6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 24 Mart 2016 tarihinde TBMM’de yasalaşmış ve kanun 7 Nisan 2016 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe girmiştir. Kanununun yürürlüğe girmesi ile birlikte hayatımıza iki yeni kavram girdi. Bunlardan ilki Veri Sorumlusu kavramı diğeri ise Veri İşleyen kavramıdır. Peki Veri Sorumlusu ve Veri İşleyen Kimdir?
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır.
Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir. Veri sorumlusu, işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir. Veri sorumlusunun tespiti için kişisel verilerin işlenmesi ve işlenme amacı, işlenecek kişisel veri türleri, işlenen kişisel verilerin hangi amaçlarla kullanılacağı, hangi kişilerin kişisel verilerinin işleneceği, kişisel verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kimlerle paylaşılacağı, ne kadar süreyle saklanacağı, ilgili kişilerin erişim hakkı ve diğer haklarının uygulanıp uygulanmayacağı gibi hususlara kimin karar verdiği dikkate alınır.
Veri İşleyen Kimdir?
Veri işleyen, veri sorumlusu adına kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen ve veri sorumlusu bünyesi dışında olan gerçek veya tüzel kişidir. Veri işleyenin faaliyetleri veri işlemenin daha çok teknik kısımları ile sınırlıdır. Burada önemli olan, veri işleyenin bu kapsamdaki kişisel veri işleme faaliyetlerini veri sorumlusundan aldığı talimatlar doğrultusunda gerçekleştirmesidir. Örneğin, veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına faaliyet gösteren, dışarıdan hizmet alınması suretiyle çağrı merkezi hizmeti veren bir şirket bu faaliyet kapsamında veri işleyen olarak kabul edilecektir.
Veri İşleyen ve Veri Sorumlusu Farkı
Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu, hem de veri işleyen olabilir. Örneğin, bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından ise veri işleyen olarak kabul edilecektir.
Veri işleyenin faaliyetleri veri işlemenin daha çok teknik kısımları ile sınırlıdır. Kişisel verilerin işlenmesine ilişkin kararların alınması yetkisi ise veri sorumlusuna aittir. Veri sorumlusu kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.
Veri sorumlusunun tespiti için aşağıdaki hususlara kimin karar verdiği dikkate alınmalıdır:
• Kişisel verilerin toplanması ve toplama yöntemi,
• Toplanacak kişisel veri türleri,
• Toplanan verilerin hangi amaçlarla kullanılacağı,
• Hangi bireylerin kişisel verilerinin toplanacağı,
• Toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı,
• Verilerin ne kadar süreyle saklanacağı.
Bununla birlikte, veri sorumlusu yapacağı kişisel veri işleme sözleşmesi ile, aşağıda örnek olarak belirtilen hususlarda karar verme yetkisini veri işleyene bırakabilir:
•Kişisel verilerin toplanması için hangi bilgi teknolojileri sistemlerinin veya diğer metotların kullanılacağı,
•Kişisel verilerin hangi yöntemle saklanacağı,
•Kişisel verilerin korunması için alınacak güvenlik önlemlerinin detayları,
•Kişisel verilerin aktarımının hangi yöntemle yapılacağı,
•Kişisel verilerin saklanmasına ilişkin sürelerin doğru uygulanabilmesi için kullanılacak metot,
•Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi yöntemleri.
Veri sorumlusuyla veri işleyen arasındaki ortak bazı noktaların belirtilmesi gerekir. İlk olarak, veri sorumlusu ifadesiyle, bir şirket içerisinde veri işleme faaliyetlerinden sorumlu bir kimse kastedilmemektedir. Veri sorumlusu bizatihi tüzel kişiliğin kendisidir. Veri sorumlusu (aynı şekilde veri işleyen de) olmak, Kanunun hukuki yükümlülükleri tayin etmek amacıyla belirlediği bir statüdür ve tanımda verilen özellikleri karşılaması durumunda, şirketin tüzel kişiliği de bu statüde yer alacaktır. Örneğin, veri işleme faaliyetinin bir parçası olarak bir şirkette belge teslim alan ve kaydeden kişi değil, şirketin kendisi “veri sorumlusu” sıfatına sahiptir.
İkinci olarak, her iki kavram da, hem gerçek hem de tüzel kişiler için geçerlidir. Örneğin, serbest çalışan bir mali müşavir de, mali müşavirlik firması da, hem veri sorumlusu, hem de veri işleyen olabilir. Bir şirket bünyesinde yer alan birimlerin tüzel kişiliği bulunmadığından, bu birimlerin veri sorumlusu veya veri işleyen olması mümkün değildir. Bununla birlikte, bir şirketler topluluğunu oluşturan her bir şirket tüzel kişiliğe sahip olduğundan, bu şirketlerin her biri ayrı iki statüde de yer alabilir.
Son olarak, bir tüzel ya da gerçek kişinin aynı anda hem veri sorumlusu, hem de veri işleyen olabileceğini söylemek mümkündür. Örneğin, bir bulut bilişim hizmeti sunan şirket kendi çalışanlarının verileri bakımından “veri sorumlusu” iken, müşterilerinin verileri bakımından “veri işleyen” sıfatıyla hareket etmektedir.
