Arama yapmak için lütfen yukarıdaki kutulardan birine aramak istediğiniz terimi girin.

Veri Sorumlusu ve Veri İşleyen Arasındaki İlişkiler ve Sorumluluk Düzeni

The Relationships Between Data Controller and Data Processor and Dispositions of Liabilities

Tekin MEMİŞ

6698 sayılı Kişisel Verilerin Korunması Kanunu, veri sorumlusu ile veri işleyen kavramlarına yer vermiştir. Aynı zamanda veri sorumlusu ile veri işleyene yükümlülük ve sorumluluklar da getirmiştir. Makalede bu iki yeni sorumluluk aktörünün sorumluluklarına değinilmiştir. Ayrıca veri sorumlusu ile veri işleyen arasındaki hukuki ilişler ve sorumlulukları da izah edilmiştir. Kanunda yer alan bazı düzenlemeler ise tartışmaya açılmıştır.

Kişisel Verilerin Korunması Kanunu, Veri Sorumlusu, Veri işleyen, Sorumluluk, Adam Çalıştıran, İfa Yardımcısı, İç Yönerge.

Turkish Personal Data Protection Law no. 6698 includes notions such as data controller and data processor. In addition, the law impose liabilities and responsibilities on data controllers and data processors. This article touch upon the responsibilities of these two new actors of responsibility. Furthermore, the article also mention the legal relationship between data controller and data processor and their liabilities. Article also bring some provisions up for discussion.

Personal Data Protection Law, Data Controller, Data Processor, Liability, Employer, Internal Directive.

GİRİŞ

Kişisel Verilerin Korunması Kanunu (6698 sayılı Kanun), sorumluluk hukukunda iki yeni aktörün sorumluluğunu özelleştirmiş ve bu kimselere yeni yükümlülükler getirmiştir. Kanunun verilerin işlenmesinde muhatap olarak aldığı ve kabul ettiği bu kişiler, veri sorumlusu ve veri işleyendir. Kanun, Avrupa Birliği hukukuna uygun olarak iki kavramı da tanımlamıştır. Veri sorumlusu ve veri işleyenin tanımı, bu yönüyle Avrupa Birliği Tüzüğünden bazı farklılıklarla alınmıştır1 . Veri sorumlusu, ayrıca diğer uluslararası belgelerde de yer alan bir kavramdır2 . Tüzük, veri sorumlusu ile veri işleyeni ise neden tanımladığını dibacesinde belirtmiştir. Buna göre yeterli bir koruma seviyesinin sağlanabilmesi için muhatap belirlenmelidir3 . Yine AB Tüzüğü ve Yönergesi, kişisel verilerin korunması için üye ülkelerde asgari standartları tespit etmektedir.

I. VERİ SORUMLUSU VE VERİ İŞLEYEN TANIMI

Kanun, veri sorumlusunu, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlarken (m.3/ı); veri işleyeni, “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” (m.3/ğ) şeklinde ifade etmektedir. Veri sorumlusu ile veri işleyen kimse arasında bir altlık üstlük ilişkisi tesis edilmiş gibi görünmesine karşın bunun şart olmadığı, ikisinin aynı kişi olabileceği de anlaşılmaktadır. Herhangi bir gerçek veya tüzel kişi hem veri sorumlusu hem de veri işleyen kişi olabilir4 . Veri sorumlusu, gerçek kişi olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar da olabilir5 .

Veri sorumlusu tanımının son derece kapsayıcı olması önemlidir. Kamu kurumları da veri sorumlusu olabilir. Veri işleyen, veri sorumlusunun çalışanı olabileceği gibi dışarıdan hizmet alınan bir kimse de olabilir. Burada dikkat edilirse, düzenlemelerde asıl olan işleve odaklanılmış olmasıdır.

Veri sorumlusu organizasyonlar bakımından tek olacağı halde veri işleyen birden fazla şirketin veri işleyeni olabilir. Burada Kanun, tek bir şirket için tek bir sorumluyu belirlemiş ancak veri işleyen kimseleri ise dışarıdan belirlemeye imkân tanımıştır.

Veri sorumlusu, Kanuni düzenlemelerde yer alan kişisel verilerin işlenmesine ilişkin bütün ilkelerin uygulayıcısı, yükümlülüklerin muhatabı ve meydana gelen zararların sorumlusudur.

