Avrupa Veri Koruma Otoritesi, Genel Veri Koruma Tüzüğünü ("GDPR") esas alarak 06.11.2019 tarihinde veri sorumlusu, veri işleyen ve ortak veri sorumlusu kavramlarına ve bunların sorumluluklarına ilişkin rehberin son halini yayımladı. Buna göre Otorite aşağıdaki saptamalarda bulundu;
1. Veri Sorumlusu
GDPR madde 4/7'ye göre; veri sorumlusu yalnız başına veya başkalarıyla birlikte kişisel verilerin işlenmesine ilişkin amaçlar ve yöntemleri belirleyen gerçek veya tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organdır.
Tanıma göre, kişisel verilerin işlenme amaç ve yöntemlerini belirlemeye yetkili tek kişi veri sorumlusudur. Bir başka deyişle veri sorumlusu kişisel verilerin hangi hukuki sebebe dayanarak işleneceğini ve işbu veri işleme faaliyetinin hangi yollarla gerçekleştirileceğine karar veren kişidir.
Yayınlanan rehberde veri sorumlusuna ilişkin bir diğer önemli husus ise; veri sorumlusu kişisel veri işleme amaç ve yöntemlerini belirlediği sürece işbu verilere erişim yetkisi olmasa dahi veri sorumlusu olarak nitelendirilecektir. Kişisel verileri işleme faaliyetinin başlamasına ve durmasına karar verme yetkisine sahip olacaktır ve başka işletmelerce toplanan kişisel verilere dayanarak istatistikler hazırlayabilecektir. Rehberle birlikte yeniden düzenlenen söz konusu yaklaşım, zaten Avrupa Veri Koruma Otoritelerinin ortak uygulaması ve Avrupa Birliği Adalet Divanı'nın da onayladığı bir durumdur.
Burada önemle belirtmek gerekir ki GDPR ve Kişisel Verilerin Korunması Kanunu ("KVKK") arasında Veri Sorumlusu tanımında ciddi bir fark bulunmaktadır. Bu fark uygulamada farklı yorumlara yol açmaktadır. KVKK'da veri sorumlusunun gerçek veya tüzel kişiliğe sahip taraflar olabileceği belirtilmişken, GDPR'da bu tanım "veya diğer bir organ" ifadesiyle haklı olarak genişletilmiştir. KVKK'da yer alan tanım irtibat bürolarının, yabancı şirketlerin şubelerinin, adi ortaklıkların, apartman yöneticiliklerinin hukuki durumunda soru işaretleri yaratmaktadır. Salt lafza göre yorum yapıldığında esasen tüzel kişiliği bulunmayan yapıların (örn. yabancı şirketlerin şubelerinin) veri sorumlusu sayılmaması gerekmektedir. Öte yandan Kişisel Verileri Koruma Kurumu tarafından verilen 2019/225 sayılı kararda yabancı şirketlerin şubelerinin, her ne kadar tüzel kişilikleri bulunmasa da, veri sorumlusu olduğu belirtilmiştir. Bu yorumun hukuki temel kazanması açısından KVKK'da değişiklik yapılarak veri sorumlusu tanımının GDPR'dakine benzer bir şekilde düzenlenmesi gerektiği kanaatindeyiz.
2. Veri İşleyen
GDPR madde 4/8'e göre; veri işleyen, veri sorumlusu adına kişisel verileri işleyen bir gerçek ya da tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organdır.
Bu bağlamda veri işleyen, veri sorumlusu tarafından belirlenen veri işleme amaç ve yöntemlerine uygun olarak hareket eder. Veri işleme faaliyetini de bu talimatlar kapsamında gerçekleştirir. Yani mevzuata uyum konusunda başlıca yükümlü veri sorumlusudur. Ancak bu demek değildir ki her durumda veri işleyen veri sorumlusunun bir alt organıdır. Veri işleyen kendisine verilen özel görevleri yerine getirirken önemli derecede özerkliğe sahip olabilir ve veri işleme faaliyetinin temel olmayan ögelerini belirleyebilir. Ancak son noktada yine veri sorumlusu nihai kararı vermelidir.
3. Ortak Veri Sorumlusu
GDPR madde 26/1'e göre; iki ya da daha fazla sayıda veri sorumlusunun işleme amaçları ve yöntemlerini ortak bir şekilde belirlediği hallerde, bu kişilere ortak veri sorumluları denir.
Buradaki önemli husus ise, iki ya da daha fazla veri sorumlusundan yalnız birinin kişisel verilere erişiminin olmasının yeterli olacağıdır. Tüm veri sorumlularının işbu sıfata haiz olabilmek için kişisel verilere erişim yetkisine sahip olmasına gerek yoktur.
Türkiye'deki mevzuata baktığımız zaman ise, ortak veri sorumlusu kavramının düzenlenmediğini görüyoruz. Bu noktada kanunda bir boşluk mevcuttur ve bir an önce ortadan kaldırılması gereken bir belirsizlik mevcuttur.
Yayınlanan rehbere göre; kişisel verilerin işlenme sürecinde dikkate alınması gereken üç husus vardır;
1. Kişisel verilere erişim yetkisi olmasa dahi verilerin işlenme amaç ve yöntemini belirleyen kişiler veri sorumlularıdır.
2. Veri işleyen her ne kadar veri sorumlusunun talimatlarına uygun olarak işleme faaliyetini yerine getirecek olsa da belirli bir özerkliğe de sahiptir.
3. Ortak veri sorumlularından yalnız birinin kişisel verilere erişim yetkisinin olması tamamının veri sorumlusu olarak nitelendirilmesi için yeterlidir.
Kavramların içeriğini tablo haline getirecek olursak;
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
