Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından, veri sorumlusu ile veri işleyen arasındaki farkı detaylandıran ve bu doğrultuda kimin aydınlatma yükümlülüğü altında olduğunu açıklayan 30/01/2020 tarihli 2020/71 sayılı bir karar özeti yayımlandı. Kurum, bahsedilen kararda önce veri sorumlusu ve veri işleyeninin tespitinde göz önünde bulundurulması gereken hususlara yer vermiş, sonrasında ise yaptığı tanım ve açıklamalardan yola çıkarak aydınlatma yükümlülüğünün kim tarafından yerine getirilmesi gerektiğini izah etmiştir.
- Veri Sorumlusu Kimdir?
Kurum, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 3/1-(ı) maddesinde yer alan veri sorumlusu tanımından yola çıkarak, kişisel veri işleme faaliyetinin amacı, bu faaliyetin ne zaman başlayacağı, kimler tarafından gerçekleştirileceği ve sair hususlara dair kararları alma yetkisinin veri sorumlusuna ait olduğunu dile getirmiştir. Veri sorumlusu, veri işleme faaliyetinin temel araç ve amaçlarını, yani “neden” ve “nasıl” gerçekleştirileceğini belirlemektedir. Bunun yanı sıra, veri sorumlusu, kişisel veri işleme faaliyetinin mevzuata uyumlu olmasından, gerekli denetimlerin sağlanmasından ve ilgili kişilerin haklarını gözetmekten sorumludur. Veri sorumlusu bağımsız, emir ve talimat verme yetkisine sahip; teknik ve organizasyona ait araçların belirlenmesi, veriye kimin erişeceği, hangi verilerin işleneceği ve saklama süresi gibi veri işlemenin temel unsurlarını belirleyen gerçek veya tüzel kişidir.
29. Madde Çalışma Grubu’nun 1/2010 sayılı tavsiye kararı ve Avrupa Veri Koruma Denetmeni’nin 2018/1725 Numaralı Tüzük Kapsamında Veri sorumlusu, Veri İşleyen ve Müşterek Veri Sorumlusu Kılavuzu ile veri sorumlusunun belirlenmesinde çeşitli kıstaslar getirilmiştir. İlgili tavsiye kararı ve kılavuza göre, kişisel verilerin toplanma yöntemi, türleri, kimler tarafından toplanacağı, paylaşılması, işleme faaliyetinin temel unsurları ve ölçütlerine karar verme ile ilgili kişilerle doğrudan muhatap olma, özerk bir biçimde karar alabilme, veri işleyen atama ve işleme faaliyetinden menfaat sağlama kriterlerinin çoğunu gerçekleştirenler veri sorumlusu olarak değerlendirilmektedir.
- Veri İşleyen Kimdir?
Kurum, Kanun madde 3/1-(ğ) bendinde yer alan veri işleyen tanıma yer vererek, veri işleyenin faaliyetlerinin işin teknik kısmına ilişkin olduğunu belirtmiştir. Veri işleyen, veri sorumlusu tarafından alınan kararları, yine veri sorumlusunun verdiği yetkiye dayanarak uygulayan kişidir. Bu noktada Kurum, veri sorumlusu tarafından veri işleyene verilen yetkinin, veri işleme faaliyeti esnasında veri işleyeni bir ölçüde özerk kılabileceğini de vurgulamıştır. Ancak, bu özerklik, veri sorumlusunun yükümlülük ve sorumluluklarını ortadan kaldırmayacak; bu halde müştereken sorumluluk söz konusu olacaktır.
Veri sorumlusunun, veri işleyene kişisel veri işleme sözleşmesi ile karar verme yetkisini devredebileceği hususlar; kişisel verilerin toplanma, saklanma, imha edilme ve aktarılmasına ilişkin yöntemlerin belirlenmesi, alınacak güvenlik önlemlerinin detayları, kişisel verilerin saklanmasına ilişkin doğru sürelerin uygulanabilmesi için kullanılacak metotlar olarak belirtilmiştir.
- Aydınlatma Kimin Yükümlülüğündedir?
Kanun kapsamında veri sorumlusuna getirilen yükümlülüklerden biri, kişisel verisi işlenen gerçek kişilerin (“İlgili Kişi”), kişisel verilerinin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlendiği, verilerin toplanma yöntemi, kimlere hangi amaçlarla aktarıldığı ile hakları hususunda aydınlatılmasıdır. Kurum kararında da ifade edildiği gibi aydınlatma yükümlülüğünün Kanun madde 10 uyarınca, kişisel verilerin elde edilmesi esnasında veri sorumlusu tarafından bizzat veya yetkilendirdiği kişi aracılığıyla Kanun’da ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’de yer alan hükümlere uygun olarak yerine getirilmesi gerekmektedir.
Kanun, aydınlatma yükümlülüğünün yerine getirilmesinde veri sorumlusuna seçimlik hak tanımaktadır. Her ne kadar aydınlatma yükümlülüğü veri sorumlusuna ait olsa da veri sorumlusu, yetkilendirdiği kişi aracılığıyla da bu yükümlülüğünü yerine getirebilme imkanına sahiptir. Bu halde Kurum kararında da açıkça ifade edildiği gibi veri sorumlusunun yetkilendirdiği kişi, veri işleyen olabilecektir.
Kurum karar özetinin tam metnine “https://www.kvkk.gov.tr/Icerik/6874/2020-71” linki üzerinden ulaşabilirsiniz.