Kişisel Verilerin Korunması Kanunu‘nun 12’inci maddesinin 2’nci fıkrasında kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi, yani kişisel verilerin veri işleyen tarafından işlenmesi durumunda, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınması konusunda veri sorumluları ve veri işleyenlerin müştereken sorumlu olduğu ifade edilmiştir. Bu durum, kişisel verilerin korunması amacıyla veri işleyen tarafından alınan teknik ve idari tedbirlerin veri sorumlusu tarafından denetlenmesini ve veri işleyen ile veri sorumlusu arasındaki ilişkinin özel olarak düzenlenmesini gerektirmektedir. Bu yazımızda, öncelikle veri sorumlusu ve veri işleyen kavramlarını açıklayacak ve daha sonrasında veri sorumlusu ile veri işleyen arasındaki ilişkinin nasıl yönetilmesini gerektiğine değineceğiz.
Veri Sorumlusu ve Veri İşleyen
Kişisel Verilerin Korunması Kanunu kapsamında, veri sorumlusu, “Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmıştır. Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında ise, veri sorumlusu, “Yalnız başına veya başkalarıyla birlikte, kişisel verilerin işlenmesine ilişkin amaçlar ve yöntemleri belirleyen gerçek veya tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organ.” olarak ifade edilmiştir. Örneğin, bankacılık hizmetlerinin sağlanması amacıyla bir elektronik altyapı sistemi kuran ve bu sistem aracılığıyla müşterilerinin kişisel verilerini işleyen bir banka, veri sorumlusu olarak nitelendirilecektir.
Veri işleyen, Kişisel Verilerin Korunması Kanunu kapsamında “Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak ifade edilmiştir. Bir başka ifadeyle, veri işleyen, veri sorumlusu tarafından kişisel veri işleme sözleşmesi aracılığıyla yetkilendirilen ve veri sorumlusunun talimatları doğrultusunda, veri sorumlusunun adına ilgili kişilerin verilerini işleyen gerçek veya tüzel kişilerdir. Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında ise, veri işleyen, “Veri sorumlusu adına kişisel verileri işleyen bir gerçek ya da tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organ” olarak tanımlanmıştır. Örneğin, veri sorumlusu sıfatıyla hareket eden bir bankaya, muhasebe hizmeti sağlayan bir muhasebeci, veri depolama hizmeti sunan bilişim şirketi ya da denetim hizmeti sunan bir denetim firması veri işleyen olarak nitelendirilecektir.
Veri sorumlusu ya da veri işleyen olabilmek için öncelikle gerçek veya tüzel kişi olunması gerekmektedir. Buna göre; tüzel kişiliğe sahip şirketler, vakıflar, kamu kurum ve kuruluşları veri sorumlusu veya veri işleyen olarak nitelendirilebilecekken, bir şirketin insan kaynakları birimi ya da bir kamu kuruluşunun taşra teşkilatı ayrı bir tüzel kişiliğe sahip olmadığı için veri sorumlusu ya da veri işleyen olamayacaktır. Dolayısıyla, tüzel kişiliğe sahip bir şirket ile o şirketin insan kaynakları departmanı arasında kurulan ilişki, veri sorumlusu ile veri işleyen arasındaki ilişki olmayacaktır. İnsan kaynakları tarafından kişisel verilerin işlenmesi durumunda, bağlı bulunduğu şirket veri sorumlusu olarak nitelendirilecektir.
Herhangi bir gerçek veya tüzel kişinin aynı anda hem veri sorumlusu hem de veri işleyen olabilmesi mümkündür. Örneğin, bir muhasebe şirketi kendi çalışanları ile ilgili olarak işledikleri kişisel veriler için veri sorumlusu olarak değerlendirilecekken, mükellefleri için tuttuğu ve işlediği kişisel veriler için veri işleyen olarak kabul edilecektir.
Veri Sorumlusu ile Veri İşleyen Arasındaki İlişki ve Kişisel Veri İşleme Sözleşmesi
Veri sorumluları, bilgi teknolojisi ile ilgili ihtiyaçlarını karşılamak üzere, bilgi teknolojileri alanında hizmet veren şirketlerden, dolayısıyla veri işleyenlerden hizmet satın almaktadır. Böyle bir durumda, Kişisel Verilerin Korunması Kanunu uyarınca, kişisel verilerin korunması ile ilgili tedbirlerin alınması konusunda veri sorumlusu ile veri işleyen müştereken sorumlu olmaktadır. Dolayısıyla, veri sorumluları, hizmet alırken kişisel verilerin korunması konusunda veri işleyenlerin en az kendileri tarafından sağlanan güvenlik seviyesinin sağlandığından emin olmalıdır.
