Mobile logo
Top

Veri Sorumlusu ve Veri İşleyen Ayrımı

Bilgi Bankası Temel Kavramlar

Veri Sorumlusu ve Veri İşleyen Ayrımı

6698 sayılı Kanun, kişisel verilerin korunması ve hukuka uygun işlenmesi bakımından asıl yükü veri sorumlusuna yüklemektedir. Veri sorumlusu, kendi gerçekleştirdiği ihlallerin yanı sıra veri işleyenin ihlallerinden de müteselsilen (birlikte) sorumlu tutulmakta ve veri işleyenin veri güvenliğini sağlamasını temin etmekle yükümlü kılınmaktadır. Bu nedenle veri sorumlusunun kim olduğunun tespiti sorumluluk ve yükümlülükleri belirlenmesi açısından büyük bir önem taşımaktadır.

Veri Sorumlusu Kimdir?

Veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır. Günlük dil ile ifade edecek olursak veri sorumlusu, veri işleme faaliyetinin genel anlamda “neden” ve “nasıl” yapıldığını belirleyen kişidir.

Örneğin; müşterilerinin iletişim bilgilerini toplayan, toplanma amacını ve yöntemini belirleyen, bu verilerin kime gönderileceğine karar veren bir e-ticaret şirketi veri sorumlusudur.
Veri İşleyen Kimdir?

Veri işleyen; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade etmektedir. Örneğin, Şirketinizin anlaşmalı olduğu, verilerinizi saklayan bulut hizmeti sağlayıcıları veri işleyendir. Zira bulut hizmeti sağlayıcı, hangi kişisel verilerin ne amaçla ve hangi yöntemlerle toplanacağına karar veren bir konumda değildir.

Şirket Çalışanları Veri İşleyen Veya Veri Sorumlusu Mudur?

Şirket çalışanları veri işleyen veya veri sorumlusu sıfatını taşımazlar. Kurul, veri işleyenin şirketin organizasyonu dışında bir kişi ya da kurum olabileceğini ifade etmektedir. Ayrıca her ne kadar kişisel verileri işlemede karar verici mercide olsalar da, (şirket veya dernek gibi) tüzel kişilerin yetkilileri bu yetkileri o tüzel kişiyi temsilen kullandıkları için teknik olarak veri sorumlusu değildirler.

Dolayısıyla örneğin bir anonim şirketin pazarlama müdürü veri işleyen olmadığı gibi veri sorumlusu sıfatına da haiz değildir. Bu örnekte veri sorumlusu sıfatını bizzat tüzel kişiliğin kendisi taşımaktadır. 

Ancak bu durum tüzel kişiyi temsil ve ilzama yetkili olan kişilerin sorumluluğunu ortadan kaldırmamaktadır. Veri sorumlusu olan tüzel kişiye kesilen idari para cezası için tüzel kişi, sorumlu yetkiliye rücu edebileceği gibi, ceza hukuku açısından da tüzel kişinin yetkili organlarındaki temsilcilerin cezai sorumlulukları (suçta ve cezada şahsilik ilkesi gereği) devam etmektedir.

Veri sorumlusu mu veri işleyen mi olduğumu nasıl tespit edeceğim?

Bu noktada belirtmeliyiz ki, bir işletme veri işleme faaliyetlerinin tümü bakımından kesin olarak veri sorumlusu ya da veri işleyen sıfatını taşımaz. Hatta çoğu zaman işletmeler bazı faaliyetlerinde veri sorumlusu bazılarında ise veri işleyen olarak nitelendirilmektedir.

Örneğin; bir bulut hizmet sağlayıcı firma kendi çalışanlarının verileri bakımından veri sorumlusu iken hizmet sağladığı firmanın bulutta saklanan verileri için veri işleyendir.

Dolayısıyla işletmeler, sorumluluklarının tespitinde her bir veri işleme faaliyetlerini ayrı ayrı değerlendirmelidir. Aşağıdaki kriterler bu tespitte göz önünde bulundurulabilir.

Eğer aşağıdaki konularda kararı siz veya işletmeniz alıyorsa siz veya işletmeniz büyük ihtimalle veri sorumlusu sıfatını taşırsınız:

  • Hangi kişisel verilerin toplanacağı,
  • Kişisel verilerin hangi amaçlarla işleneceği,
  • Hangi kişilerin kişisel verisinin toplanacağına,
  • Kişisel verilerin kimlere, hangi amaçla aktarılacağı,
  • Kişisel verilerin hangi süre ile saklanacağı

Bu konularda sizin veya işletmenizin karar yetkisi olmayıp yalnızca aşağıdaki hususlarda serbest hareket imkanınız varsa sizin veya işletmenizin veri işleyen olması daha muhtemeldir:

  • Kişisel verilerin toplanmasına hangi bilişim sistemlerinin kullanılacağı,
  • Kişisel verilerin nasıl saklanacağı,
  • Veri güvenliğinin sağlanmasının detayları,
  • Kişisel verilerin bir şirketten diğerine aktarılmasında kullanılacak yöntem,
  • Veri saklama sürelerine uyulmasını sağlamak için kullanılacak yöntem,
  • Kişisel verilerin imhasında kullanılacak yöntem.

Bu listeler sınırlı olmamakla birlikte, veri sorumlu ile veri işleyenin rollerinin farklılığını ortaya koymaktadır. Bunlara göre, özetle veri işleyen veri sorumlusu adına yürüttüğü faaliyetlerde teknik bilgisini kullanmakta özgürdür.

Özetle;

Veri sorumlusu kişisel verilerin saklanma süresi, toplanma amacı ve yöntemi gibi esaslı unsurlara karar verici pozisyondaki gerçek veya tüzel kişi iken veri işleyen ise veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade etmektedir. Bu kapsamda bir tüzel kişinin çalışanları veri işleyen olmayıp bir tüzel kişinin temsil ilzama yetkili kişileri ise teknik olarak veri sorumlusu değildir. Ancak yine de; bu veri sorumlusu olmama hali, tüzel kişiyi temsil ilzama yetkili olan yöneticileri hukuki ve cezai sorumluluktan kurtarmaya tek başına yeterli olmayacaktır.

11 Ocak 2018
0
0
veri işleyen veri sorumlusu
Related Posts
Sigorta Acentesi Veri İşleyen midir?
 2 Nisan 2021
Kişisel Verileri Korumaya Hazır mısınız?
 5 Eylül 2019
Sorularla VERBİS Rehberi Yayınlandı
 29 Mart 2019
Dilara Tunçtürk
Dilara Tunçtürk
Yorum Bulunmuyor

Yorum Yapın