Veri sorumlusu, kişisel verilerin işlenmesinin amacını ve araçlarını belirleyen kişi, şirket veya başka bir kuruluştur (bu, tek başına veya başka bir kişi/şirket/kuruluş ile birlikte belirlenebilir).
KVKK’nın 12. maddesinin 2. fıkrasında kişisel verilerin kendi adına diğer bir gerçek veya tüzel kişi aracılığıyla işlenmesi, dolayısıyla kişisel verilerin veri işleyen aracılığıyla işlenmesi hususunda, kişisel verilerin hukuka aykırı olarak işlenmesinin önüne geçmek, kişisel verilere hukuka aykırı olarak erişim sağlanmasının önüne geçmek ve kişisel verilerin korunmasını sağlamak için uygun güvenlik şeklini elde etmeye dönük gereken her türden teknik ve idari önlemlerin alınması hususunda veri sorumluları ve veri işleyenlerin birlikte sorumlu olduğu belirtilmiştir. Bu husus, kişisel verilerin korunması için veri işleyen aracılığıyla alınan teknik ve idari önlemlerin veri sorumlusu aracılığıyla denetlenmesini ve veri işleyen ile veri sorumlusu ilişkisinin özel olarak düzenlenmesini gerektirmektedir.
Veri Sorumlusu ve Veri İşleyen
KVKK kapsamında, veri sorumlusu, “Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak ifade edilmiştir. Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında, veri sorumlusu, “Yalnız başına veya başkalarıyla birlikte, kişisel verilerin işlenmesine ilişkin amaçlar ve yöntemleri belirleyen gerçek veya tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organ.” şeklinde tanımlanmıştır. Mesela, bankacılık hizmetlerinin gerçekleştirilmesi için bir elektronik altyapı sistemi oluşturan ve bu sistem vasıtasıyla müşterilerinin kişisel verilerini işleyen bir banka, veri sorumlusu olarak sayılacaktır.
Veri işleyen, KVKK çerçevesinde “Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlanmıştır. Farklı bir deyişle, veri işleyen, veri sorumlusu aracılığıyla kişisel veri işleme sözleşmesi vasıtasıyla yetkilendirilen ve veri sorumlusunun direktifleri doğrultusunda, veri sorumlusunun yerine ilgili kişilerin verilerini işleyen gerçek veya tüzel kişilerdir. Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) çerçevesinde ise, veri işleyen, “Veri sorumlusu adına kişisel verileri işleyen bir gerçek ya da tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organ” olarak ifade edilmiştir. Mesela, veri sorumlusu sıfatıyla hareket eden bir bankaya, muhasebe hizmeti veren bir muhasebeci, veri depolama hizmeti sağlayan bilişim şirketi ya da denetim hizmeti sağlayan bir denetim firması veri işleyen olarak adlandırılacaktır.
Veri sorumlusu ya da veri işleyen olunabilmesi için ilk olarak gerçek veya tüzel kişi olunması gerekmektedir. Bununla birlikte; tüzel kişiliğe sahip şirketler, vakıflar, kamu kurum ve kuruluşları veri sorumlusu veya veri işleyen olarak sayılabilecekken, bir şirketin insan kaynakları birimi ya da bir kamu kuruluşunun taşra teşkilatı birbirinden farklı bir tüzel kişiliğe sahip olmadığı için veri sorumlusu ya da veri işleyen sayılamayacaktır. İnsan kaynakları aracılığıyla kişisel verilerin işlenmesi sonucunda, bağlı bulunduğu şirket veri sorumlusu olarak sayılacaktır.
Bazen gerçek veya tüzel kişinin aynı anda hem veri sorumlusu hem de veri işleyen olabilir. Örnek olarak, bir muhasebe şirketi kendi çalışanları ile alakalı bir şekilde işledikleri kişisel veriler için veri sorumlusu olarak yorumlanabilecekken, yükümlüleri için tuttuğu ve işlediği kişisel veriler için veri işleyen olarak sayılacaktır.
Kişisel Veri İşleme
Veri sorumluları, bilgi teknolojisi ile alakalı gereksinimlerini karşılayabilmek için, bilgi teknolojileri kapsamında hizmet veren şirketlerden, yani veri işleyenlerden hizmet satın almaktadır. Bu hususta, KVKK gereğince, kişisel verilerin korunmasına ilişkin önlemlerin alınması konusunda veri sorumlusu ile veri işleyen birlikte sorumlu sayılmaktadır. Yani, veri sorumluları, hizmet alırken kişisel verilerin korunması hususunda veri işleyenlerin minimum kendileri tarafından karşılanan güvenlik düzeyinin sağlandığını teyit etmelilerdir.