Veri sorumlusu ile veri işleyen arasındaki ilişkinin kişisel veri işleme sözleşmesi ile düzenlenmesi gerekmektedir. Kişisel veri işleme sözleşmesinin yazılı ve veri sorumlusunun Kişisel Veri Saklama ve İmha Politikasına uygun olması önerilmektedir. Bu sözleşme kapsamında veri sorumlusu, kişisel verilerin işlenme amacını ve yöntemini belirleyen ve kişisel verilerin işlenmesi ile ilgili kararları alan kişidir. Veri işleyen ise, veri sorumlusu adına kişisel verileri işleyen kişi olarak daha çok kişisel veri işleme faaliyetinin teknik kısımları ile ilgilidir.
Kişisel verilerin işlenmesi kapsamında, kişisel verilerin toplanması ve toplama yöntemi, toplanacak kişisel veri türleri, toplanan verilerin hangi amaçlarla kullanılacağı, hangi bireylerin kişisel verilerinin toplanacağı, toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı, verilerin ne kadar süreyle saklanacağı hususları veri sorumlusu tarafından belirlenecektir. Bununla birlikte, kişisel verilerin toplanması için hangi bilgi teknolojileri sistemlerinin veya diğer metotların kullanılacağı, kişisel verilerin hangi yöntemle saklanacağı, kişisel verilerin korunması için alınacak güvenlik önlemlerinin detayları, kişisel verilerin aktarımının hangi yöntemle yapılacağı, kişisel verilerin saklanmasına ilişkin sürelerin doğru uygulanabilmesi için kullanılacak metot, kişisel verilerin silinmesi, yok edilmesi ve anonim hâle getirilmesi yöntemleri gibi hususlarda karar verme yetkisi veri işleyene bırakılabilecektir.
Örnek vermek gerekirse; bir şirketin, çalışanlarının kişisel verilerinin saklanması için bulut depolama hizmeti sunan bir başka şirket ile anlaşması durumunda, bulut depolama hizmetini sunan şirket; veri işleyen olarak, bulut depolama hizmetini alan şirket ise veri sorumlusu olarak nitelendirilecektir. Bu durumda, hangi çalışanların kişisel verilerinin toplanacağı, toplanan kişisel verilerin hangi amaçlarla ve ne kadar süreyle saklanacağına bulut depolama hizmeti alan şirket, veri sorumlusu olarak karar verecektir. Bununla birlikte, çalışanların kişisel verilerinin korunması için alınacak teknik tedbirler ile çalışanların kişisel verilerinin silinmesi, yok edilmesi veya anonim hâle getirilmesi için kullanılan yöntemlerin belirlenmesi, bulut depolama hizmetini sunan şirketin takdirine, kişisel verileri işleme sözleşmesi ile bırakılabilecektir.
Kişisel veri işleme sözleşmesi kapsamında, veri işleyenin başta Kişisel Verilerin Korunması Kanunu olmak üzere, kişisel verilerin korunması mevzuatına, veri sorumlusunun kişisel verilerin korunması ile ilgili hazırladığı Kişisel Veri Saklama ve İmha Politikası, Kişisel Veri İşleme Envanteri gibi metinlere ve veri sorumlusunun talimatlarına uygun davranacağını taahhüt etmesi gerekmektedir. Ayrıca hem veri sorumluları hem de veri işleyenler, öğrendikleri kişisel verileri Kişisel Verilerin Korunması Kanunu hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük, görevden ayrılmalarından sonra da devam eder. Dolayısıyla, veri işleyenin işlediği kişisel verilere ilişkin olarak süresiz sır saklama yükümlülüğüne tabi olacağına dair hükmün, kişisel verileri işleme sözleşmesinde yer alması önem taşımaktadır.