Veri sorumlusunu her zaman tespit kolay olmayabilir. Özellikle elektronik ortamda veri toplandığında bu zorluklar söz konusudur. Bir bankanın web sayfasında veri sorumlusunu tespit daha kolaydır. Burada veri sorumlusu, bankadır. Buna karşın web 2.0 olarak adlandırılan sosyal medyada durum karmaşık hale gelir. Ancak Twitter ve Facebook gibi sayfalarda platformun işleticisi veri sorumlusu kabul edilir6 . Ancak bu sonuca her zaman kolaylıkla ulaşılamaz7 . Gelişen teknoloji ile birlikte web sayfalarında artık veriyi üreten, verinin sahibi platform sahibinden ziyade kullanıcıdır. Kullanıcı, bu tür platformlarda sadece veri sağlayan değil aynı zamanda veri toplayan da olabilir. Bu halde veri sorumlusu kavramı değişmektedir. Bu hallerde veriyi toplamayan ve veriye hâkim olmayan web sayfası işleticisi de veri sorumlusu kabul edilemeyecektir8 . Web 2.0’da web işleticisi eğer verilere ulaşma imkanını elinde bulunduruyor ise bu halde veri sorumlusu kabul edilmelidir. Bir görüşe göre, hem sosyal medyanın kullanıcısı hem de sunucusu birlikte veri sorumlusudur. Zira burada kullanıcı ile işletici birlikte veriye sahip olmakta ve işlemektedir9 . Sosyal medyada veri sorumlusunun kim olduğuna karar vermek için en doğru yol, veriye kimin hâkim olduğu ve veriden kimin istifade ettiğidir10 . Türk hukuku anlamında bu türden sayfa sunucuları aracı hizmet sağlayıcıları olarak nitelendirilebilir.

Web 3.0 uygulamalarında ise işlerin daha karmaşık olduğu/olacağı rahatlıkla söylenebilir. Yapay zekaya dayanan bu uygulamada veri sorumlusunun kim olacağı üzerinde durulmalıdır. AB 24/10/1995 Kişisel Verilerin İşlenmesi ve Bu Tür Verilerin Serbest Dolaşımına Dair Bireylerin Korunması Hakkındaki Yönergesi’nin 15. maddesi de insani bir katkı olmaksızın otomatik surette kişisel veri işlenmesi sonucunda alınacak kararlar ve elde edilebilecek kişisel profillerin ancak ilgili kişinin rızaları ve belirli şartlar altında işlenebileceğini belirtmekte ancak veri sorumlusuna ilişkin bir tayinde bulunmamaktadır11 Web 3.0 programlarında yapay zeka tarafından veri toplama gerçekleştiği için veriden kimin istifade ettiği dikkate alınarak veri sorumlusu kavramına ulaşılmalıdır.

Tartışılması gereken diğer bir konu da uygulama sunucularının durumudur. Akıllı telefonların yaygınlaşması ve bu telefonlar için uygulamaların geliştirilmesi ile birlikte çok sayıda kişisel veri, bu türden uygulama geliştiricileri tarafından toplanabilmektedir. Yer, konum, kamera, resim vs. çok sayıda kişisel veriye erişim hakkı uygulama geliştiricileri tarafından toplanmaktadır. Bu halde bu uygulama sunucularının veri sorumlusu olduğundan şüphe edilmemelidir12 . Bulut sunucuları için geliştirilen uygulamalar için de aynı sonuca ulaşılmalıdır13 .

Bir işletmenin şubelerinin veri sorumlusu olması mümkün değildir. Zira şubelerin bağımsızlığı bulunmamaktadır14 . Buna karşın bir holding yapılanması içinde yavru şirketlerin bağımsızlığından bahsedilir ve konzern yapısı için bir ayrıcalık da tanınmamıştır. Hatta bir şirketin bütün hisseleri hâkim şirkete de ait olsa bu durum değişmez15 . Bu nedenle bir verinin kişinin rızası olmaksızın bütün şirketlerde kullanılması mümkün değildir16 . Holding yapısında yavru şirketler tarafından toplanan verinin kullanımının Kanunun 5. maddesinde bulunan, iş ve sözleşmeler için gerekli olması, hukuki sorumluluğun yerine getirilebilmesi için zorunlu olması ya da bir hakkın tesisi, kullanılması ve korunması için zaruri olmasından da bahsedilemez17 . Bir holding yapılanması içinde elde edilen veriler bakımından diğer bağlı-yavru şirketler üçüncü kişi olarak kabul edilir.

Burada Avrupa Birliği Tüzüğü ve Direktifi ile Kanun arasındaki bir farka da işaret etmek gerekir. Kanun’da veri sorumlusu, bir kişi olarak tanımlanmış iken Tüzük ve Yönerge’de ise birlikte veri sorumlusuna dikkat çekilmiştir. Bu durum, şirketler topluluğunda veri paylaşımı ve tek veri sorumlusu kavramına ulaşmak için elverişli bir yorum kaynağıdır18 .

II. VERİ SORUMLUSUNUN OLUMLU VE OLUMSUZ YÜKÜMLÜLÜKLERİ

Kanun’da veri sorumlusu (ve çoğunlukla veri işleyen için de) geçerli olan yükümlülükler şunlardır: