top of page
Ara

Veri Sorumlusu ve Veri İşleyen Arasındaki Fark Nedir? KVKK’da Rolleri

  • Yazarın fotoğrafı: Harun Emre Şentürk
    Harun Emre Şentürk
  • 7 Tem
  • 6 dakikada okunur

Güncelleme tarihi: 13 Tem


data merkezinde duran takım elbiseli bir kadın

Kişisel verilerin korunması, günümüz iş dünyasında yalnızca bir hukuki sorumluluk değil; aynı zamanda şirketler için itibar, müşteri güveni ve ciddi mali riskler açısından kritik bir alandır. Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), veri işleme faaliyetlerini sıkı şekilde düzenlerken, iki önemli rolü açıkça tanımlamaktadır: veri sorumlusu ve veri işleyen. Ancak uygulamada, bu iki kavram sıklıkla karıştırılmakta; sorumluluk alanları, yükümlülükler ve idari yaptırımlar konusunda kurumlar arasında ciddi tereddütler yaşanmaktadır.

KVKK, yalnızca veri sorumlusuna yükümlülük yüklemekle kalmaz; veri işleyen konumunda olan gerçek veya tüzel kişileri de çeşitli sorumluluklar altına sokar. Özellikle veri sorumlusunun kim olduğu, hangi durumlarda veri işleyen sıfatıyla hareket edildiği ve bunların yükümlülük farkları, hem günlük operasyonları hem de muhtemel denetim süreçlerini doğrudan etkiler. Yanlış bir sınıflandırma, idari para cezalarına ve hatta ağır hukuki sonuçlara yol açabilir.

Bu yazı, KVKK çerçevesinde veri sorumlusu ile veri işleyen arasındaki ayrımı netleştirmeyi; uygulamada sık yapılan hatalara dikkat çekmeyi ve kurumların bu alandaki risklerini nasıl minimize edebileceğini açıklamayı amaçlamaktadır.



KVKK’da Veri Sorumlusu ve Veri İşleyen Ne Anlama Gelir?


KVKK, kişisel verilerin korunması alanındaki temel kavramları Kanun’un 3. maddesinde tanımlamıştır. Bu düzenlemeye göre veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Diğer bir ifadeyle, verilerin neden ve nasıl işleneceğine karar veren, hangi bilgilerin toplanacağına, hangi süreyle saklanacağına ve kimlerle paylaşılacağına ilişkin yetkiyi elinde tutan taraftır.

Örneğin bir e-ticaret şirketi, müşteri siparişlerini işlemek, faturalandırmak ve pazarlama faaliyetleri yürütmek amacıyla topladığı tüm kişisel veriler üzerinde veri sorumlusu sıfatıyla hareket eder. Karar merciinde olan, veri işleme süreçlerini belirleyen ve yükümlülükleri taşıyan esas aktör, veri sorumlusudur.

Veri işleyen ise veri sorumlusunun verdiği yetkiye dayanarak, onun adına ve talimatları çerçevesinde kişisel verileri işleyen gerçek veya tüzel kişidir. Veri işleyen, verinin işlenme amaçlarını veya yöntemlerini belirlemez; sadece veri sorumlusunun talimatlarını uygular. Örneğin bir şirketin çağrı merkezi hizmetini dış kaynak kullanımı yoluyla üçüncü bir firmaya devretmesi durumunda, bu çağrı merkezi firması veri işleyen konumundadır. Çünkü verileri kendi amaçları için değil, veri sorumlusunun talimatları doğrultusunda işler.

