HukukKişisel Veriler Hukuku

Veri Sorumlusu ile Veri İşleyen Arasındaki Farklar

Kişisel verilerin korunmasına ilişkin mevzuatta karşımıza “veri sorumlusu” ve “veri işleyen” kavramları çıkmaktadır. Şirketinizin veya işletmenizin veri sorumlusu ve/veya veri işleyen olduğunun tespiti, Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) öngörülen yükümlülüklerin ve kuralların kim tarafından yerine getirileceği ve sorumluluğun kimin üzerinde doğacağı hususları bakımından oldukça önemlidir.

Öncelikle belirtmek gerekir ki, herhangi bir gerçek veya tüzel kişi aynı anda hem veri sorumlusu hem de veri işleyen olabilir. Örneğin bir pazarlama şirketi, kendi çalışanlarına ilişkin elinde bulundurduğu veriler bakımından veri sorumlusu iken, müşterilerine ilişkin elinde bulundurduğu veriler bakımından veri işleyendir.

Veri sorumlusu elde edilen kişisel verilerin “hangi amaçla” ve “ne şekilde” işleneceğine karar verir. Veri işleyen, kişisel verileri kaydeden, saklayan, sıralayan, birleştiren ve bunun gibi işleme faaliyetinin daha teknik yönlerini yürütmek üzere veri sorumlusu tarafından görevlendirilen kişi ya da kurum olarak tanımlanabilir. Veri işleyen, mutlaka veri sorumlusu tarafından görevlendirilen “ayrı bir tüzel/gerçek kişi” olmalı ve kişisel veriyi “veri sorumlusu adına” işlemelidir.

Veri sorumlusunun veri işleyen kullanarak verileri işlemesi, özellikle şirketlerin yan operasyonlarını yürütmek için dışarıdan hizmet alması ve dış kaynak kullanımını tercih etmeye başlaması ile daha sık görülmeye başlamıştır. Bu halde, hemen hemen her şirket ve işletmenin, dernek veya vakıfın bir kısım veriler bakımından veri işleyen ve başka bazı veriler bakımından veri işleyen olduğu söylenebilecektir.

isometric illustration modern technologies security data protection payment security 126283 766 300x225 - Veri Sorumlusu ile Veri İşleyen Arasındaki Farklar

Örnekler

Hem gerçek hem de tüzel kişiler, veri sorumlusu ve veri işleyen olabilirler. Örneğin, serbest çalışan bir mali müşavir de mali müşavirlik firması da, hem veri sorumlusu hem de veri işleyen olabilir.

Birden fazla kişi ya da şirketin birlikte veri sorumlusu olabileceğini de belirtmek gerekir. Örneğin bir hava yolu şirketinin daha fazla kullanıcıya ulaşmak amacıyla bir otel rezervasyon internet sitesi ile iş birliği yaptığında, iki şirket kullanıcılardan hangi verilerin toplanacağına, hangi amaçla ve ne şekilde işleneceğine birlikte karar veriyorlarsa bu halde bu iki şirket birlikte veri sorumlusu statüsünde olacaktır.

Bir kuruluşun topladığı kişisel verilerin saklanması amacıyla bulut hizmet sağlayıcısı bir şirket ile anlaşması durumunda, kuruluş veri sorumlusu iken, verilerin yalnızca saklanması işini üstlenen bulut hizmet sağlayıcısı şirket veri işleyen olacaktır. Veri işleyenin depolamak için elinde bulunan verileri kendi amaçları doğrultusunda kullanması veya üçüncü kişilere aktarması mümkün olmayacaktır.

Personal Data Protection Compliance 2 300x225 - Veri Sorumlusu ile Veri İşleyen Arasındaki Farklar

Sorumluluk

Her ne kadar Kanun’da öngörülen yükümlülüklerin asli muhatabı veri sorumlusuysa da, veri işleyenlerin sorumluluğunu göz ardı etmemek gerekir.

İlgili kişi, kişisel verilerine ilişkin haklarının ihlal edildiğini düşünüyorsa veri sorumlusuna başvurabilir. Kişisel Verileri Koruma Kurumu tarafından yöneltilebilecek talep ve uygulanabilecek yaptırımların muhatabı da yine veri sorumlusudur.

Ancak, Kanun’a göre kişisel verilerin hukuka aykırı olarak işlenmesi ve yetkisiz kişilerce erişilmesi halinde veri işleyen, veri sorumlusu ile birlikte sorumlu olur. Veri işleyen de, veri güvenliğinin sağlanmasına yönelik olarak gerekli her türlü teknik ve idari tedbiri almakla yükümlüdür. Ayrıca veri işleyen, aynı veri sorumlusu gibi kişisel verileri Kanun’a aykırı olarak başkalarına açıklayamaz ve işleme amacı dışında kullanamaz.

Kişisel verilerin korunması alanında karşımıza çıkan bu iki aktörün de Kanun kapsamında son derece önemli yükümlülükleri bulunduğu unutulmamalıdır. Şirketinizin veya işletmenizin elinde bulundurduğu hangi veriler bakımından veri sorumlusu, hangileri bakımından veri işleyen olduğunun tayin edilerek, buna uygun şekilde bir uyum süreci sağlanması oldukça önemlidir.

Bu konuyla ilgili daha fazla bilgi ve danışmanlık hizmeti almak için tarafımızla sitemizdeki iletişim sayfasından ve info@startupnedir.com adresinden iletişime geçebilirsiniz.

Etiketler

Benzer Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Ayrıca Kontrol Edin
Kapalı
Başa dön tuşu
Kapalı
Kapalı