Veri sorumlusu ile veri işleyen arasındaki ilişkinin kişisel veri işleme sözleşmesi ile revize edilmesi gerekmektedir. Kişisel veri işleme sözleşmesinin yazılı ve veri sorumlusunun Kişisel Veri Saklama ve İmha Politikasına uyumluluğu sağlanmalıdır. Bu sözleşme çerçevesinde veri sorumlusu, kişisel verilerin işlenme maksadını ve usulünü belirleyen ve kişisel verilerin işlenmesine ilişkin kararları alan kişidir. Veri işleyen ise, veri sorumlusu yerine kişisel verileri işleyen kişi olarak daha çok kişisel veri işleme eylemlerinin teorik kısımları ile alakalıdır.
Kişisel verilerin işlenmesi çerçevesinde, kişisel verilerin toplanması ve toplama şekli, toplanacak kişisel veri türleri, toplanan verilerin hangi maksatla kullanılacağı, hangi bireylerin kişisel verilerinin toplanacağı, toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı, verilerin ne kadar süreyle saklanacağı konularında veri sorumlusu aracılığıyla saptanacaktır. Bunun yanında, kişisel verilerin toplanması amacıyla hangi bilgi teknolojileri sistemlerinin veya diğer yolların kullanılacağı, kişisel verilerin hangi şekilde saklanacağı, kişisel verilerin korunması amacıyla alınacak güvenlik tedbirlerinin ayrıntıları, kişisel verilerin devredilmesinin hangi yöntemle yapılacağı, kişisel verilerin saklanması ile ilgili sürelerin düzgün gerçekleştirilebilmesi amacıyla kullanılacak yöntem, kişisel verilerin silinmesi, yok edilmesi ve anonim hâle getirilmesi gibi konulara da karar verme yetkisi veri işleyene aktarabilecektir.
Örneğin; bir şirketin, çalışanlarının kişisel verilerinin muhafaza edilmesi amacıyla bulut depolama hizmeti veren başka bir şirket ile anlaşması sonucunda, bulut depolama hizmetini veren şirket; veri işleyen olarak, bulut depolama hizmeti verilen şirket ise veri sorumlusu olarak adlandırılacaktır. Bu hususta, hangi çalışanların kişisel verilerinin toplanacağı, toplanan kişisel verilerin hangi maksatla ve ne kadar zamanda saklanacağına bulut depolama hizmeti verilen şirket, veri sorumlusu olarak karar verecektir. Bunun yanında, çalışanların kişisel verilerinin korunması amacıyla alınacak teknik önlemler ile çalışanların kişisel verilerinin silinmesi, yok edilmesi veya anonim hâle getirilmesi amacıyla kullanılan metotların belirlenmesi, bulut depolama hizmetini veren şirketin takdirine, kişisel verileri işleme sözleşmesi ile bırakılabilecektir.
Kişisel veri işleme sözleşmesi çerçevesinde, veri işleyenin ilk olarak KVKK’nın yanında, kişisel verilerin korunması yönetmeliğine, veri sorumlusunun kişisel verilerin korunması ile alakalı düzenlediği Kişisel Veri Saklama ve İmha Politikası, Kişisel Veri İşleme Envanteri gibi bildirilere ve veri sorumlusunun direktiflerine uygun davranacağını taahhüt etmesi gerekmektedir. Aynı zamanda hem veri sorumluları hem de veri işleyenler, öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak başkasına bahsedemez ve işleme maksadı haricinde kullanamazlar. Bu yükümlülük, görevden ayrılmalarından sonra da sürdürülür. Bununla birlikte, veri işleyenin işlediği kişisel verilere ilişkin olarak süresiz sır saklama yükümlülüğüne dahil olacağı ile ilgili hükmün, kişisel verileri işleme sözleşmesinde bulunması önem arz etmektedir.
KVKK’nın 12. maddesinin 5. fıkrasında, işlenen kişisel verilerin yasal olmayan yollarla başkaları aracılığıyla ele geçirilmesi, kısaca veri ihlali olması durumunda, veri sorumlusunun bu durumu en kısa zamanda ilgilisine ve Kişisel Verileri Koruma Kurumuna bildireceğine dair yönerge bulunmaktadır. Veri sorumlusunun, veri ihlali hususunda bildirim yükümlülüğünü vaktinde gerçekleştirmesi için, veri işleyen aracılığıyla veri ihlallerinin veri sorumlusuna hemen bildirilmesi gerekecektir. Yani, kişisel veri işleme sözleşmesinde herhangi bir veri ihlali olması durumunda, veri işleyenin söz konusu durumu derhal veri sorumlusuna iletmekle sorumlu olacağı ile alakalı hükmün eklenmesi, veri sorumlusunun ilgili ihlali derhâl Kişisel Verileri Koruma Kuruluna ve ilgili kişiye bildirme yükümlülüğünü gerçekleştirmesi gerekmektedir.
Veri işleyenin veri sorumlusunun yönergeleri ile aynı minvalde işlenen kişisel verilerin güvenliğinin sağlanması için teknik ve idari önlemler alması gereklidir. Alınması gereken önlemelerin alınarak veri güvenliğinin gereken düzeyde garantiye alınabilmesi için, veri işleyen aracılığıyla işlenen kişisel veri kategorilerinin ve türlerinin farkında olunması gerekecektir. Yani, kişisel veri işleme sözleşmesi çerçevesinde ayrı bir maddede veri işleyene aktarılan kişisel veri kategori ve türlerinin ifade edilmesi, veri işleyen aracılığıyla kişisel verilerin korunması ile alakalı gereken önlemlerin alınması hususunda yarar sağlayacaktır.
Veri İşleyenin Veri Sorumlusunu Denetlemesi
Veri sorumlusu, KVKK gereğince, kendi kurum ve kuruluşunda KVKK’nın hükümlerinin uygulanmasını sağlamak için gerekli kontrolleri yapmak veya yaptırmak yükümlülüğündedir. Veri sorumlusunun kişisel verilerin işlenmesi için veri işleyenle uzlaşması durumunda, KVKK’nın hükümlerinin uygulanması ile ilgili olarak veri işleyeni denetlemesi veya başka bir vekile denetletmesi gerekecektir.
KVKK ya da başta Kişisel Verileri Koruma Kurumu olmak üzere KVKK gereğince çıkarılan ikincil yönetmeliklerde, veri işleyenin veri sorumlusu aracılığıyla kontrol edilmesine dair direkt olarak hüküm mevcut değildir. Bunun yanında, Avrupa Birliği Genel Veri Koruma Tüzüğü‘nün 28. maddesinde, veri işleyenin aracılığıyla kişisel verilerin korunması ile alakalı olarak yükümlülüklere uyumluluğun sağlanması için gerekli her türlü bilginin veri sorumlusuna iletilmesi, incelemeleri kapsayacak şekilde, veri sorumlusu aracılığıyla ya da veri sorumlusu aracılığıyla yetkilendirilen diğer bir denetçi aracılığıyla gerçekleştirilen kontrollere onay verilmesi ve katkıda bulunulması ve denetime onay verme ile katkıda bulunma yükümlülüğünün veri sorumlusu ve veri işleyen arasında gerçekleştirilecek kişisel veri işleme sözleşmesinde yer alması gerektiği açıklanmıştır.
Gerçekleştirilecek denetimle birlikte, veri sorumlusu ya da veri sorumlusunun yönerge ile denetim faaliyeti yürüten üçüncü kişiler, veri işleyenin kişisel verileri işlediği yöntemler üzerinde denetimler yapacak, KVKK ve ilgili diğer yönetmelikler gereğince gereken idari ve teknik önlemlerin alınıp alınmadığını denetleyecek ve bu kontrol sonucunda denetim raporu hazırlanacaktır. Denetim çerçevesinde, veri sorumlusu veya veri sorumlusunun talimatı ile denetim faaliyeti sürdüren üçüncü kişiler, yerinde tetkik ve kontroller yapabilecektir.
Veri işleyen, denetim sırasında veri sorumlusuna ya da veri sorumlusu aracılığıyla görevlendirilen üçüncü kişilere destekte bulunmak, zorunlu bilgi ve belgeleri sağlamaktan sorumlu olacaktır. Denetim neticesinde, veri işleyenin KVKK veya diğer kişisel verileri koruma yönetmeliğine uygun biçimde davranmadığının ya da veri işleyen aracılığıyla alınan önlemlerin yeterli olmadığının saptanması sonucunda, veri işleyen kısa zamanda gereken idari ve teknik önlemleri alacak, kişisel verileri koruma yönetmeliğine uyumluluğu sağlayacak ve veri sorumlusuna bilgilendirme yapacaktır.
İncelemek isterseniz: https://www.nesilteknoloji.com/veri-sorumlusu-banka-ile-ilgili-kisiye-ait-kredi-karti-ekstresine-yer-almakta-olan-kisisel-verileri-yanlis-maile-gonderilmesi/