KVKK, bu iki rolü kesin hatlarla ayırsa da, uygulamada çoğu zaman veri sorumlusu ve veri işleyen arasındaki sınırlar belirsizleşir. Özellikle ortak veri kullanımı, dış hizmet alımları veya bulut hizmetleri gibi alanlarda hangi tarafın veri sorumlusu, hangisinin veri işleyen olduğu dikkatli bir hukuki analiz gerektirir. Bu ayrım yalnızca teorik bir mesele değil; çünkü yükümlülüklerin ve idari para cezalarının muhatabı bu sınıflandırmaya göre belirlenir. Bu nedenle, kurumların veri işleme süreçlerini düzenlerken rollerini net biçimde belirlemesi ve sözleşmelerine açık hükümler koyması büyük önem taşır.



Veri Sorumlusu ile Veri İşleyeni Ayıran Temel Kriterler Nelerdir?


Veri sorumlusu ile veri işleyen arasındaki ayrım, KVKK’nın en karmaşık ama en kritik konularından biridir. Çünkü bu iki rolün yükümlülükleri, denetim muhataplığı ve idari para cezaları bakımından sorumlulukları tamamen farklıdır. Yanlış bir sınıflandırma, kurumlar için ciddi riskler doğurabilir.

Bu ayrımın temel kriteri, kişisel verilerin işlenme amaçlarını ve vasıtalarını kimin belirlediği sorusuna verilen cevaptır. Veri sorumlusu, hangi verilerin toplanacağına, hangi amaçla işleneceğine, ne kadar süreyle saklanacağına ve kimlerle paylaşılacağına karar veren taraftır. Kısacası, veri işleme sürecinin “mimarı”dır ve nihai karar yetkisi ondadır.

Veri işleyen ise veri sorumlusunun belirlediği sınırlar içinde, yalnızca onun talimatlarına uygun biçimde hareket eden gerçek veya tüzel kişidir. Kendi adına karar alma yetkisi yoktur ve işlediği verileri kendi ticari çıkarları için kullanamaz. Görevi, veri sorumlusunun belirlediği amaç doğrultusunda teknik veya operasyonel işlemleri yerine getirmektir. Örneğin bir şirketin bordro işlemlerini yürüten dış kaynak hizmet sağlayıcı, veri işleyen konumundadır.


Uygulamada Sık Karıştırılan Durumlar

Uygulamada, veri sorumlusu ile veri işleyen arasındaki sınır çoğu zaman net çizilemez. Özellikle ortak veri kullanımı, dış kaynak hizmetleri ve bulut bilişim çözümleri gibi alanlarda karışıklık yaşanır. Örneğin:

  • Bir bulut hizmeti sunucusu yalnızca depolama hizmeti mi sunuyor yoksa verilerin nasıl işlendiğine ilişkin kararlar mı alıyor?

  • Çağrı merkezi hizmeti veren firma, müşterilerle iletişimi sadece teknik olarak mı yürütüyor yoksa veri analizleri yapıp sonuçları mı raporluyor?


Bu tür sorular, gerçek hayatta rol ayrımını zorlaştırır. Çünkü birçok hizmet sağlayıcı hem teknik hizmet verirken hem de bazen kendi analizlerini veya raporlamalarını yaparak veri üzerinde belirleyici olmaktadır. Dolayısıyla hizmet sözleşmelerinin içeriği, işin fiili yürütülüş şekliyle birlikte değerlendirilmelidir.


Yargı ve Kurul Kararlarında Yaklaşımlar

Kişisel Verileri Koruma Kurulu kararları, veri sorumlusu ve veri işleyen ayrımına ışık tutan önemli içtihatlar ortaya koymuştur. Kurul, kararlarında genellikle şu kriterlere bakmaktadır:

  • Veri işleme faaliyetinin nihai amacını belirleyen kimdir?

  • Veri işleme araçlarına ve yöntemine kim karar verir?

  • İşlenen veriler hangi tarafın kontrolünde tutulmaktadır?

  • Sözleşme hükümleri, veri sorumluluğunu açıkça belirtiyor mu?


