Veri sorumlusu ve veri işleyen kavramları 6698 Sayılı Kişisel Verilerin Korunması Kanunu ile hayatımıza girmiş kavramlardır. Bu yazımızda hem bu kavramların anlamlarını, hem de bu kavramın karşılığı gerçek ve tüzel kişilerin sorumluluklarına değineceğiz.

Genel olarak tanımlamak gerekirse; Veri sorumlusu; kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilerdir. Veri işleyen ise; veri sorumlusunun veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiler şeklinde tanımlanmaktadır.

Veri Sorumlusu Kimdir?

Kişisel Verilerin Korunması Kanunu (KVKK) ile amaçlanan korumanın gerçekleşmesi, söz konusu yükümlülüklerin muhataplarının belirlenmesine bağlıdır. KVKK’da bu muhataplar; veri sorumlusu ve veri işleyen olarak ifade edilmiştir.

Kişisel Verilerin Korunması Kanunu’na (KVKK) göre veri sorumlusu; kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilerdirKVKK, kimlerin veri sorumlusu olacağına ilişkin herhangi bir sınırlama getirmemiştir. Bir başka ifadeyle veri sorumlusu kavramı, son derece kapsayıcıdır. Bu sebeple; gerçek kişiler, kamu kurumları, dernekler, vakıflar veya özel şirketler veri sorumlusu olabilirler. Burada dikkat edilmesi gereken husus, veri sorumlusunun ayrı bir kişiliğinin bulunması gerekliliğidir. Örneğin, bir bankanın şubeleri ya da kurumsal bir mağazanın şubeleri merkezden bağımsız bir kişiliğe sahip olmadıklarından veri sorumlusu da olamazlar.

KVKK’ya göre veri sorumlusu; verilerin işlenme yöntemini ve amacını belirleyen kişidir. Veri sorumlusu, KVKK’da yer alan ilkelere uygun davranmak ve yükümlülükleri de yerine getirmek zorundadır. Söz konusu zorunluluk, veri sorumlusunu kişisel verilerin işlenmesinden doğan zararların da muhatabı haline getirmiştir.

Veri Sorumlusunun Yükümlülükleri Nelerdir?

Kişisel Verilerin Korunması Kanunu, çeşitli maddeleri ile veri sorumlusunun uyması gereken yükümlülükler öngörmüştür. Veri sorumlusunun bu yükümlülüklerinin bir kısmı, ilgili kişinin haklarının korunması ve taleplerinin yerine getirilmesine yöneliktir. Diğer kısmı ise kişisel verilerin korunmasına ilişkin sistemin etkin bir şekilde işleyişini sağlamaya yöneliktir. Veri sorumlusunun, ilgili kişinin istemesi halinde, verilerinin aktarıldığı kişiler konusunda onu bilgilendirme yükümlülüğü birinci duruma örnek verilebilir. Benzer şekilde veri sorumlusunun, Veri Sorumluları Sicili’ne tescil yükümlülüğü de ikinci duruma örnektir.

Veri sorumlusu, kişisel verilerin KVKK’da öngörülen ilkeler çerçevesinde işlenmesini sağlamak zorundadır. Kişisel veriler ancak kanunlarda yer alan ilkeler çerçevesinde işlenir. KVKK madde 4/2’ye göre bu ilkeler;

