14.12.2021
VERİ SORUMLUSU VE VERİ İŞLEYEN
a.Tanımlar
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemiştir.
Bir şirket bünyesinde yer alan birimlerin tüzel kişiliği bulunmadığından, bu birimlerin veri sorumlusu olması mümkün değildir. Bununla birlikte, bir şirketler topluluğunu oluşturan her bir şirket tüzel kişiliğe sahip olduğundan, bu şirketlerin her birinin ayrı veri sorumlusu olması mümkündür.
Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler olarak tanımlanmaktadır. Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişidir.
b. Veri İşleyen ve Veri Sorumlusu Farkı
Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu, hem de veri işleyen olabilir. Örneğin, bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından ise veri işleyen olarak kabul edilecektir.
Veri işleyenin faaliyetleri veri işlemenin daha çok teknik kısımları ile sınırlıdır. Kişisel verilerin işlenmesine ilişkin kararların alınması yetkisi ise veri sorumlusuna aittir. Veri sorumlusu kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.
Veri sorumlusunun tespiti için aşağıdaki hususlara kimin karar verdiği dikkate alınmalıdır:
• Kişisel verilerin toplanması ve toplama yöntemi,
• Toplanacak kişisel veri türleri,
• Toplanan verilerin hangi amaçlarla kullanılacağı,
• Hangi bireylerin kişisel verilerinin toplanacağı,
• Toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı,
• Verilerin ne kadar süreyle saklanacağı.
Bununla birlikte, veri sorumlusu yapacağı kişisel veri işleme sözleşmesi ile, aşağıda örnek olarak belirtilen hususlarda karar verme yetkisini veri işleyene bırakabilir:
•Kişisel verilerin toplanması için hangi bilgi teknolojileri sistemlerinin veya diğer metotların kullanılacağı, •Kişisel verilerin hangi yöntemle saklanacağı, •Kişisel verilerin korunması için alınacak güvenlik önlemlerinin detayları,
•Kişisel verilerin aktarımının hangi yöntemle yapılacağı, •Kişisel verilerin saklanmasına ilişkin sürelerin doğru uygulanabilmesi için kullanılacak metot,
•Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi yöntemleri.
Veri sorumlusuyla veri işleyen arasındaki ortak bazı noktaların belirtilmesi gerekir. İlk olarak, veri sorumlusu ifadesiyle, bir şirket içerisinde veri işleme faaliyetlerinden sorumlu bir kimse kastedilmemektedir. Veri sorumlusu bizatihi tüzel kişiliğin kendisidir. Veri sorumlusu (aynı şekilde veri işleyen de) olmak, Kanunun hukuki yükümlülükleri tayin etmek amacıyla belirlediği bir statüdür ve tanımda verilen özellikleri karşılaması durumunda, şirketin tüzel kişiliği de bu statüde yer alacaktır. Örneğin, veri işleme faaliyetinin bir parçası olarak bir şirkette belge teslim alan ve kaydeden kişi değil, şirketin kendisi “veri sorumlusu” sıfatına sahiptir.
İkinci olarak, her iki kavram da, hem gerçek hem de tüzel kişiler için geçerlidir. Örneğin, serbest çalışan bir mali müşavir de, mali müşavirlik firması da, hem veri sorumlusu, hem de veri işleyen olabilir. Bir şirket bünyesinde yer alan birimlerin tüzel kişiliği bulunmadığından, bu birimlerin veri sorumlusu veya veri işleyen olması mümkün değildir.
Bununla birlikte, bir şirketler topluluğunu oluşturan her bir şirket tüzel kişiliğe sahip olduğundan, bu şirketlerin her biri ayrı iki statüde de yer alabilir.
Son olarak, bir tüzel ya da gerçek kişinin aynı anda hem veri sorumlusu, hem de veri işleyen olabileceğini söylemek mümkündür. Örneğin, bir bulut bilişim hizmeti sunan şirket kendi çalışanlarının verileri bakımından “veri sorumlusu” iken, müşterilerinin verileri bakımından “veri işleyen” sıfatıyla hareket etmektedir.
c. Örnekler
Pazar Araştırması Şirketleri
Bir ilaç firması ile yaptığı sözleşme uyarınca, bir araştırma şirketi, ilaç firması için “çalışan memnuniyet anketi” düzenlemeyi üstlenmiştir. Firma, anket yapılacak çalışan listesinin belirlenmesini, anket metodunun seçimini ve anket sonuçlarının sunumunu araştırma şirketine bırakmıştır. Bu durumda araştırma şirketi, her ne kadar firma adına anketi yapıyor ve kişisel verileri işliyor olsa da ilaç firması ile birlikte veri sorumlusu statüsündedir. Zira hangi çalışanlarla anket yapılacağı, hangi verilerin toplanacağı vb. konularda karar verme yetkisine sahip olan araştırma şirketidir.
