TR EN DE

Veri Sorumlusu ve Veri İşleyen

KVKK'nın temel aktörleri olan veri sorumlusu ve veri işleyen kavramları, sorumluluk dağılımı ve aralarındaki ilişkinin hukuki çerçevesi, uygulamada karşılaşılan sorunlar ve çözüm önerileri bu yazıda ele alınmaktadır.

Summary in English

Overview

The concepts of data controller and data processor are fundamental to data protection law. Understanding these concepts is critical for determining responsibility allocation and managing legal compliance processes. This article covers the legal framework of their relationship and practical issues.

Key Points

  • Data Controller: Determines the purposes and means of personal data processing; bears primary responsibility.
  • Data Processor: Processes data on behalf of and under instructions from the data controller.
  • Joint Liability: Under Article 12/2, data controllers are jointly liable with processors for security measures.
  • Processing Agreements: Written contracts should cover scope, security measures, sub-processors, and audit rights.
  • Gray Areas: Some entities may act as both controller and processor depending on the processing activity.
Full article in Turkish below

Überblick

Die Begriffe Verantwortlicher und Auftragsverarbeiter sind grundlegend für das Datenschutzrecht. Das Verständnis dieser Konzepte ist entscheidend für die Bestimmung der Verantwortlichkeitsverteilung und die Steuerung der rechtlichen Compliance-Prozesse. Dieser Artikel behandelt den rechtlichen Rahmen ihrer Beziehung und praktische Fragen.

Kernpunkte

  • Verantwortlicher: Bestimmt die Zwecke und Mittel der Verarbeitung personenbezogener Daten; trägt die Hauptverantwortung.
  • Auftragsverarbeiter: Verarbeitet Daten im Auftrag und nach Weisungen des Verantwortlichen.
  • Gemeinsame Haftung: Nach Artikel 12/2 haften Verantwortliche gemeinsam mit Auftragsverarbeitern für Sicherheitsmaßnahmen.
  • Auftragsverarbeitungsverträge: Schriftliche Verträge sollten Umfang, Sicherheitsmaßnahmen, Unterauftragnehmer und Prüfungsrechte abdecken.
  • Grauzonen: Einige Einheiten können je nach Verarbeitungstätigkeit sowohl als Verantwortlicher als auch als Auftragsverarbeiter agieren.
Vollständiger Artikel auf Türkisch unten

1. Giriş

Veri sorumlusu ve veri işleyen kavramları, kişisel verilerin korunması hukukunun temel taşlarını oluşturur. Bu kavramların doğru anlaşılması, sorumluluk dağılımının belirlenmesi ve hukuki uyum süreçlerinin yönetilmesi için kritik öneme sahiptir. Günümüzde birçok kuruluş hem veri sorumlusu hem de veri işleyen sıfatıyla faaliyet göstermektedir.

Karşılaştırmalı Hukuk
AB (GDPR Madde 4, 26, 28): "Controller" (veri sorumlusu) ve "processor" (veri işleyen) ayrımı KVKK ile paraleldir. GDPR, ortak veri sorumlularını (joint controllers) açıkça düzenler.

ABD: "Data controller" ve "service provider/vendor" terimleri kullanılır. CCPA, "business" ve "service provider" ayrımı yapar.

Almanya: GDPR terminolojisi geçerlidir. "Auftragsverarbeitung" (sipariş işleme) kavramı detaylı düzenlenmiştir.

Türkiye: KVKK m.3 tanımları GDPR ile büyük ölçüde örtüşür. Müşterek sorumluluk m.12/2'de düzenlenmiştir.

2. Tanımlar

KVKK, kişisel veri işleme faaliyetinde iki temel aktör tanımlamaktadır: veri sorumlusu ve veri işleyen. Bu iki kavramın doğru anlaşılması, sorumlulukların belirlenmesi ve uyum sürecinin yürütülmesi için kritik öneme sahiptir.

KVKK Madde 3 — Tanımlar
Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir.

3. Veri Sorumlusu

Veri sorumlusu, kişisel veri işleme faaliyetinin "karar vericisi"dir. İşlemenin neden (amaç) ve nasıl (vasıta) yapılacağını belirleyen taraftır.

Veri Sorumlusunun Belirlenmesi

Kriter Değerlendirme
Amaç belirleme Verilerin neden işlendiğine kim karar veriyor?
Vasıta belirleme Hangi verilerin, nasıl, ne kadar süre işleneceğine kim karar veriyor?
Hukuki sorumluluk İşlemenin yasal sonuçlarını kim üstleniyor?
Fiili kontrol Veriler üzerinde fiili kontrole kim sahip?

