Veri Sorumlusu mu, Veri İşleyen mi? Temel Farklar ve Aydınlatma Sorumluluğu (Karar: 2020/71)
Kişisel Verileri Koruma Kurulu (Kurul), 30/01/2020 tarihli bu görüş kararıyla, KVKK’nın temel aktörleri olan “Veri Sorumlusu” ve “Veri İşleyen” arasındaki ayrımı belirleyen kriterleri uluslararası standartlarla (GDPR, 29. Madde Çalışma Grubu) uyumlu hale getirmiştir. Karar, bu iki kavramın sadece isimden ibaret olmadığını, somut olaydaki “karar verme yetkisine” göre belirlendiğini tescil etmiştir.
1. Veri Sorumlusu: İşlemenin “Neden” ve “Nasıl”ına Karar Veren
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen asıl güçtür. Bir gerçek veya tüzel kişinin veri sorumlusu sayılması için şu kriterlere bakılır:
- Özerklik: Kimseden emir almaz, kararları kendisi verir.
- Stratejik Kararlar: Hangi verilerin toplanacağı, ne amaçla kullanılacağı, ne kadar süre saklanacağı ve kimlere aktarılacağı gibi temel unsurları belirler.
- Hak Sahipliği: İşleme faaliyetinden asıl menfaat sağlayan ve ilgili kişilerle (vatandaşlarla) doğrudan muhatap olan taraftır.
2. Veri İşleyen: Talimatla Hareket Eden Teknik Birim
Veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak, onun adına ve onun belirlediği sınırlar içinde veri işleyen kişidir.
- Bağımlılık: İşlemenin amacını belirleyemez, sadece veri sorumlusunun talimatlarını uygular.
- Teknik Uygulama: Veri işlemenin daha çok teknik ve operasyonel kısımlarıyla (sunucu yönetimi, yazılım desteği vb.) ilgilenir.
- Müşterek Sorumluluk: Veri işleyen, veri sorumlusu ile birlikte teknik ve idari tedbirlerin (güvenlik) alınmasından müştereken sorumludur.
3. Aydınlatma Yükümlülüğünü Kim Yerine Getirmelidir?
KVKK Madde 10 uyarınca ilgili kişileri bilgilendirme (aydınlatma) yükümlülüğü aslen Veri Sorumlusuna aittir. Ancak Kurul, bu yükümlülüğün yerine getirilme yöntemiyle ilgili şu önemli açıklamayı yapmıştır:
- Seçim Hakkı: Kanun metnindeki “veri sorumlusu veya yetkilendirdiği kişi” ifadesi uyarınca, veri sorumlusu aydınlatma işlemini bizzat yapabileceği gibi, bir başkasını (örneğin bir veri işleyeni) bu konuda yetkilendirebilir.
- Sorumluluk Değişmez: Aydınlatma işlemini veri işleyen (ajans, çağrı merkezi, taşeron yazılım firması vb.) fiziksel olarak yapsa dahi, bu bilgilendirmenin doğruluğundan ve Kanuna uygunluğundan asıl sorumlu yine de Veri Sorumlusudur.
- İspat Yükümlülüğü: Aydınlatmanın yapıldığını ispat etmek her zaman veri sorumlusunun görevidir.
4. Özgür Eralp Perspektifi: “Kağıt Üstündeki Sıfat Değil, Fiili Durum Esastır”
Bilişim hukuku tecrübemizde, şirketlerin sözleşmelere “X tarafı veri işleyendir” yazarak sorumluluktan kaçmaya çalıştığını görüyoruz. Ancak Kurul bu kararla şunu diyor: Sözleşmede ne yazdığına değil, verinin kaderini kimin belirlediğine bakarım. Eğer “veri işleyen” olarak atadığınız firma, verileri kendi pazarlama amaçları için de kullanmaya başlarsa, o an otomatik olarak “veri sorumlusu” haline gelir ve tüm ağır yaptırımlarla baş başa kalır.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Özellikle bulut bilişim, dış kaynak (outsourcing) kullanımı ve dijital pazarlama süreçlerinde, tarafların rollerinin netleştiği bir “Veri İşleme Sözleşmesi” (DPA) yapılması hayati önemdedir. Aydınlatma yükümlülüğünü veri işleyene devrediyorsanız bile, kullanılan metinlerin güncelliğini ve VERBİS kayıtlarınızla uyumunu bizzat denetlemelisiniz. “Aydınlatmayı taşeron yapacaktı, yapmamış” savunması sizi cezadan kurtarmaz.
Sıkça Sorulan Sorular
1. Bir şirket hem veri sorumlusu hem veri işleyen olabilir mi?
Evet. Bir şirket kendi çalışanlarının verileri için “veri sorumlusu” iken, başka bir şirkete sunduğu bulut hizmeti kapsamında o şirketin verileri için “veri işleyen” olabilir.
2. Aydınlatma yükümlülüğü için ilgili kişinin onayını almamız şart mı?
Hayır. Aydınlatma, tek taraflı bir bildirimdir. Kişinin onayına (açık rızasına) tabi değildir; sadece bilgilendirilmiş olması yeterlidir.
3. Veri işleyen, kendisine verilen verileri kendi amaçları için kullanabilir mi?
Kesinlikle hayır. Eğer kullanırsa, talimat dışına çıkmış olur ve “hukuka aykırı veri işleme” suçu ve ağır idari para cezalarıyla karşılaşır.
4. Aydınlatma metnini kim hazırlamalıdır?
Metin veri sorumlusu tarafından hazırlanmalı veya onaylanmalıdır. Veri işleyen sadece bu metni ilgili kişiye (örneğin telefonun başında veya web sitesi formunda) ileten “kanal” rolündedir.
5. 2026 yılı itibarıyla veri sorumlusu tanımında bir değişiklik oldu mu?
Hayır, tanım ve Kurul’un “karar verici güç” kriteri geçerliliğini korumaktadır. Ancak yapay zeka ve ortak veri alanları (Data Spaces) gibi yeni teknolojilerle birlikte “Müşterek Veri Sorumluluğu” kavramı daha sık tartışılmaya başlanmıştır.
Kaynaklar
- KVKK Kurumu – 2020/71 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 3, 10, 12)
- Madde Çalışma Grubu 1/2010 Sayılı Tavsiye Kararı
- Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ
Etiketler
KVKK, Veri Sorumlusu, Veri İşleyen, Aydınlatma Yükümlülüğü, Karar Verme Yetkisi, Teknik ve İdari Tedbirler, 2020/71 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Veri İşleme Sözleşmesi, Şeffaflık İlkesi, Müşterek Sorumluluk
Veri sorumlusu ve veri işleyen arasındaki ayrımı netleştirmek için somut bir iş senaryosu (örneğin bir e-ticaret sitesi ve kargo firması ilişkisi) üzerinden inceleme yapmak ister misiniz?
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),