Veri işleyen Kimdir Sorumlulukları Nelerdir ?

veri-isleyen

Veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler olarak tanımlanmaktadır.

Tanım değerlendirildiğinde; Veri işleyenden bahsedebilmek için

  • Veri sorumlusu tarafından yetkilendirilmiş olması (Veri işleme sözleşmesi ile olabilir)
  • Verileri, Veri sorumlusu adına işlemesi
  • Veri sorumlusunun organizasyonunun dışında bulunması
  • Gerçek veya tüzel kişi olması

Gibi unsurların bir araya gelmesi gerekir.

Veri işleyen ile Veri Sorumlusu Arasındaki İlişki Nedir ?

Veri işleyenin pozisyonu çoğunlukla veri işleme faaliyetinin teknik kısımları ile ilgilidir. Veri sorumlusu; verilerin nasıl ve hangi amaçlar için işleneceğine dair verilecek kararları alır ve aldığı kararların sorumluluğunu üstlenir. Bu bakımdan Veri sorumlusu kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Veri işleyen ise veri sorumlusunun talimatları ile hareket etmektedir.

Ancak bununla birlikte, veri sorumlusu yapacağı kişisel veri işleme sözleşmesi ile, veri işleyenin uzmanlığı olan konularda karar verme yetkisini veri işleyene de bırakabilir:

  • Kişisel verilerin toplanması için hangi teknolojik sistemlerin ve metotların kullanılacağının belirlenmesi,
  • Kişisel verilerin saklanacağı yöntemin tercihi,
  • Kişisel verilerin korunması için alınması gereken fiziki veya siber güvenlik önlemlerinin hangi tür ve derece olacağının tespiti,
  • Kişisel verilerin hangi yöntemle aktarılacağının tespiti,
  • Kişisel verilerin imhası veya anonim hale getirilmesi için kullanılacak yöntemlerin belirlenmesi gibi

Bu sebeple bu yetkilerin Veri işleyen bırakılmış olması ve bu kararların Veri işleyen tarafından alınmış olması, Veri işleyeni, veri sorumlusu haline getirmeyecektir.

Ancak bazı durumlarda bir kişi aynı anda hem veri sorumlusu hem de veri işleyen olabilir. Bir kişinin Veri Sorumlusu veya Veri işleyen olarak nitelendirilmesi için veri işleme faaliyetine de bakılması gerekir. Örneğin bir avukat, bağlı çalışanları sebebi ile veri sorumlusu müvekkilinin verilerini işlemesi sebebi ile veri işleyen olabilir. Burada nitelendirme için önemli olan veri işleme faaliyetinin kimin adına ve yararına yapıldığıdır.

Veri Sorumlusunun çalışanları ile veri sorumlusuna bağlı birimlerinin veri işleyen sıfatının olmadığı kabul edilmektedir. Çünkü Veri işleyenin hem veri sorumlusunun organizasyonunun dışında yer alması hem de gerçek veya tüzel kişi olması gerekir.

  • Kanunda Sayılan Veri İşlenmesine İlişkin Yükümlülüklerin Yerine Getirilmesi Bakımından Esas Sorumlu Kimdir?

Kişisel Verilerin Korunması Kanunun’da veri sorumlusuna yüklenen tüm yükümlülüklerin doğrudan muhatabı veri sorumlusudur. Yasanın 12. Maddesinin birinci fıkrasında Veri Sorumlusunun yükümlülükleri açıkça belirlenmiş ve veri işleyenden bahsedilmemiştir.

Bu sebeple Veri sorumlusunun bir veri işleyen ile sözleşme yapıp onu yetkilendirmiş olması, veri sorumlusunun yükümlülüklerini ortadan kaldırmayacaktır.

  • Veri işleyen Tarafından Meydana Gelen İhlallerde Sorumlu Kim Olacaktır ?

veri-isleyen-sorumlu

Bir veri ihlali olması halinde Kanun, sorumluluğu veri sorumlusuna yüklemiştir. Kanunu’nun 12/2. Maddesinde Veri sorumlusunun bir veri işleyeni yetkilendirmesi halinde yasada yazılı tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olduğu düzenlenmiştir.

Buna göre, veri işleme faaliyeti kapsamında bir ihlal olması halinde, bu ihlalin veri sorumlusu veya veri işleyen tarafından gerçekleştirilip gerçekleştirilmediğine bakılmaksızın, Kanun veri sorumlusuna da veri işleyen ile birlikte bir sorumluluk yüklemiştir.

Müşterek sorumluluk esası uyarınca Borçlar Kanunu’nun 61. Maddesi doğrultusunda Veri Sorumlusu ile Veri işleyenin ilgili kişiye karşı müteselsilen sorumlu olduğu değerlendirilebilir.

Ancak veri sorumlusunun, bu ihlalin veri işleyen tarafından gerçekleştirildiğini tespit etmesi durumunda, aralarındaki sözleşme gereği ihlalin veri işleyeni ilgilendiren kısmı ile ilgili olarak veri işleyene rücu edebilmesi mümkündür.

Örneğin veri sorumlusu bir şirketin muhasebe kayıtlarını herhangi bir muhasebe şirketi tutuyorsa, söz konusu kişisel verilerin işlenmesine ilişkin olarak Kanunda belirtilen tedbirlerin alınması hususunda veri sorumlusu şirket, muhasebe şirketiyle birlikte müştereken sorumlu olacaktır. Ancak veri sorumlusu şirketin çalışanlarına ait kayıtlarla ilgili olarak veri işleyen konumundaki muhasebe şirketi dâhilinde bir ihlal gerçekleşirse bu ihlal ile ilgili sorumluluk veri sorumlusu olan şirkete ait olmakla birlikte, veri sorumlusu şirket muhasebe şirketine rücu edebilecektir.

Yorum Bırak

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir