Ercüment Erdem Av. Sevgi Ünsal Özden

Kişisel Verilerin Korunması Mevzuatı kapsamında Kişisel Veri, Veri İşleyen, Veri Sorumlusu ve İrtibat Kişisi Kavramları

Eylül 2019

Giriş

Avrupa Birliği uyum süreci kapsamında hazırlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”), 07.04.2016 tarihli ve 29677 sayılı Resmi Gazete'de yayınlanarak yürürlüğe girmiştir. Bu kanunu uygulamak üzere Kişisel Verileri Koruma Kurulu (“Kurul”) oluşturulmuş ve ayrıca Kişisel Verileri Koruma Kurumu (“Kurum”) da Ankara’da kurularak faaliyete geçmiştir.

Kanun’un yürürlüğe girmesi ile birlikte hayatımıza “Kişisel Veri”, “Veri Sorumlusu”, “Veri İşleyen” ve “İrtibat Kişisi” gibi kavramlar girmiştir. Bu makalede, özellikle Kanun’a uyum sürecinde, Kanun kapsamındaki yükümlülüklerin belirlenmesi ve yerine getirilmesi için önem arz eden ve veri sorumluları tarafından sıklıkla karıştırılan bu kavramlara değineceğiz.

Kişisel Veri

Kişisel veri kavramı, Kanun’un 3. maddesinin (g) bendinde, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır. Bir gerçek kişinin adı, soyadı, T.C. kimlik numarası, doğum yeri ve tarihi gibi bilgilerin yanı sıra fiziksel, sosyal, kültürel, ekonomik, psikolojik bilgileri de kişisel veri kapsamında kabul edilir. Bu verilere kişinin etnik kökeni, sağlık, eğitim, istihdam durumu, cinsel yaşamı, aile hayatı, başkaları ile yaptığı haberleşmeler, ikamet adresi, kredi kartı bilgileri, sosyal güvenlik numarası, kişisel düşünce ve inançları, sendika üyeliği ve alışveriş alışkanlıkları gibi veriler de örnek gösterilebilir.

Tüzel kişilere ilişkin verilerin işlenmesi Kanun kapsamında değildir. Ancak, şirketler nezdinde bulunan ve işlenen kişisel veriler elbette mevzuat kapsamında korunur. Bu veriler, personel bilgileri, alt yüklenici personellerinin kayıtları, iş başvuruları, parmak izi kayıtları, puantaj kayıtları, güvenlik kamera kayıtları, güvenlik giriş ve çıkış kayıtları ve sözleşme ekindeki imza sirküleri şeklinde örneklendirilebilir.

Kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ise özel nitelikli kişisel veri olarak adlandırılmıştır. Bu veriler, başkaları tarafından öğrenildiğinde ayrımcılığa neden olabilecek mahiyette olduğundan, Kanunda bu veriler için daha farklı ve sıkı tedbirler alınması gerektiği belirtilmiştir. Nitekim Kurulun Resmi Gazete’de yayımlanan Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler ile ilgili 31.01.2018 tarihli ve 2018/10 sayılı Kararı ve Kurum tarafından hazırlanmış Kişisel Veri Güvenliği Rehberi kapsamında alınması gereken idari ve teknik tedbirlere detaylı şekilde yer verilmiştir[1].

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi veri sorumlusudur. Veri sorumlusu, gerçek kişi olabileceği gibi, kamu kurumu, şirket, dernek veya vakıf da olabilir.

Bir şirket bünyesinde yer alan birimlerin tüzel kişiliği bulunmadığından bu birimlerin veri sorumlusu olması mümkün değildir. Bu nedenle, şubelerin de veri sorumlusu olarak kabul edilmesi mümkün değildir. Ancak, bir şirketler topluluğunu oluşturan her bir şirket tüzel kişiliğe sahip olduğu için bu şirketlerin her biri ayrı bir veri sorumlusu olarak kabul edilir.

Veri sorumlusu,

  • Kişisel verilerin toplanması amaç ve araçları,
  • Kişisel veri işleme yöntemleri,
  • Elde edilecek kişisel veri türleri,
  • Elde edilen kişisel verilerin paylaşılıp paylaşılmayacağı, paylaşılacak ise şartları,
  • Veri saklama süresi, saklama yönetimi,
  • Alınacak idari ve teknik tedbirler,
  • İmha yöntemleri ve Kanunda belirtilen benzeri konularda

karar verme yetkisine sahiptir. Bir gerçek ya da tüzel kişinin veri sorumlusu olup olmadığının tespitinde yukarıda yer verilen hususlarda kimin karar verdiği göz önünde bulundurulmalıdır.