Kargo Firmaları
Bir kargo firması, bir banka ile müşterilerin kredi kartlarını ilgilisine ulaştırma hizmetini vermek üzere bir sözleşme yapmıştır. Kargo firması gönderenin adı, soyadı, alıcının adresi gibi sevkiyatı yönetmek için elde ettiği veriler bakımından veri sorumlusudur. Ancak, kargo firması her ne kadar kredi kartlarını fiziksel olarak elinde bulundursa da, söz konusu kredi kartı ile ilgili bilgilere ulaşması mümkün değildir. Bu durumda, dağıtım hizmeti sunucusu olarak hizmet veren kargo firması ne veri sorumlusu, ne de veri işleyen statüsündedir. Dolayısıyla, yalnızca taşıdığı fiziksel eşyanın güvenliğini sağlamakla yükümlü olup, kişisel verilerin işlenmesiyle ilgili uyması gereken herhangi bir yükümlülük yoktur.
Ödeme Servisleri
İnternet üzerinden satış gerçekleştiren bir kişinin bir ödeme hizmeti şirketi ile anlaşması suretiyle müşterilerinin verilerinin işlenmesi durumda; ödeme hizmeti şirketi, satıcının veri işleyeni değildir. Bu verilerin işlenmesi bakımından veri sorumlusu statüsündedir. Zira ödeme hizmeti şirketi; (1) Ödemelerin doğru yapılabilmesi için müşterilerden hangi verilerin toplanması gerektiğine karar vermektedir. (2) Toplanan verilerin hangi amaçla kullanılacağı konusunda kontrol sahibidir. (3) Satıcıdan bağımsız olarak doğrudan kişisel verileri işlenen müşterilere uyguladığı kendi hüküm ve şartları bulunmaktadır.
(4) Satıcıdan bağımsız olarak tabi olduğu hukuki yükümlülükler bulunmaktadır. Örneğin; kredi kartı bilgilerinin silinmesi.
Avukatlar
Bir firmanın işten ayrılan çalışanlarından birinin firmanın müşteri listesini çaldığı ve buna karşılık firma sahibinin listeyi nasıl geri alabileceği ile ilgili bir avukata başvurmuş olduğu bir örnekte; firma sahibinin eski çalışanıyla ilgili kişisel verileri avukata teslim etmesiyle, avukat da veri sorumlusu statüsüne sahip olur. Bu durumda avukatın firma adına işlem yapıyor olması bunu değiştirmez. Zira avukat elde edilen kişisel verilerin nasıl işleneceğini kendisi belirleyecektir. Dolayısıyla, sağlanan kişisel veriler bakımından hem firma hem de avukat veri sorumlusu statüsündedir. Bu anlamda her birinin uyması gereken kendi yükümlülükleri bulunmaktadır (örneğin; ilgili kişinin kişisel veriye erişim talebinin yerine getirilmesi bakımından ikisi de ayrı ayrı sorumludur).
Mali Müşavirler
Mali müşavirler, müşterilerinin hesaplarıyla ilgili kayıtları tutarken bu kayıtlardaki kişisel verilerin işlenmesi bakımından veri sorumlusudurlar. Zira mali müşavir işledikleri kişisel verilerle ilgili sorumluluk almasını zorunlu kılan yasal yükümlülükleri bulunmaktadır. Örneğin, bir şirketin hesaplarıyla ilgili kayıtları tutarken herhangi bir yolsuzluğa rastlamaları durumunda mali müşavirlerin adli ve idari birimler veya diğer yetkili kurumlara bildirimde bulunma zorunluluğu bulunmaktadır. Bildirimi yaparken müşterisinin talimatları doğrultusunda hareket etmiyor olacağı açıktır. Dolayısıyla bunun gibi uzman hizmet sağlayıcıları, kendi mesleki yasal yükümlülüklerine tabi oldukları sürece veri sorumlusu statüsünde bulunacaklardır ve veri sorumlusu olmaktan kaynaklanan yükümlülüklerini anlaşmayla müşteriye kısmen veya tamamen bırakmaları mümkün olmayacaktır.
Bulut Hizmeti Sağlayıcıları
Bir kamu kuruluşunun, topladığı kişisel verilerin saklanması için bir bulut hizmeti sağlayıcısıyla sözleşme yapması durumunda, bulut hizmeti sağlayıcısı veri işleyen statüsündedir. Zira taraflar arasındaki sözleşme gereği bulut hizmeti sağlayıcısının verileri kendi amaçları için kullanması mümkün değildir. Ayrıca bulut hizmeti sağlayıcısı, kendisi veri de toplamamaktadır. Tek faaliyeti kamu kuruluşundan gelen kişisel verileri yine kamu kuruluşunun talimatlarına uygun olarak saklamaktır.
