SAYI : ÖZDERİN 2022/33
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında kişisel veriye temas eden tarafların sorumluluklarının belirlenmesi noktasında bazı tanımlamalar yapılmıştır. Bunlardan biri “Veri Sorumlusu”, bir diğeri ise “Veri İşleyen” kavramlarıdır. Bu iki tanımlama kişisel verilerin aktarılması da dahil veri işleme faaliyetinin somut özelliklerine göre farklı kişi veya kuruluşlara işaret etmektedir.
Asıl veriyi işleyen/kontrol eden Veri Sorumlusu taraf ile birlikte başkaca bir 3. gerçek veya tüzel kişinin de (Veri sorumlusu tüzel kişiliği içerisinde bulunmayan bir taraf veya başkaca bir gerçek kişi) veriye temas etmesi halinde bu ayrımlar fark getirmektedir.
Kanuni tanımı ile veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler olarak tanımlanmaktadır. Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişidir.[1] Farkın tespiti için veri sorumlusuyla veri işleyen arasındaki ortak bazı noktaların da belirtilmesi gerekir. İlk olarak, veri sorumlusu ifadesiyle, bir şirket içerisinde veri işleme faaliyetlerinden sorumlu bir kimse kastedilmemektedir. Veri sorumlusu bizatihi tüzel kişiliğin kendisidir. Veri sorumlusu (aynı şekilde veri işleyen de) olmak, KVKK’nın hukuki yükümlülükleri tayin etmek amacıyla belirlediği bir statüdür ve tanımda verilen özellikleri karşılaması durumunda, şirketin tüzel kişiliği de bu statüde yer alacaktır. Örneğin, veri işleme faaliyetinin bir parçası olarak bir şirkette belge teslim alan ve kaydeden kişi değil şirketin kendisi “veri sorumlusu” sıfatına sahiptir. Kişisel verilerin korunması kurulu tarafından çıkarılan rehber ilkelere göre veri sorumlusu aşağıdaki soruların cevaplarında karar verendir;
- Kişisel veri ilk nerede toplanacak ve toplanmasının hukuki sebebi nedir?
- Hangi kişisel veriler toplanacak?
- Kişisel veriler hangi amaç ya da amaçlar için işlenecek?
- Hangi ilgili kişilerin kişisel verileri toplanacak?
- Veriler paylaşılacak mı paylaşılacaksa kim ya da kimlerle paylaşılacak?
- İlgili kişi ya da diğer kişiler kişisel verilere erişecek mi ya da erişimleri kısıtlanacak mı?
- Kişisel veriler ne kadar süre ile saklanacak ve hangi durumlarda değiştirilecek?
Bazı örneklerle açıklayacak olursak bir işveren, çalışanlarının iş akdi gereği ücret ödemelerinin yapılması için banka hesap bilgilerini, maaş tutarlarını işlemektedir. İş akdinden doğan ücret ödeme kanuni yükümlülüğünü yerine getirebilmesi için aynı zamanda maaş tutarı bilgisinin de ödemenin yapılacağı banka kuruluşuna aktarılması gerekebilmektedir. Bu noktada işveren ile banka arasında çalışanların maaş ödemelerinin yapılabilmesi için veri işlenmesi ve aktarılması faaliyeti söz konusu olmaktadır. İşverenin çalışanının ücret tutarını tayin etme konusunda karar veren olduğu düşünüldüğünde, kanuni tanım gereği işveren “veri sorumlusu” sıfatını haiz olmakta, banka ise işverenden aldığı talimat ile ödemeleri yaptığından ve verileri işlediğinden “veri işleyen” sıfatında olmaktadır. Ancak, çalışanın ilgili bankanın müşterisi olması ve hesap açtırmasında ise banka doğrudan veri sorumlusu sıfatına haiz olacaktır. Zira bankacılık işlemleri gerekli hesap açılışı yapılmasında ve verilerin işlenmesinde yöntemlere karar verme yetkisi bankadadır. Aynı şekilde, çalışan ödemelerinin hesaplanabilmesi için işveren bir bordrolama firması ile çalıştığı takdirde bordrolama hizmeti alınan firma da “veri işleyen” sıfatında olmaktadır. Kaldı ki bordrolama firmasının söz konusu kişisel verileri kendi amaçları için kullanması mümkün değildir. Öte yandan bu bordrolama firması başlı başına bir şirket olarak iş akdi sebebiyle çalışanlarının verilerini işleme faaliyetinde kendisi veri sorumlusu statüsünde olacaktır. Bir kamu kuruluşunun, topladığı kişisel verilerin saklanması için bir bulut hizmeti sağlayıcısıyla sözleşme yapması durumunda, bulut hizmeti sağlayıcısı veri işleyen statüsündedir. Zira taraflar arasındaki sözleşme gereği bulut hizmeti sağlayıcısının verileri kendi amaçları için kullanması mümkün değildir. Ayrıca bulut hizmeti sağlayıcısı, kendisi veri de toplamamaktadır. Tek faaliyeti kamu kuruluşundan gelen kişisel verileri yine kamu kuruluşunun talimatlarına uygun olarak saklamaktır.
