Veri Sorumlusu ve Veri İşleyenin Tespiti 6698 Sayılı Kişisel Verilerin Korunması Kanunu iki unsur ile ele alınmaktadır.
- Veri Sorumlusu
- Veri İşleyen
Verilerin işlenmesinde ana kumanda veri sorumlusundadır. Veri sorumlusunu tespit ederken verinin işlenme amaç ve vasıtasını kimin belirlediğine bakarız. Bir şirkette bu belirlemeyi yapanın şirketin tüzel kişiliği olduğu kabul edilir, tüzel kişiliği temsile ve ilzama yetkili kişiler, tüzel kişi çalışanları kesinlikle veri sorumlusu değildirler. Bu unutulmamalıdır.
Veri sorumlusu, işlenen veri üzerinde güvenliğin sağlanmasından, veri üzerindeki asli hak sahibi olan ilgili kişinin aydınlatılmasından, gerekli şartları karşılıyorsa Veri Sorumluları Sicili Bilgi Sistemi (“VERBİS”) ‘ne kayıttan ve mevzuatta yer alan birtakım diğer yükümlülüklerden aslen ve münferiden sorumludur.
Veri işleyen ise veri sorumlusundan aldığı talimatla ilerler, talimata sadık kaldığı ve veri üzerinde gerekli güvenliği sağladığı sürece eğer sözleşmeyle aksi kararlaştırılmamışsa başka bir yükümlülüğü yoktur. Bununla birlikte veri sorumlusundan aldığı talimatın dışına çıktığı an veri işleyen, ayrı bir veri sorumlusuna dönüşür.
Avrupa uygulamasında, Türk Veri Koruma mevzuatında henüz yer edinmeyen müşterek veri sorumlusu, alt veri işleyen gibi ayrıca birtakım kavramlar da mevcut. Bunların sözleşmeler vasıtasıyla Türk Veri Koruma Hukukuna dahil edilebileceğini düşünüyoruz.
Konuya dair Avrupa Veri Koruma Kurumu’nun yayınlamış olduğu bir rehber (“Guidelines 07/2020”) var. Bu rehber Temmuz 2021 ‘de güncellendi. Rehber, Türk Hukukunda bağlayıcılığı bulunmasa da hukuki ilişki örnekleri bakımından oldukça zengin, konuyla ilgilenenlerin incelemesinde fayda var.
Gelgelelim veri sorumlusu ve veri işleyen tayininde nelere dikkat etmek gerektiğine:
- Veri sorumlusu ve veri işleyenin tayininde taraflar arasındaki ilişkinin somut bir şekilde ortaya konulması gerekir. Bu ilişki bazen mevcut mevzuattan anlaşılabilir veya taraflar arası sözleşme belirleyici olabilir. Tabi burada sözleşmeye “A veri sorumlusu, B veri işleyendir” gibi genel bir hüküm eklenmesinden bahsetmiyoruz. Fiili gerçeği yansıtmayan bir sözleşmenin Veri Koruma Hukukunda geçerliği yoktur.
- Müşterek veri sorumluları diye bir şey var. Bunun Türk Hukukunda bir örneği adi ortaklık ilişkisi kapsamında işlenen kişisel verilerde karşımıza çıktı. Kişisel Verileri Koruma Kurumu, yapmış olduğu bir kamuoyu duyurusunda, adi ortaklık ilişkisi kapsamında işlenen kişisel verilerin adi ortaklardan VERBİS’ e kayıt yükümlülüğü bulunanlar tarafından VERBİS kayıtlarına eklenmesi gerektiğini açıkladı.
- Bir başka örnek üzerinden gidersek, bir bankanın borçlu takip sistemi, Kişisel Verileri Koruma Kurulu (“Kurul”) kararına konu oldu. Veri sorumlusu banka tarafından borçlu takibi amacıyla uygulamaya alınan bu sistem, bankanın dış destek aldığı kendi vergi levhası olan avukatlar tarafından da kullanılmaktaydı. Bu dış destek alınan avukatlardan biri sisteme borçlulardan birinin yakınına dair telefon numarasını kaydetmiş, bir başka avukat ise bu numaraya ödeme hatırlatma mesajı göndermişti. Kurul, banka takip sistemindeki verilerin doğruluğundan bankayı, bu sisteme kaydedilen verinin doğruluğundan ise avukatı veri sorumlusu gibi değerlendirdi. Altını çizelim ki burada müşterek veri sorumlusu ilişkisi yoktur. Müşterek veri sorumlusu deyince anlamamız gereken birden fazla kişinin bir araya gelip veri işleme amaç ve vasıtalarına birlikte karar vermesidir.
- Bir yazılım teknolojisinin fikri hak sahibi genellikle veri işleyen olarak karşımıza çıkıyor. Bu teknolojide kullanılan yazılım kodunun, teknolojinin bulunduğu sunucuların fikri hak sahibi tarafından belirlenmesi, direkt “veri işleme vasıtasının belirlenmesi” şeklinde anlaşılmamalı. Ancak fikri hak sahibi, müşterilerine sunduğu ürün ve hizmetler kapsamında elde ettiği verileri iş geliştirme, istatistiki çalışmalar yapma gibi amaçlarla ayrıca işleyecekse veri sorumlusuna dönüşüyor. Dolayısıyla bir tarafın çift rolü bulunabilir, yazılım teknolojilerinin tedarik sürecinde bunu bir sorgulamak gerekir.
- Alt-veri işleyen, veri işleyenin verileri işlerken destek aldığı alt-yüklenicileri ifade ediyor. Burada da şuna dikkat etmek gerek: Herhangi bir hukuki ilişkide, taraflardan birinin alt-yükleniciyle çalışıyor olması bu tarafı otomatikman veri işleyen kılmaz. Veri sorumlusunun tanımında yer alan şartların bulunup bulunmadığı her senaryoda yeniden sorgulanmalı.