KVKK’da Veri Sorumlusu ve Veri İşleyen Kavramları

KVKK’da düzenlenen veri sorumlusu kavramı, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder” şeklinde tanımlanmıştır.

Kişisel verilerin toplanması ve toplanma yöntemi, toplanacak kişisel verilerin türleri, elde edilecek verilerin hangi amaçlarla kullanılacağı, kimlerin kişisel verilerinin toplanacağı, verilerin ne kadar süreyle saklanacağı, elde edilen verilerin paylaşılıp paylaşılmayacağı ve paylaşılacaksa kimlerle paylaşılacağı konularında karar almaya yetkili olan merciler veri sorumlusunun tespiti açısından önem arz etmektedir.

KVKK’da düzenlenen veri işleyen kavramı ise, “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder” şeklinde tanımlanmaktadır.

Veri Sorumlusu ile Veri İşleyen Arasındaki Fark

Veri işleyenin faaliyet alanı veri işlemenin teknik kısımları ile sınırlıdır. Kişisel verilerin işlenmesine yönelik karar alma yetkisi ise veri sorumlusuna aittir. Veri sorumlusu ayrıca kişisel verilerin işlenme amacını ve yöntemini de belirleyen kişidir. Diğer bir deyişle işleme faaliyetinin neden ve nasıl yapılacağını tayin edecek kişidir.

Herhangi bir gerçek kişi ya da tüzel kişi aynı anda hem veri sorumlusu sıfatına hem de veri işleyen sıfatına sahip olabilmektedir.

Yasal tanımında ifade edildiği üzere veri işleyen, kişisel verileri veri sorumlularının kendilerine verdiği talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yaparak yetkilendirdiği ayrı bir gerçek kişi ya da tüzel kişi olmakla birlikte, bu durumun istisnaları da mevcuttur. Bir tüzel kişi hem veri sorumlusu hem de veri işleyen sıfatına sahip olabilir. Örneğin; muhasebeciler, mali müşavirler ve avukatlar müşterisi olan firmaların bilgilerini tutmaları bakımından veri işleyen sıfatına ve sorumluluğuna sahipken, kendi bünyelerinde çalışanların kişisel verileri bakımından veri sorumlusu sıfatına ve sorumluluğuna sahiptir. Aynı şekilde bulut hizmeti sağlayıcısı bir şirket kendi çalışanlarının kişisel verileri bakımından veri sorumlusu iken, müşterilerinin verileri bakımından veri işleyen sıfatıyla hareket etmektedir.

Kurum ve kuruluşlara e-posta pazarlama hizmeti sunan bir şirket de benzer şekilde kendi bünyesinde çalışanların kişisel verileri yönünden veri sorumlusu, müşterisi olan şirketlerin verileri bakımından veri işleyen konumundadır.

 

Kanuni tanımında gerçek veya tüzel kişi olabileceği belirtilen veri sorumlusu ve veri işleyen kavramlarının kimler olabileceğini açıkladıktan sonra bir de kimler olamayacağını izah etmekte fayda görüyoruz:

Bir tüzel kişilik bünyesinde çalışan gerçek kişiler veya birimler ne veri sorumlusu ne de veri işleyen sıfatına sahiptir. Bu kişi veya birimler çalıştıkları veri sorumlusu veya veri işleyen şirketin tüzel kişiliğine karşı sorumludur. Bunun yanında kargo firmaları da sundukları dağıtım hizmetleri nedeniyle hem veri sorumlusu olarak hem de veri işleyen olarak değerlendirilemezler. Kargo firmaları sadece dağıtımı gerçekleştirmek amacıyla edindikleri ad soyad, adres, telefon gibi bilgiler bakımından veri sorumlusu sayılır. Ancak taşıdıkları ürünler yönüyle herhangi bir kişisel veri sorumluluğuna sahip değillerdir. Kargo firmaları, bünyelerinde çalışanların kişisel verileri yönüyle veri sorumlusu olabilir ancak veri işleyen olamazlar.

Veri sorumluları, yapılan kişisel veri işleme sözleşmeleriyle, bazı konulardaki karar verme yetkilerini veri işleyenlere bırakabilmektedir. Bunlar:

  • Kişisel verilerin toplanması amacıyla bilgi teknolojisi sistemlerinden ya da diğer yöntemlerden hangisinin kullanılacağı,
  • Kişisel verileri saklama yöntemi,
  • Kişisel verilerin korunmasında alınacak güvenlik önlemleri,
  • Kişisel verilerin aktarım yöntemi,
  • Kişisel verilerin saklanmasında sürelerin doğru uygulanabilmesi için kullanılacak yöntemler,
  • Kişisel verilerin silinme, yok edilme ve anonim hale getirilme metotları.

Tanımlarda ve örneklerde görüldüğü üzere her ikisi de gerçek veya tüzel kişi olabilen ve bazı istisnai durumlarda aralarında geçişkenlik bulunabilen veri sorumlusu ve veri işleyen kavramları arasındaki ilişki, bir yönüyle de alım satım ilişkisidir. Veri işleyen, veri sorumlusuna ücreti mukabilinde hizmet sunmaktadır. Veri sorumlusu ise veri işleyenin görev ve yetkilerini belirleyerek ondan hizmet beklemektedir.

 

INBOX’a ücretsiz kaydolun ve KVKK uyumlu altyapıyla sınırsız gönderimler yapın.

Comments are closed.