Örneğin Kurul, çağrı merkezi hizmetlerinde genellikle hizmeti alan şirketi veri sorumlusu, çağrı merkezini ise veri işleyen olarak nitelendirir. Ancak çağrı merkezinin kendi adına verileri analiz etmesi veya işleme amaçlarını genişletmesi hâlinde veri sorumlusu sıfatına sahip olabileceğine karar vermektedir.

Yargı kararları da bu ayrımı destekler niteliktedir. Mahkemeler, özellikle veri işleme kararlarının bağımsız şekilde alınıp alınmadığına ve sözleşmelerde sorumlulukların nasıl düzenlendiğine büyük önem atfetmektedir.

Sonuç olarak, veri sorumlusu ile veri işleyenin ayrımı yalnızca teorik bir mesele değildir. Hem idari para cezası riski hem de veri sahiplerinin haklarını korumak açısından kurumların rollerini net şekilde belirlemesi, belgelerle desteklemesi ve sözleşmelerini buna göre yapılandırması büyük önem taşır.



Yükümlülükler ve Sorumluluklar Nasıl Farklılaşır?


KVKK kapsamında veri sorumlusu ile veri işleyenin yükümlülükleri birbirinden oldukça farklıdır. Kanun, esas itibarıyla veri sorumlusunu merkeze alır ve veri işleme süreçlerinin nihai sorumluluğunu ona yükler. Çünkü verilerin hangi amaçla ve nasıl işleneceğine karar veren, buna ilişkin sistemleri kuran ve yöneten taraf veri sorumlusudur.

Veri sorumlusunun yükümlülükleri arasında en önemlileri şunlardır:

  • Aydınlatma Yükümlülüğü (md. 10):Veri sorumlusu, kişisel verilerin hangi amaçla işlendiğini, kimlere aktarılacağını, hangi hukuki sebeplere dayandığını ve veri sahibinin haklarını açık ve anlaşılır şekilde bildirmek zorundadır.

  • Veri Güvenliğini Sağlama (md. 12):Veri sorumlusu, kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek, verileri muhafaza etmek için gerekli teknik ve idari tedbirleri almakla yükümlüdür.

  • Veri Sahibi Başvurularını Yanıtlamak:Veri sahipleri, KVKK’nın 11. maddesi kapsamında haklarını kullanabilir. Veri sorumlusu, bu başvuruları en geç 30 gün içinde yanıtlamak zorundadır.

  • Veri Sorumluları Siciline (VERBİS) Kayıt:Belirli kriterleri aşan veri sorumluları, kişisel veri işleme envanteri çıkararak VERBİS’e kayıt olmak ve güncel tutmak zorundadır.

Öte yandan veri işleyen, veri sorumlusunun verdiği talimatlar doğrultusunda kişisel verileri işlerken, doğrudan veri sahibiyle muhatap değildir. Ancak veri işleyen de KVKK’nın 12. maddesi kapsamında veri güvenliği tedbirlerini almakla sorumludur. Yani veri işleyen, veri sorumlusunun izni olmaksızın verileri üçüncü kişilerle paylaşamaz ve veri sorumlusunun belirlediği amaçlar dışında kullanamaz.

Bu ayrımın en önemli sonucu, idari para cezaları ve hukuki sorumlulukların muhatabının farklılaşmasıdır. KVKK’ya aykırılıklardan genellikle veri sorumlusu sorumlu tutulur. Ancak veri işleyen de, yükümlülüklerini ihlal ettiği takdirde zarar gören veri sahiplerine karşı sorumlu olabilir.

Örneğin bir dış kaynaklı çağrı merkezi hizmetinde, çağrı merkezi firması veri işleyendir. Ancak kendi adına verileri toplar veya işlerse, veri sorumlusu sıfatını kazanır ve aydınlatma yükümlülüğü dâhil tüm sorumlulukları üstlenir. Bu durum, şirketlerin sözleşmelerini ve operasyonel süreçlerini dikkatle düzenlemesini zorunlu kılar. Çünkü bir kurumun kendisini sadece “veri işleyen” olarak tanımlaması, hukuki sorumluluklardan otomatik olarak kurtulmasını sağlamaz.

