Veri sorumlusu Veri İşleyenin Tespitindeki Hususlar
Kişisel Verileri Koruma Kurulu aynı gün içerisinde 12 adet karar özeti yayımladı.
Söz konusu kararlar içerisinde 30/01/2020 tarihli ve 2020/71 sayılı
“Veri sorumlusu ve veri işleyenin tespitinde göz önünde bulundurulması gereken hususlar ile aydınlatma yükümlülüğünün kim tarafından yerine getirileceği”ne ilişkin karar kapsamı gereği özel bir önem taşıyor.
Nitekim kararda, bir kişisel veri işleme faaliyeti sırasında veri sorumlusu ile veri işleyeni ayrıştırmanın yöntemleri örnek olarak sıralanmış.
Bu hususta 29’uncu Madde Çalışma Grubu’nun veri sorumlusu ve veri işleyene yönelik yayınlamış olduğu 1/2010 sayılı tavsiye kararı uyarınca belirlenen kriterler ile
Avrupa Veri Koruma Denetmeni tarafından yayımlanan “2018/1725 Numaralı Tüzük Kapsamında Veri Sorumlusu, Veri İşleyen ve Müşterek Veri Sorumlusu Kılavuzu”ndan da faydalanılmış.
Kararın bir diğer özelliği de aydınlatma yükümlülüğünün bizzat veri sorumlusu tarafından mı yoksa yetkilendireceği kişi tarafından mı yerine getirileceği konusunda veri sorumlusuna seçim hakkı tanındığını açıkça belirtmiş olması.
Üstelik bu yükümlülüğün yerine getirilmesi bakımından veri sorumlusu tarafından yetkilendirilen kişinin veri işleyen de olabileceği ilk kez bu kadar açık biçimde ifade edilmiş.
“Veri sorumlusu ve veri işleyenin tespitinde göz önünde bulundurulması gereken hususlar ile aydınlatma yükümlülüğünün kim tarafından yerine getirileceği”ne ilişkin Kişisel Verileri
Koruma Kurulunun 30/01/2020 tarihli ve 2020/71 sayılı Karar Özeti
Karar Tarihi : 30/01/2020
Karar No : 2020/71
Konu Özeti : Veri sorumlusu ve veri işleyenin tespitinde göz önünde bulundurulması gereken hususlar ile aydınlatma yükümlülüğünün kim tarafından yerine getirileceği
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 3 üncü maddesinin birinci fıkrasının (ı) bendi uyarınca veri sorumlusu;
“kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi”yi ifade etmektedir.
Bu çerçevede, kişisel verilerin işlenmesine ilişkin kararları alma, işleme faaliyetinin amacı, bu faaliyetin ne zaman başlayacağı kimler tarafından gerçekleştirileceği ve benzeri hususlarda karar verme yetkisi veri sorumlusuna aittir.
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen veri sorumlusu, veri işleme faaliyetinin temel araçlarını ve amaçlarını;
veri işlemenin “neden” ve “nasıl” olacağını belirlemektedir.
Diğer bir deyişle, teknik ve organizasyona ait araçların belirlenmesi, veriye kimin erişeceği, hangi verilerin işleneceği, bu verilerin ne kadar süre tutulacağı,
ne şekilde saklanacağı gibi veri işlemeye ilişkin temel unsurlar veri sorumlusu tarafından belirlenmektedir.
Bununla birlikte veri sorumlusu, kişisel verilerin korunmasına yönelik mevzuata uyumla ilgili tedbirlerin alınmasından, veri işleyeni denetimden ve ilgili kişilerin haklarını kullanabilmesini sağlamaktan sorumludur.
Veri sorumlusunun özerk ve bağımsız olması da önem arz etmektedir.
Veri sorumlusu kimseden emir ve talimat almayan, bilakis bir başka kişiye veri işletmesi halinde bu hususta emir ve talimat veren,
veri işleme süreçlerinin her anında serbestçe karar verme yetkisine sahip olan gerçek veya tüzel kişilerdir.
29’uncu Madde Çalışma Grubu’nun veri sorumlusu ve veri işleyene yönelik yayınlamış olduğu 1/2010 sayılı tavsiye kararı uyarınca da veri sorumlusunun belirlenmesine yönelik çeşitli kriterler getirilmiştir.
Benzer şekilde, Avrupa Veri Koruma Denetmeni tarafından 7 Kasım 2019 tarihli
“2018/1725 Numaralı Tüzük Kapsamında Veri Sorumlusu, Veri İşleyen ve Müşterek Veri Sorumlusu Kılavuzu” yayımlanmıştır.
Bu kılavuz, 29’uncu Madde Çalışma Grubu tavsiye kararı ile de örtüşmektedir.
İlgili düzenlemelerde de Kanunla benzer veri sorumlusu tanımı yapılarak veri sorumlusu kavramı irdelenmiştir.
Sayılan ulusal ve Avrupa Birliğinde mevcut tüm düzenlemelerin değerlendirilmesi ışığında, veri sorumlusunun tespiti için aşağıdaki hususlara kimin karar verdiği belirleyici olmakta,
bu kapsamda söz konusu kriterlerin çoğunu gerçekleştirenler, veri sorumlusu olarak değerlendirilmektedir.
- Kişisel verilerin toplanması ve toplama yöntemi,
- Toplanacak kişisel veri türleri,
- Hangi bireylerin kişisel verilerinin toplanacağı,
- Kişisel verinin işlenmesine ve kimin işleyeceğine karar verme,
- İşleme faaliyetinin temel unsurlarına karar verme (hangi kişisel verilerin toplanacağı, toplanan verilerin hangi amaçlarla kullanılacağı ve ne şekilde işleneceği,
verilerin ne kadar süreyle saklanacağı, veri saklama politikasının ne şekilde olacağı,
verilere kimlerin erişme yetkisi olacağı, alıcıların kim olacağı gibi hususlar işlemenin temel unsurlarına örnek olarak gösterilebilir)
- Toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı,
Kişisel verilerin işlenmesinde üst düzeyde, herhangi bir emir ve talimat almadan karar verebilme,
- İlgili kişilerle doğrudan muhatap olma,
- Kendi adına veri işleme faaliyetini yürütecek bir veri işleyen atama,
- İşleme faaliyetinden menfaat sağlama.