  • Hukuka ve dürüstlük kurallarına uygun olma,
  • Doğru ve gerektiğinde güncel olma
  • Belirli, açık ve meşru amaçlar için işlenme,
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Veri sorumlusunun diğer yükümlülükleri ise şu şekildedir:
  • Kişisel verilerin silinmesini takip etmek: Kanunlara uygun bir şekilde işlenen kişisel verilerin işlenme sebeplerinin ortadan kalkmasıyla veri sorumlusu kendiliğinden veya ilgili kişinin talebiyle bu verileri silmelidir.
  • Kişisel verilerin aktarılmasında gereken özeni göstermek: Veri sorumlusu, kişisel verilerin aktarılması esnasında gerekli tedbirleri almakla yükümlüdür.
  • İlgili kişiyi aydınlatmak: Bu yükümlülük; kişisel verinin elde edilmesi esnasında veri sorumlusu veya yetkilendirdiği kişinin, ilgili kişiye KVKK madde 10’da sayılan konulara ilişkin bilgi vermesini ifade eder.
  • Veri güvenliğini sağlamak: Veri sorumlusu, kişisel verilerin hukuka aykırı şekilde elde edilmesini, işlenmesini önlemek ve de bu verilerin muhafazasını sağlamak için gerekli güvenlik tedbirlerini almak yükümlülüğündedir. Bunun için, her türlü idari ve teknik desteği kullanma zorunluluğundadır.
  • Sır saklamak: Veri sorumluları, elde ettikleri kişisel verileri KVKK hükümlerine aykırı olarak başkalarına açıklayamazlar. Söz konusu verileri, işleme amacının dışında kullanamamaları da sır saklama yükümlülüğünün gerekliliğidir. Sır saklama yükümlülüğü, görevden ayrılmasının ardından da devam eder.
  • Kişisel Verileri Koruma Kurulu’nun kararlarına uymak: Veri sorumlusu, Kişisel Verileri Koruma Kurulu’nun kendiliğinden veya şikayet üzerine yaptığı incelemeler esnasında gerekli bilgi ve belgeleri sağlamalıdır. Ayrıca Kurul’un gerekli gördüğü hallerde yerinde yapacağı incelemelere izin vermelidir.  Kurul, tarafından tespit edilen hukuka aykırılıkları gidermelidir.
  • Veri Sorumluları Sicili’ne kaydolmak: Kişisel verileri işleyecek olan veri sorumluları; Kurul tarafından tutulan sicile kaydolma yükümlülüğüne sahiptir. Bu yükümlülük verileri işlemeye başlamadan önce yerine getirilmelidir. Veri Sorumluları Sicili’ne kayıt yükümlülüğü en baştan beri olabileceği gibi sonradan da doğmuş olabilir.
  • İlgili kişinin taleplerini yerine getirmek: Veri sorumlusunun yükümlülüklerine ilgili kişinin KVKK madde 11’de sayılan konulara ilişkin taleplerini yerine getirme yükümlülüğünü de ekleyebiliriz. İlgili kişinin; kişisel verilerinin işlenip işlenmediğine ilişkin bilgi talebi, kişisel verilerinin işlenme amacına uygun kullanılıp kullanılmadığı, verilerin eksik veya yanlış işlenmiş olması durumunda bunların düzeltilmesi gibi taleplerinin gereğini yerine getirmek veri sorumlusunun görevlerindendir.

Veri İşleyen Kimdir?

Kişisel Verilerin Korunması Kanunu madde 3/ğ’de veri işleyen; veri sorumlusunun veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiler şeklinde tanımlanmıştır. Tanımdan da anlaşılacağı üzere herhangi bir gerçek veya tüzel kişi, veri işleyen olabilir. Veri işleyen ve veri sorumlusu kavramları, birbirlerinden keskin çizgilerle ayrılmadığından bir kişinin hem veri işleyen hem de veri sorumlusu  olması mümkündür. Veri işleyen, kişisel verilerin işlenmesi faaliyetinin daha çok teknik kısmı ile ilgilenir. Veri işleyen, veri sorumlusunun çalışanı olabileceği gibi dışarıdan hizmet aldığı ayrı bir gerçek veya tüzel kişi de olabilir.

KVKK, sorumluluk kavramını daha ziyade veri sorumlusunu esas alarak düzenlemiştir. Ancak KVKK, tıpkı veri sorumluları gibi veri işleyenlerin de elde ettikleri kişisel verileri kanuna aykırı bir şekilde başkalarına açıklamalarını yasaklamıştır. Benzer şekilde veri işleyenler, veri işleme faaliyetlerinin gereği olarak elde ettikleri kişisel verileri amacına aykırı olarak kullanamazlar.

Son olarak veri işleyen, veri işleme faaliyetinden ve bu faaliyetten doğacak zararlardan, aralarındaki hukuki ilişkinin türüne göre veri sorumlusuna karşı da sorumludur.Bu kapsamda veri işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir. Gerçek yada tüzel kişi olabilir. Veri işleyen, veri sorumlusunun talimatları doğrultusunda kişisel verileri işleyen bir şirket çalışanı olabileceği gibi; şirketin yine talimat ve menfaatleri ile bağlı karşılıklı sözleşmeye dayalı anlaştığı başka bir şirkette olabilir. Yani veri sorumlusu gibi veri işleyende gerçek yada tüzel kişi olabilir. Veri işleyenin faaliyetleri veri işlemenin daha çok teknik kısımları ile sınırlıdır. Örneğin, saklamanın hangi yöntemle yapılacağı, verilerin nasıl silineceği hususları veri işleyenin yetkisindedir.
Son Yazılar
Kategoriler
GDPR KVKK Uncategorized