Veri Sorumlusu İle Veri İşleyenin Farkları Nelerdir?
6698 sayılı Kişisel Verileri Koruma Kanunu her ne kadar 2016 yılında yürürlüğe girmiş olsa da VERBİS’e (Veri Sorumluları Sicil Bilgi Sistemi) kayıt yükümlülüğünün getirilmesi ile şirketlerin genellikle son kayıt tarihlerinden (şu an için 31.12.2021) kısa bir süre önce uyumluluk yakalamaya çalıştıkları gözlenmektedir. Hâlen birçok şirkette hatalı aydınlatma metinleri ve kavram karmaşası yaşandığı görülüyor. Bu nedenle yazımızda veri sorumlusu ve veri işleyen kavramlarını açıklamaya çalıştık.
Veri sorumlusu 6698 sayılı Kanunda “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” şeklinde tanımlanmıştır. Ancak aydınlatma metinlerinde kimi zaman tüzel kişi olan şirketin müdürünün, imza yetkilisinin, ortaklarının veri sorumlusu olarak yazıldığını görüyoruz. Daha rahat anlaşılabilmesi için konunun ticaret hukukunun (özellikle şirketler hukuku) temel ilkeleri ile ele alınması gerekir. Bilindiği gibi ticaret şirketleri, tüzel kişi tacirdir ve şirket, tüzel kişilikle temsil edildiğinden veri sorumlusunun tüzel kişi olarak belirtilmesi gerekmektedir. Kişisel Verilerin Korunması Kanunundaki nitelendirmenin ticaret hukuku ile bütünlük sağladığı, ticaret şirketlerinin tüzel kişilikle temsil edilmesi, üçüncü kişilere karşı sorumlulukta muhatabın ortakların şahsı değil değil tüzel kişilik olduğu göz önüne alındığında konu daha kolay anlaşılabilmektedir. Bu anlamda şirket, çalışan personeli bakımından 4857 sayılı İş Kanunu dayanağı ile tutmak zorunda olduğu kayıtlar nedeniyle veri sorumlusudur. Yine iş ortaklığı yaptığı diğer şirketlerle ilgili tutmuş olduğu ticari kayıtlarda yer alan kişisel veriler nedeniyle veri sorumlusudur. Hizmet verdiği gerçek kişilerin verilerini işlemesi bakımından yine veri sorumlusudur.
Veri işleyen kavramı ise, “hangi verilerin işleneceği konusunda karar verme” noktasında veri sorumlusu kavramından ayrılmaktadır. Veri sorumlusu, hangi verilerin nasıl işleneceğine karar verendir. Ancak burada dikkat edilmesi gereken konu, veri işleyenle veri sorumlusu arasında bir astlık üstlük ilişkisinin (işçi-işveren) bulunmadığı diğer bir ifade ile veri işleyenin, veri sorumlusunun çalışanı olmadığıdır. Veri işleyen, birden çok veri sorumlusuna ait verileri teknik olarak işleyendir. Bu verileri kendi menfaati için kullanmamaktadır. Örneğin veri depolama, veri yedekleme hizmeti veren şirketler, bulut hizmeti veren şirketler. Veri sorumlusu ile veri işleyen arasında astlık üstlük ilişkisi bulunmadığı için aralarında hizmet alımına ilişkin ticari sözleşme, veri sorumlusu-veri işleyen protokolü bunun yanında Kişisel Verilerin Korunması adına gizlilik sözleşmeleri ve sair sözleşmeler yapılır. (Bu konuya daha sonraki yazılarımızda değineceğiz.)
Son olarak bir şirket, veri sorumlusu ve veri işleyen sıfatlarını aynı anda bulundurabilir. Ancak burada da temel ayrım, işlemlerin farklılığıdır. Diğer bir ifade ile her bir işlem ayrı ayrı değerlendirilmelidir. Şöyle ki, yukarıda bahsettiğimiz konularda teknik hizmet veren bir şirket kendi personeli ile ilgili tuttuğu veriler bakımından veri sorumlusu, hizmet verdiği şirketler bakımından ise veri işleyendir. Yine buradaki temel kriter, hangi veriyi nasıl işleyebileceği konusunda karar verme kriteridir. Kendi personeli ile ilgili yasal dayanak uyarınca hangi verileri işleyeceğine veri sorumlusu olarak karar verirken, hizmet verdiği şirketlerin talimatıyla hareket ettiğinde veri işleyendir.