Veri Sorumlusunun Yükümlülükleri

Yükümlülük KVKK Maddesi Açıklama
Hukuka uygun işleme m.4 Genel ilkelere uygun veri işleme
Aydınlatma m.10 İlgili kişileri bilgilendirme
Veri güvenliği m.12 Teknik ve idari tedbirler alma
VERBİS kaydı m.16 Sicile kayıt (istisnalar hariç)
İlgili kişi başvuruları m.13 Başvuruları yanıtlama
İhlal bildirimi m.12/5 Kurul'a ve ilgili kişilere bildirim
KARŞILAŞTIRMALI HUKUK
GDPR'da Veri Sorumlusu (Controller)
GDPR'daki "controller" kavramı KVKK'daki veri sorumlusu ile paralel bir tanıma sahiptir. Ancak GDPR, ortak veri sorumluluğu (joint controllership) kavramını açıkça düzenlemiş ve tarafların sorumluluklarını belirleyen bir anlaşma yapılmasını zorunlu kılmıştır (m.26). KVKK'da bu kavram açıkça düzenlenmemiştir.

4. Veri İşleyen

Veri işleyen, veri sorumlusunun talimatları doğrultusunda ve onun adına kişisel verileri işleyen taraftır. Veri işleyen, işlemenin amaç ve vasıtalarını belirlemez.

Veri İşleyen Örnekleri

Hizmet Türü Veri İşleyen Veri Sorumlusu
Bulut hizmetleri AWS, Google Cloud, Azure Bulut hizmetini kullanan şirket
Bordro hizmetleri Dış kaynak bordro şirketi İşveren şirket
Çağrı merkezi Çağrı merkezi hizmeti veren firma Müşteri hizmeti aldıran şirket
IT destek Yönetilen hizmet sağlayıcısı IT desteği alan şirket
E-posta pazarlama Mailchimp, Sendinblue Kampanya yürüten şirket

Veri İşleyenin Yükümlülükleri

KVKK, veri işleyenin yükümlülüklerini doğrudan detaylandırmamıştır. Ancak 12. maddenin 2. fıkrası, veri sorumlusu ile veri işleyen arasındaki ilişkiyi düzenlemektedir.

KVKK Madde 12/2
Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
KURUL KARARI
Veri İşleyen Kaynaklı İhlal
Kurul, 2020/756 sayılı kararında, veri işleyen (IT hizmet sağlayıcı) tarafından gerçekleştirilen bir veri ihlalinde, veri sorumlusunun da müştereken sorumlu olduğunu belirlemiştir. Veri sorumlusu, veri işleyeni yeterince denetlemediği ve sözleşmede gerekli güvenlik şartlarını düzenlemediği için idari para cezasıyla muhatap olmuştur.

5. Veri Sorumlusu - Veri İşleyen Ayrımı

Özellik Veri Sorumlusu Veri İşleyen
Karar yetkisi Amaç ve vasıtaları belirler Talimatlara göre işler
İlgili kişi ilişkisi Doğrudan muhatap Dolaylı ilişki
VERBİS kaydı Kayıt yükümlüsü Kayıt yükümlülüğü yok
Aydınlatma Doğrudan sorumlu Sorumluluk yok
İhlal bildirimi Kurul'a bildirir Veri sorumlusuna bildirir
İlgili kişi talepleri Yanıtlamakla yükümlü Veri sorumlusuna yönlendirir

Gri Alanlar

Uygulamada veri sorumlusu - veri işleyen ayrımı her zaman net olmayabilir. Bazı durumlarda bir taraf hem veri sorumlusu hem de veri işleyen olabilir veya ortak veri sorumluluğu söz konusu olabilir.

Senaryo Değerlendirme
Sosyal medya platformu Kendi amaçları için veri sorumlusu, reklam verenler için veri işleyen olabilir
Bulut hizmet sağlayıcı Müşteri verileri için işleyen, hizmet iyileştirme için sorumlu olabilir
İş ortaklığı Ortak veri sorumluluğu gündeme gelebilir
Franchise Ana şirket ve franchisee rolleri değişkenlik gösterebilir

6. Veri İşleme Sözleşmesi

Veri sorumlusu ile veri işleyen arasındaki ilişkinin yazılı bir sözleşme ile düzenlenmesi kritik öneme sahiptir. Bu sözleşme, tarafların yükümlülüklerini, güvenlik gereksinimlerini ve sorumluluk dağılımını belirlemelidir.

