Makale Detay

 
Habip Bozkurt | Küresel Hukuk Bürosu

Kişisel Veri Hukukunda Veri Sorumlusu Kimdir



Kişisel verilerin dolaşım hızının artmasıyla birlikte verinin sorumluluğu önemli bir konu olmuştur. Tarihte ilk veri sorumlusu devletler olup, kamunun güvenliğini sağlamak ve hizmet sunmak için insan kaynağını bilmeye ihtiyaç du­yarlar. Devlet dışındaki özel sektör kuruluşlarının veri sorumlusu statüsüne sa­hip olmaları ise tüketim ekonomisiyle birlikte kişilerin belirli mal ve hizmetlerin müşterisine dönüşmesiyle mümkün olmuştur.

OECD Rehber İlkeleri’nde veri sorumlusu; “bizzat sorumlu veya yetkili kıl­dığı temsilcisi tarafından toplanmış, yayılmış, depolanmış veya işlenmiş olup olmadığına bakılmaksızın kişisel verilerin, ulusal hukukta kullanılması ve kulla­nım içeriğinin belirlenmesi konusunda karar vermeye yetkili kişi” olarak tanım­lanırken,58 108 Sayılı Sözleşmede “otomatik veri dosyasının amacının ne olacağı, hangi kişisel veri kategorilerinin kaydedilmesi gerektiği ve bunlara hangi işlem­lerin uygulanacağı hakkında karar verebilecek olan gerçek veya tüzel kişiler, kamu kurumu, birimi veya ulusal kanunlara göre yetkili olan diğer kuruluşlar” şeklinde tanımlanan “dosya yöneticisi” burada veri sorumlusuna karşılık gelmek­tedir. GVKT veri sorumlusunu, “kişisel verilerin işlenme amacını belirleyen ger­çek veya tüzel kişi” olarak tanımlarken, GVKT ile uyumlu KVKK’nın “Tanımlar” başlıklı 3’üncü maddesinin 1’inci fıkrasının (ı) bendinde ise veri sorumlusu; “ki­şisel verilerin işleme amaçlarını ve araçlarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak ifade edilmektedir.

Veri sorumlusu kavramının yanı sıra veri denetçisi (data controller) ve veri kütüğü sahibi terimlerinin de kullanıldığı belirtilirken, daha kapsamlı bir şekilde veri sorumlusu, “verilerin işlenmesindeki amaç ve araçlara karar veren kişi ya da örgüt” olarak tanımlanmaktadır.

Veri sorumlusu kavramıyla birlikte ele alınması gereken bir diğer kavram olan “ortak veri sorumlusu” (joint controllers) kavramının Direktif ve GVKT’de yer almaktaysa da, KVKK’da kendisine yer bulamadığı görülmekte­dir. Direktif’te veri sorumlusu; “veri işleme amaçlarını ve araçlarını tek başına veya müştereken (alone or jointly with others)” olarak tanımlanırken, GVKT’de ise ortak veri sorumlusu kavramına verilen önem artmış, ayrı bir madde altında (26’ıncı maddde) ve daha detaylı bir düzenleme söz konusu olmuştur. Buna göre; “iki veya daha fazla veri sorumlusu, veri işleme amaç ve araçlarını müştereken belirlerse, ortak veri sorumlusu olur” ibarelerine yer verilmektedir.

DÜLGER’e göre Direktif’te ilk olarak bahsedilen ve GVKT’de altı özen­le çizilen bu kavramın KVKK’ya aktarılmaması durumu, bilinçli bir tercihten mi yoksa özensiz bir çeviriden mi ibaret olduğu bilinmemekle birlikte, veri so­rumlusunu tanımlayan KVKK hükmünden (m. 3/1-ı) ortak veri sorumlusunun tamamen dışlandığı sonucu da çıkarılamayacaktır. Bunun nedeni, “tek başına” şeklinde bir ifadeye yani bir kısıtlamaya yer verilmemesidir. Ancak, hükümde veri sorumlusuna izafe edilen veri işleme amaç ve vasıtalarını belirleme işlevin­den hareketle, iki kişinin birlikte işleme yaptıklarında müştereken sorumlu olup olmayacakları yani “ortak veri sorumlusu” kabul edilip edilmeyecekleri hususu belirsizliğini korumaktadır.

Bununla birlikte, her ortak veri işleme faaliyeti doğrudan müşterek sorum­luluk doğurmamakta ya da verileri birbirine aktaranlar “ortak veri sorumlusu” olmamaktadır. Bu bağlamda, ortak veri sorumlusu olabilmenin şartı, veri işleme faaliyetimin amacını ve faaliyette kullanılacak araçları müştereken belirlemek, bu şekilde müşterek olarak belirlenmiş hedeflere ilerlemektir. Nitekim GVKT 26’ıncı maddede, ortak veri sorumlusu kavramı açıkça düzenlenerek, sorumlulu­ğu veri işleyen tarafların birbirine atacağı muğlak bir alan bırakmamak yönünde gidilmiştir.

Bu bağlamda, “Ortak Veri Sorumluluğu Sözleşmesi” merkezi bir öneme sahiptir. Bu sözleşme kapsamında ortak veri sorumlularının veri ilgililerini bil­gilendirme hakkı konusundaki yükümlülüğünün düzenlendiği görülmektedir. Sözleşme kapsamında, veri ilgilisi karşısında ortak veri sorumlularının rol ve ilişkileri net bir şekilde dağıtılmalı ve sözleşmenin özü veri ilgilileri ile paylaşıl­malıdır.

KVKK’ya göre tüzel kişiler, kişisel verileri işleme noktasında gerçekleştir­dikleri faaliyetler itibariyle bizatihi “veri sorumlusu” olurken, bunların eylemle­rinden doğacak hukuki sorumluluk tüzel kişiliğin şahsını bağlamaktadır. Bu bağ­lamda, şirketler bünyesinde yer alan birimler tüzel kişiliğe sahip olmadığından, veri sorumlusu olarak kabul edilememektedir. Ancak bir şirketler topluluğunda, her bir şirket tüzel kişiliğe sahip olduğundan, bu şirketlerin her birinin ayrı veri sorumlusu olması durumu söz konusudur.

KVKK’ya göre veri sorumlusu kişisel verilerin işlenme amacını ve yönte­mini belirlemektedir. Veri sorumlusunun tespiti için, kişisel verilerin toplanma­sı ve toplama yöntemi, toplanacak kişisel veri türleri, toplanan verilerin hangi amaçlarla kullanılacağı, hangi bireylerin kişisel verilerinin toplanacağı, toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı ve saklanma süresi konularında kimin karar verdiği önem arz etmektedir.

Diğer yandan, veri sorumlusundan KVKK’dan doğan bütün yükümlülükle­ri64 yerine getirmesi beklenmemektedir. Bu yükümlülüklerin yerine getirilmesin­den sorumlu tutulacak olanlar; yetkili organlar ve tüzel kişilik çevresinde bulunan gerçek kişilerdir. Bu bağlamda, yükümlülüklerin gerektiği gibi yerine getirilme­mesinden doğacak hukuki sorumluluk tüzel kişiliğin kendisine yani veri sorum­lusuna ait olacaktır.


Bu site, site deneyimlerinizi analiz etmek, içerikleri kişiselleştirmek, ziyaret tercihlerinizi hatırlamak, site kullanım istatistiklerini raporlamak için çerezler kullanılmaktadır. Bu konu hakkında detaylı bilgi almak için Çerez(Cookie) Politikası ve KVVK aydınlatma metni sayfalarını incelemenizi rica ederiz.

Kabul Et