Kişisel Verilerin Korunması Kanunu’nun 12’nci maddesinin 5’inci fıkrasında, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi, yani veri ihlali olması hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurumuna bildireceğine dair hüküm yer almaktadır. Veri sorumlusunun, veri ihlali durumunda bildirim yükümlülüğünü zamanında yerine getirebilmesi için, veri işleyen tarafından veri ihlallerinin veri sorumlusuna derhal bildirilmesi gerekecektir. Dolayısıyla, kişisel veri işleme sözleşmesinde herhangi bir veri ihlali olması durumunda, veri işleyenin bu durumu derhal veri sorumlusuna bildirmekle yükümlü olacağına dair hükmün eklenmesi, veri sorumlusunun ilgili ihlali derhâl Kişisel Verileri Koruma Kuruluna ve ilgili kişiye bildirme yükümlülüğünü yerine getirmesi açısından yerinde olacaktır.
Veri işleyenin veri sorumlusunun talimatları doğrultusunda işlenen kişisel verilerin güvenliğinin sağlanması için teknik ve idari tedbirler alması gerekmektedir. Gerekli tedbirlerin alınarak veri güvenliğinin gereken düzeyde sağlanabilmesi için, veri işleyen tarafından işlenen kişisel veri kategorilerinin ve türlerinin bilinmesi gerekecektir. Dolayısıyla, kişisel veri işleme sözleşmesi kapsamında ayrı bir maddede veri işleyene aktarılan kişisel veri kategori ve türlerinin belirtilmesi, veri işleyen tarafından kişisel verilerin korunması ile ilgili gerekli tedbirlerin alınması konusunda faydalı olacaktır.
Veri İşleyenin Veri Sorumlusu Tarafından Denetlenmesi
Veri sorumlusu, Kişisel Verilerin Korunması Kanunu uyarınca, kendi kurum ve kuruluşunda Kişisel Verilerin Korunması Kanunu’nun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Veri sorumlusunun kişisel verilerin işlenmesi için veri işleyenle anlaşması durumunda, Kişisel Verilerin Korunması Kanunu’nun hükümlerinin uygulanması ile ilgili olarak veri işleyeni denetlemesi veya denetletmesi gerekecektir.
Kişisel Verilerin Korunması Kanunu ya da başta Kişisel Verileri Koruma Kurumu olmak üzere Kişisel Verilerin Korunması Kanunu uyarınca çıkarılan ikincil mevzuatlarda, veri işleyenin veri sorumlusu tarafından denetlenmesine dair doğrudan hüküm bulunmamaktadır. Bununla birlikte, Avrupa Birliği Genel Veri Koruma Tüzüğü‘nün 28’inci maddesinde, veri işleyenin tarafından kişisel verilerin korunması ile ilgili yükümlülüklere uyulması için gereken tüm bilgilerin veri sorumlusuna sağlanması, incelemeler dâhil olmak üzere, veri sorumlusu tarafından ya da veri sorumlusu tarafından yetkilendirilen başka bir denetçi tarafından gerçekleştirilen denetimlere izin verilmesi ve katkıda bulunulması ve denetime izin verme ile katkıda bulunma yükümlülüğünün veri sorumlusu ve veri işleyen arasında yapılacak kişisel veri işleme sözleşmesinde yer verilmesi gerektiği belirtilmiştir.
Yapılacak denetim kapsamında, veri sorumlusu ya da veri sorumlusunun talimatı ile denetim faaliyeti yürüten üçüncü kişiler, veri işleyenin kişisel verileri işlediği sistemler üzerinde denetimler yapacak, Kişisel Verilerin Korunması Kanunu ve ilgili diğer mevzuatlar uyarınca gerekli idari ve teknik tedbirlerin alınıp alınmadığını kontrol edecek ve denetim sonucunda denetim raporu hazırlanacaktır. Denetim kapsamında, veri sorumlusu veya veri sorumlusunun talimatı ile denetim faaliyeti yürüten üçüncü kişiler, yerinde inceleme ve denetleme yapabilecektir.
Veri işleyen, denetim esnasında veri sorumlusuna ya da veri sorumlusu tarafından yetkilendirilen üçüncü kişilere yardımda bulunmak, gerekli bilgi ve belgeleri sağlamakla yükümlü olacaktır. Denetim sonucunda, veri işleyenin Kişisel Verilerin Korunması Kanunu veya diğer kişisel verileri koruma mevzuatına uygun davranmadığının ya da veri işleyen tarafından alınan tedbirlerin yeterli olmadığının tespit edilmesi durumunda, veri işleyen en kısa sürede gereken idari ve teknik tedbirleri alacak, kişisel verileri koruma mevzuatına uyumluluğu sağlayacak ve veri sorumlusuna bilgilendirmede bulunacaktır.