Sonuç olarak, veri sorumlusu ve veri işleyen arasındaki sorumluluk farkları yalnızca teorik değil, uygulamada da büyük önem taşır. Kurumların bu ayrımı doğru yapması, hem cezai riskleri azaltır hem de veri sahiplerinin haklarının korunmasına katkı sağlar.



Kurumlar Ne Yapmalı? KVKK’ya Uyum İçin Pratik Öneriler


KVKK’ya uyum sağlamak, sadece yasal zorunlulukları yerine getirmekten ibaret değildir. Özellikle veri sorumlusu ve veri işleyen rollerinin doğru belirlenmesi, kurumların idari para cezalarından ve itibar kaybından korunması açısından kritik önem taşır. Pek çok kurum, süreçlerinde kimin veri sorumlusu, kimin veri işleyen olduğu konusuna yeterince dikkat etmeyerek ciddi riskler almaktadır. Bu nedenle kurumların yalnızca Kanun metnini bilmesi yetmez; aynı zamanda fiili uygulamalarını da bu bilgiyle uyumlu hâle getirmesi gerekir.

Kurumsal yapıda KVKK’ya uyum sağlamak için izlenmesi gereken bazı temel adımlar şunlardır:

  • Veri işleme envanteri oluşturulmalı:Tüm süreçlerde hangi verinin hangi amaçla işlendiği, hangi hukuki gerekçeye dayandığı ve hangi süreyle saklanacağı kayda geçirilmelidir. Bu envanter, hem VERBİS kaydı için hem de denetim süreçleri için temel belgedir.

  • Roller net olarak belirlenmeli:Hangi süreçte veri sorumlusu, hangi süreçte veri işleyen olunduğu açıkça analiz edilmeli ve sözleşmelere yansıtılmalıdır. Özellikle dış hizmet alımlarında bu ayrım net olmalıdır.

  • Sözleşmeler gözden geçirilmeli:Tüm tedarikçi, hizmet sağlayıcı ve iş ortaklarıyla yapılan sözleşmelerde, veri sorumlusu ve veri işleyen sıfatları, yükümlülükler ve sorumluluk sınırları detaylı biçimde düzenlenmelidir.

  • Personel eğitimi yapılmalı:KVKK’ya uyum yalnızca hukuki departmanın sorumluluğunda değildir. Tüm çalışanlar, özellikle operasyonel süreçlerde yer alan birimler, kişisel veri işleme süreçleri konusunda düzenli olarak bilgilendirilmelidir.

  • Düzenli denetim ve güncelleme yapılmalı:İş süreçleri değiştikçe, veri işleme yöntemleri ve amaçları da değişebilir. Bu nedenle envanter ve dokümantasyon düzenli olarak güncellenmeli, uyumsuzluklar hızla giderilmelidir.


Bu adımlar, kurumların yalnızca mevzuata uygun hareket etmesini değil, aynı zamanda veri sahiplerinin güvenini kazanmasını da sağlar. Özellikle büyük ölçekli veya uluslararası faaliyet gösteren şirketler için, KVKK uyumu yalnızca bir yasal zorunluluk değil, kurumsal itibarı koruyan stratejik bir gerekliliktir.



Yazının sonu... Bu yazıda verdiğimiz bilgiler hukuki mütalaa ya da tavsiye niteliği taşımamaktadır. Verilen bilgiler yazılma tarihinde tarihinde yürürlükte olan kanunlara göre verilmiş olup, sizin yazıyı okuduğunuz tarihte güncel olmayabilir!

Bu sebeple; EĞER AMACINIZ HUKUKİ YARDIM ALMAK İSE BİR AVUKATA DANIŞMANIZI TAVSİYE EDERİZ.




 
 
 

Comments

bottom of page