinden hizmet satın aldığını düşünelim. Muhasebe şirketi müşterisinin kayıtlarında yer alan kişisel veriler için veri sorumlusu durumundadır. Muhasebe ve finans gibi benzer hizmetleri veren kişi ve şirketler işlenen kişisel verilerle ilgili kanunen bazı sorumluluklar altındadır. Tespit ettikleri finansal suçları ya da usulsüzlükleri savcılığa ya da ilgili birimlerle bildirmekle yükümlüdür. Hatta bazı durumlarda (çalışanın SGK ile ilgili işleri gibi) muhasebeci işverenle birlikte müteselsil sorumludur.

Bu durumda muhasebeciler şirketin veri işleyeni olamaz. Yaptıkları işin gereği olarak hukuki sorumlulukları bulunan kişiler, işledikleri kişisel veriler açısında veri işleyen değil veri sorumlusudurlar. Sorumluluklarını müşterilerine devredemez ya da paylaşamazlar. Müşterilerinin sakladığı kişisel verilerle ilgili veri sorumluluğu da ayrıca devam etmektedir.

Bilgi Teknolojisi Hizmetleri
Bir araba kiralama şirketinin kiraladığı arabaların araç-takip hizmeti veren bir şirket tarafından takip edildiğini varsayalım. Araba kiralama şirketinin araç-takip şirketiyle yaptığı sözleşmeye göre aracın kiralama süresi bitiminden itibaren 12 saat içinde iade edilmediği durumlarda konum bilgisini kiralayan şirkete verecek olsun.

Araba kiralayan gerçek kişilerin (arabayı ancak gerçek kişiler kullanabilir) araçla gittiği yerler sürücüyle ilgili kişisel verilerdir. Ne zaman nerede olduğuyla ilgili kişisel veriler açısından araç takip şirketi veri sorumlusudur. Çünkü şirketin araçla ilgili ve dolayısıyla sürücüsüyle ilgili topladığı kişisel veriler üzerinde hangi verileri toplayacağı ve nasıl analiz edeceği hakkında karar verme özgürlüğü vardır. Araçta kullanılan takip cihazı ve yazılımıyla ilgili teknik bilgiler ve nasıl çalıştıkları ve hangi verileri topladıkları kiralama şirketinin de bilgisi dışında araç takip şirketine ait şirket sırlarıdır.

Her ne kadar kiralama şirketi araç takibin kullanma amaçlarını belirlese de araç takip şirketinin kendi bölümü ile ilgili karar verme özgürlüğü araç takip şirketini veri sorumlusu yapar.

Bulut Hizmeti
Bir site yönetiminin sakinleri hakkında tuttuğu kişisel veriler için (hangi dairede kimler oturuyor, telefon numaraları vb.) siteye ait sunucuları değil de bulut hizmeti veren bir şirket ile anlaştığını varsayalım. Bulut şirketi ayrıca kişilerin kendi bilgilerini güncellemeleri veya siteyle ilgili bilgilere ulaşmaları için kullanıcı sistemi kurmuş olsun. Siteyle ilgili sorunları paylaşmak için bir tartışma ortamı da hazırlamış olabilir.

Bulut şirketi sahip olduğu tecrübe ile site sakinleri geniş bir yelpazede bir çok hizmet sunuyor olsa dahi veri işleyendir. Site sakinlerine sunulan tüm hizmetler site yönetimi tarafından belirlenmekte ve kullanıcıların girdikleri bilgiler site yönetiminin kontrolündedir. Bulut şirketi sadece amaçları site yönetimince belirlenen kişisel verilerin işlenmesi islevini yerine getirmektedir. Girilen kişisel veriler üzerinde herhangi bir sorumluluğu ya da hakimiyeti bulunmamaktadır.

Sonuç

Veri sorumlusu ve veri işleyen günümüz dünyasındaki iş yapma alışkanlıklarına bakıldığında birbirine girmiş durumdadır. Kanun veri sorumlusu ve veri işleyen açısından sorumlulukları farklılaştırmış idari cezaların uygulamasında sadece veri sorumlusunu cezalandırmaktadır (Md. 18/2). Veri sorumluları siciline kayıt da sadece veri sorumluları için gereklidir.

Sadece kişisel verilerin aktarılmasına bakarak kişisel verileri aktaranı veri sorumlusu aktarılanı da veri işleyen olarak kabul etmek mümkün değildir. Zaten kanun da veri işleyeni tanımlarken "verilen yetkiye dayanarak onun adına işleyen" diyerek veri işleyen tanımını aslında geniş değil çok dar tutmuştur. Veri işleyenin veri sorumlusunun verdiği yetki dışında herhangi bir işlem yapamaması gerekir. Eğer ki veri işleyen üzerinde başkaca kanuni yükümlülükler var ise ve veri sorumlusunun onayına ya da bilgisine ihtiyaç duymadan kişisel verilerle ilgili işlem yapabiliyorsa artık veri işleyen olduğunu değil veri sorumlusu olduğunu kabul etmek gerekir.

Bu yazıda verilen örneklerin dışında da bir çok veri sorumlusu-veri işleyen ilişkisi vardır. Her sorunu kendi çerçevesinde hukuki mevzuatı uygulayarak çözmek gerekir. Her soruna uyan bir çözüm anahtarı yoktur.

Diğer Yazılar

Bir Kurul Kararı Daha

İlgili kişinin KEP adresine yaptığı başvurusuna zamanında cevap vermeyen veri sorumlusunun cevap vermesi ve vermemesi durumunda idari para cezası uygulanacağına ilişkin Kurul kararı

İstisnalar

Kurul’un Sicile kayıttan istisna tutulanları belirlediği kararının incelenmesi. Veri sorumlularının doğrudan belirlenmesi mevzuata aykırıdır.

KVKK – GDPR Karşılaştırması

23 mayısta İstanbul Barosu’ndaki etkinlikte yapılan KVKK-GDPR karşılaştırması sunumu. (Sürenin kısalığı sebebiyle en önemli maddelerin karşılaştırılması)

VERBİS’in Sorunları

Veri Sorumluları Sİcili VERBİS’in sunumda gösterilen halinde tespit edilen hukuksal, mantıksal ve teknik hatalar ve yorumlar

VERBİS Nasıl Çalışıyor?

Kişisel Verilerin Korunması Kanunu’nda öngörülen Veri Sorumluları Sicili VERBİS’in nasıl çalıştığına dair Kurumca yapılan sunumdaki bilgiler

7 Nisan’ın Önemi

7 Nisan 2016 öncesinde işlenen kişisel verilerin Kanun’a uygun hale getirilmesini düzenleyen Kanun’un geçici birinci maddesi ile ilgili açıklamalar

Bildiğimiz Ders: Kişisel Verilerini Kullanarak Kişileri Yönetmek

Facebook kullanıcıları ile kişisel verilerin seçimlerde seçmenlerin kararını manipüle etmek amacıyla kullanılması ilgili bir yazı

İrtibat Kişisi Muamması

Veri Sorumluları Sicili Hakkındaki Yönetmelik’te yer alan İrtibat Kişisi konusundaki düzenlemelerdeki çelişkiler ve hatalar

Kişisel Verileri Koruma Görevlisi (KVKG)

Veri sorumlularında yapılması gereken ve sürdürülmesi gereken görevler için görevlendirilecek kişisel verileri koruma görevlisi

Kişisel Veri İşleme Envanteri

Veri sorumlularının aydınlatma yükümlülüğünün yerine getirilmesi, Veri Sorumluları Sicili’ne kayıt ve imha politikası için başvurulması gereken belge