Veri Sorumlusu ve Veri İşleyen Ayrı Kişi Olduğunda Sorumluluk Nasıl Belirlenir?

Veri Sorumlusu ile Veri İşleyen Aynı Kişi Olabilir mi?

6698 sayılı Kişisel Verileri Koruma Kanununa göre veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler kendileri veri sorumlusu olup; kişisel veri işleme sorumluluğu tüzel kişiliğin şahsında doğacaktır.

İlgili kanuna göre veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler olarak tanımlanmaktadır. Görüldüğü üzere veri işleyen daha çok veri işlemekle ve kişisel veri işleme faaliyetinin teknik kısımlarıyla ilgilenmektedir. Sorumuzun cevabına gelecek olursak; bir tüzel ya da gerçek kişi aynı anda hem veri sorumlusu hem de veri işleyen olabilir. Örneğin, bir bulut bilişim hizmeti sunan şirket kendi çalışanlarının verileri bakımından “veri sorumlusu” iken, müşterilerinin verileri bakımından ise “veri işleyendir.”

Peki Veri Sorumlusu ve Veri İşleyen Ayrı Kişi Olduğunda Sorumluluk Nasıl Belirlenir?

Veri işleyen, kişisel verileri veri sorumlusu adına işlediğinden; kişisel verilerin işlenmesine dair idari ve teknik tedbirlerin alınması konusunda veri sorumlusu ile müştereken sorumludur.  Ayrıca, hem veri sorumlusu hem veri işleyen öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkalarına açıklayamaz, işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. Kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, kişisel verilerin hukuka aykırı işlenmesini önlemek, kişisel verilere hukuka aykırı erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla veri işleyen de veri sorumlusu ile birlikte sorumludur.

Veri İşleyen Tarafından Bir İhlal Gerçekleşmesi Durumunda Sorumluluk Kimde Olacaktır?

İlgili Kanun herhangi bir veri ihlali olması durumunda sorumluluğu veri sorumlusuna yüklemiştir. Kişisel veri işleme faaliyeti kapsamında bir ihlal gerçekleştiğinde, ihlalin veri sorumlusu ya da veri işleyen kaynaklı olup olmadığına bakılmaksızın Kanunen sorumluluk veri sorumlusuna aittir. Kanun veri ihlallerinde sorumluluğu her şekilde veri sorumlusuna yüklemiştir.

Fakat veri sorumlusu sonrasında bu ihlalin veri işleyenden kaynaklandığını ispat ederse aralarındaki sözleşme gereği ihlalin veri işleyeni ilgilendiren kısmı kadarını rücu ettirebilir.