Sözleşmede Bulunması Gereken Unsurlar

Unsur Açıklama
İşleme konusu ve kapsamı Hangi verilerin, hangi amaçlarla işleneceği
Süre İşleme faaliyetinin süresi
Talimat bağlılığı Veri işleyenin sadece talimatlar doğrultusunda işleyeceği
Gizlilik Gizlilik yükümlülüğü ve çalışan taahhütleri
Güvenlik tedbirleri Alınacak teknik ve idari tedbirler
Alt işleyen kullanımı Alt veri işleyen kullanım koşulları ve onay mekanizması
İlgili kişi hakları Taleplerde işbirliği yapma yükümlülüğü
Denetim hakkı Veri sorumlusunun denetim yetkisi
İhlal bildirimi İhlal halinde bildirim süresi ve yöntemi
Sözleşme sonu Verilerin iadesi veya imhası
Sorumluluk ve tazminat İhlal halinde sorumluluk dağılımı
UYGULAMA ÖNERİSİ
Veri İşleme Sözleşmesi Şablonu
Her veri işleyen ilişkisi için ayrı bir sözleşme hazırlamak zaman alıcı olabilir. Standart bir şablon oluşturarak bu süreci kolaylaştırabilirsiniz. Şablon, temel KVKK gereksinimlerini içermeli ve spesifik hizmet ilişkisine göre özelleştirilebilir olmalıdır.

7. Müşterek Sorumluluk

KVKK'nın 12/2. maddesi, veri sorumlusu ve veri işleyen arasında müşterek sorumluluk öngörmektedir. Bu, veri işleyenin neden olduğu ihlallerden veri sorumlusunun da sorumlu tutulabileceği anlamına gelir.

Sorumluluktan Korunma Yolları

8. Ortak Veri Sorumluluğu

KVKK'da açıkça düzenlenmemiş olsa da, uygulamada birden fazla tarafın aynı veri işleme faaliyeti için veri sorumlusu olması (ortak veri sorumluluğu) söz konusu olabilir.

Ortak Sorumluluk Senaryosu Örnek
İş ortaklığı Ortak proje yürüten iki şirket
Platform ve kullanıcı E-ticaret platformu ve satıcılar
Grup şirketleri Ortak müşteri veritabanı kullanan şirketler
Araştırma işbirlikleri Ortak araştırma yürüten kurumlar
KARŞILAŞTIRMALI HUKUK
GDPR Madde 26 — Ortak Veri Sorumluları
GDPR, ortak veri sorumlularının şeffaf bir düzenleme ile sorumluluklarını belirlemesini zorunlu kılar. Bu düzenlemenin özünün ilgili kişilerin erişimine açık tutulması gerekmektedir. KVKK'da benzer bir açık düzenleme bulunmasa da, ortak sorumluluk durumlarında taraflar arasında yazılı bir anlaşma yapılması önerilmektedir.

9. Sonuç

Veri sorumlusu ve veri işleyen kavramlarının doğru anlaşılması, KVKK uyum sürecinin temelini oluşturur. Veri sorumluları, kişisel veri işleme faaliyetlerinde birincil sorumluluk taşırken, veri işleyenlerle olan ilişkilerini de dikkatli bir şekilde yönetmelidir.

Müşterek sorumluluk ilkesi, veri sorumlularının veri işleyenlerini sadece seçerken değil, ilişki boyunca da denetlemesini gerektirmektedir. Kapsamlı veri işleme sözleşmeleri, düzenli denetimler ve net sorumluluk dağılımı, olası risklerin minimize edilmesinde kritik öneme sahiptir.

KVKK Makale Serisi 11 / 15
Yurt Dışına Aktarım Çerez Politikaları

Bu çalışma yalnızca bilgilendirme amacıyla hazırlanmış olup hukuki tavsiye niteliği taşımaz. Mevzuat ve içtihatlarda meydana gelebilecek değişiklikler nedeniyle içerik zamanla geçerliliğini yitirebilir. İçeriğin somut olaylara uygulanması veya bu içeriğe dayanılarak alınan kararlar nedeniyle doğabilecek sonuçlardan sorumluluk kabul edilmez.