Veri Sorumlusu ve Veri İşleyen Kimdir? Aralarındaki Fark Neden Önemlidir?

Veri sorumlusu ve veri işleyen bakıldığında birbirlerine geçmiş iki kavramdır. Fakat Kanun veri sorumlusu ve veri işleyeni sorumlulukları açısından farklı değerlendirmiştir. Veri işleyenin kontrolünü/denetimini de veri işleyene bırakmıştır. Kanun bir ihlal karşısında sadece veri sorumlusuna ceza vermektedir. Sicile kayıt yükümlülüğü de sadece veri sorumlularına aittir. Kanun’un 3. maddesine göre veri işleyen; “Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen" olarak tanımlamıştır. Veri işleyenin veri sorumlusunun verdiği yetki dışında herhangi bir işlem yapamaması gerekmektedir.

Veri sorumlusu

Kanun’un 3. maddesine göre veri sorumlusu; “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder.” şeklinde tanımlanmıştır. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında kendileri veri sorumludur.

Kişisel verilerin işlenmesine ait tüm kararlar veri sorumlusuna aittir. Veri sorumlusu kişisel verilerle ilgili sorulara karar verir. Bu sorulara; “Kişisel veriler nerede toplanacak? Hangi kişisel veriler toplanacak? Kişisel veriler hangi amaç ya da amaçlar için işlenecek? Hangi ilgili kişilerin kişisel verileri toplanacak? Kişisel veriler paylaşılacak mı paylaşılacaksa kimlerle paylaşılacak?” gibi örnekler verilebilir. Bu kararlar ancak kişisel verilerin işlenmesi üzerinde tam hakimiyeti olan veri sorumlusu tarafından alınmalıdır.

Veri işleyen

Veri sorumlusunun verdiği yetki ile veri sorumlusunun adına kişisel verileri işleyen, veri sorumlusunun organizasyon süreci dışında bulunan gerçek veya tüzel kişiler olarak ifade edilmektedir. Bu kişiler kişisel verileri kendisine verilen talimatlar doğrultusunda işlemekle yükümlüdürler. Veri sorumlusu ve veri işleyen arasında kişisel veri işleme sözleşmesi başta olmak üzere gizlilik sözleşmesi de yapılmalıdır.

Veri İşleyen ile Veri Sorumlusu Arasındaki Farkın Önemi

Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu hem de veri işleyen olabilir. Örneğin, bir X şirketi kendi personeliyle ilgili tuttuğu verilere ile veri sorumlusuyken, müşterileriyle ilgili tuttuğu veriler yönünden veri işleyendir. Tüzel kişilikler yani şirketin kendisi “veri sorumlusu” görevine sahiptir. Bu yüzden ihlal durumunda ihlali yapan kişiye değil şirketin kendisine ceza kesilir.

Veri sorumlusu ve veri işleyenin kim olduğunu tespit etmek önemlidir. Çünkü kişisel verilerin, hukuka uygun işlenmesi ve kurum bünyesinin niteliklerine göre tüm tedbirler alınarak faaliyetlerin yürütülmesi gerekir. Fakat bu yönde yürütülmeyen süreçlerde, mesuliyetin kime ait olduğunu belirlemek açısından veri sorumlusu ve veri işleyenin kim olduğunu tespit edilmelidir. Kanunda öngörülen cezaların ve ilgili kişinin dava edeceği muhatabının belirlenmesi ve kurulun kimi denetlemesi gerektiği bilmesi açısından önemlidir.

Fakat tüm mesuliyetin veri sorumlusuna vermesi ne kadar doğru tartışılır bir konudur. Cezaların belirli bir oranı veri işleyen tarafından da ödenmelidir. GDPR’da veri sorumlusu kadar veri işleyen de sorumlu tutulmuştur. Veri sorumlusu ve veri işleyen arasındaki sorumluluk düzeni başlığı altında ayrıntılara yer verilecektir.