Özetle, veri sorumlusu işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir. Bununla birlikte, veri sorumlusu yapacağı kişisel veri işleme sözleşmesi ile bazı hususlarda karar verme yetkisini veri işleyene bırakabilir:[2]
Kanunda geçen bu iki kavramın tanımını ve ayrımını yaptıktan sonra, işbu yazımızın da konusu olduğu üzere söz konusu tarafların veri güvenliğine ilişkin noktalarda müteselsil sorumluluklarının olduğunun bilinmesi gerekmektedir. Şöyle ki, KVKK’nın veri güvenliği başlıklı 12. maddesine göre veri sorumlusu;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak ile yükümlüdür.
Veri sorumlusu bu yükümlülüklerini yerine getirmek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak zorundadır. Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak ise Kurulun yetki ve görevleri arasında yer almaktadır. Bununla birlikte, Kurul tarafından belirlenecek asgari kriterler esas alınmak üzere sektör bazında işlenen kişisel verilerin niteliğine göre ilave tedbirlerin alınması da söz konusu olabilecektir.
Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, gerekli tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. Dolayısıyla veri işleyenler de veri güvenliğinin sağlanması için tedbir alma yükümlülüğü altındadır. Buna göre, örneğin veri sorumlusunun şirketine ilişkin kayıtlar bir muhasebe şirketi tarafından tutuluyorsa, verilerin işlenmesine ilişkin birinci fıkrada belirtilen tedbirlerin alınması hususunda veri sorumlusu muhasebe şirketiyle birlikte müştereken sorumlu olacaktır.
Kanunda, veri güvenliğine ilişkin olarak ayrıca veri sorumlusuna denetim yükümlülüğü getirilmiştir. Veri sorumlusu, kendi kurum veya kuruluşunda, KVKK hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Dolayısıyla, veri sorumlusu bu denetimi kendisi gerçekleştirebileceği gibi bir üçüncü kişi vasıtasıyla da gerçekleştirebilir.
Öte yandan, veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
Son olarak, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
Veri güvenliğine ilişkin alınacak önlemlerin her bir veri sorumlusunun yapısına, faaliyetlerine ve tabi olduğu risklere uygun olması gerekmektedir. Bu nedenle, veri güvenliğine ilişkin tek bir model öngörülememektedir. Uygun önlemlerin belirlenmesinde şirketin büyüklüğü veya cirosunun yanı sıra veri sorumlusunun yaptığı işin ve korunan kişisel verinin niteliği de önemlidir.[3]
Yukarıda yer alan veri sorumlusu ile veri işleyen tarafın müşterek sorumluluğu nedeniyle;
Aranızda veri aktarımı faaliyeti olabilecek taraflar konusunda titiz bir seçim yapılmasını, bu taraflar arasında yazılı bir veri aktarım sözleşmesi ile (veya ana sözleşmenize koyulacak bir hükümle) veri aktarım sebeplerini, yöntemini, silme-imha ve işlemeye/aktarmaya dair kuralları, alınacak önlemlerin neler olacağını belirlemenizi, bunları yaparken maktu maddelerden kaçınarak somut olayın özelliklerini dikkate almanızı, adınıza veri işleyen tarafları özellikle teknik ve idari açıdan denetlemenizi hukuken tavsiye ederiz.
Konu ile ilgili herhangi bir soru veya sorununuz olması halinde bizimle irtibat kurmanızı rica ederiz
Saygılarımızla,
Av. Senem ÇETİN Av. İrem Can TANIŞ
Danışmanlık Departmanı Yöneticisi Danışmanlık Departmanı