Veri sorumlusu akdedeceği bir kişisel veri işleme sözleşmesi suretiyle, verilerin toplanması aşamasında hangi sistem ve metotların kullanılacağı, verilerin nasıl saklanacağı, alınacak güvenlik tedbirlerinin detayları, aktarımın hangi yöntemle yapılacağı, verilerin saklanmasında kullanılacak metotlar ve kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi yöntemleri konularında veri işleyeni yetkilendirebilir. Ancak bu yetkilendirmenin veri sorumlusunun Kanundan doğan sorumluluklarını yetkilendirdiği kişiye devrettiği anlamına gelmediğini belirtmek isteriz.

Veri işleme faaliyetlerinin mevzuata uygun şekilde gerçekleştirilmesinden doğan hukuki sorumluluk esas olarak veri sorumlusu üzerinde doğar. Tüzel kişilerde, veri sorumlusu tüzel kişiliğin bizzat kendisidir. Bu çerçevede, şirket içerisinde veri işleme faaliyeti gerçekleştiren personellerin mevcut olması veya veri işleme faaliyeti konusunda yetkilendirilmiş kişilerin olması, bu kişilerin veri sorumlusu oldukları anlamına gelmeyecektir. Örneğin, veri işleme faaliyetinin bir parçası olarak şirkette belge teslim eden ya da alan kişiler değil, şirketin kendisi veri sorumlusu kabul edilecektir.

Veri Sorumlusu, ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve Kanunda sayılan diğer hakları konusunda bilgi vermekle yükümlüdür. Ayrıca, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek ve muhafazasını sağlamak, kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Tüm bunlara ek olarak, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler re’sen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. Bu yükümlülüğün yerine getirilebilmesi için, veri sorumlusu tarafından işlenen verilerin periyodik olarak denetlenebileceği bir sistem kurulabilir. Kanun kapsamında, veri sorumlusu, ilgili kişilerin Kanun’un uygulanmasıyla ilgili taleplerini 30 gün içinde sonuçlandırmak, Veri Sorumluları Siciline (“Sicil”) kaydolmak, kişisel veri envanteri hazırlamak, irtibat kişisi atamak ve hukuka aykırı bir veri işleme faaliyetini ilgilisine ve Kurum’a bildirmek gibi yükümlülükler ile de donatılmıştır. Veri sorumlusunun yükümlülüklerine ilişkin detaylara ayrıca Kurum tarafından hazırlanmış Kanun Kapsamındaki Hak ve Yükümlülükler Rehberinde yer verilir[2].

Veri İşleyen

Kanunun 3. maddesinin (e) bendine göre kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder. Bu noktada ayrıca belirtmek gerekir ki; bir verinin sabit disk sürücüsünde, diskette, kompakt diskte veya fiziki dosyada saklanması dahi kişisel verilerin işlenmesi mahiyetindedir.

Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiyi ifade eder. Veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek ya da tüzel kişi olan veri işleyen, kişisel verileri kendisine verilen talimatlar kapsamında ve veri sorumlusu ile arasındaki sözleşme hükümlerine göre işler. Bu noktada dikkat edilmesi gereken husus, veri işleyenin veri sorumlusunun organizasyonu dışındaki bir gerçek ya da tüzel kişi olmasıdır. Dolayısıyla, şirket çalışanları veri işleme faaliyeti gerçekleştiriyor olsalar dahi, veri işleyen olarak nitelendirilemezler. Veri işleyene örnek olarak, muhasebe, çağrı merkezi, insan kaynakları ve bordrolama, bulut işletim ve benzeri konularda müşterilerine hizmet veren firmalar örnek gösterilebilir. Ancak, veri işleyen, veri sorumlusundan aldığı yetki ve talimat dışına çıkarak kendisi adına kişisel veri işlemeye başlaması durumunda, o kişisel veriler için veri sorumlusu olarak kabul edilecektir.

Veri Sorumlusu ve Veri İşleyen Arasındaki İlişki

Bir gerçek ya da tüzel kişi, somut olayın özelliğine göre hem veri sorumlusu hem veri işleyen sıfatına aynı anda sahip olabilir. Örneğin, yukarıda da örneklendirdiğimiz üzere, bir muhasebe şirketi, bulut bilişim hizmeti sağlayıcısı veya insan kaynakları ve bordro hizmeti sunan bir şirket, kendi personeli ile ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler açısından veri işleyen olarak kabul edilecektir. Bu konuyla ilgili detaylı örneklere Kurum tarafından hazırlanan Veri Sorumlusu ve Veri İşleyen Rehberi kapsamında da yer verilmiştir[3].

Veri sorumlusu, topladığı kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde (örneğin, şirkete ilişkin kayıtlar dışardan bir muhasebe şirketi tarafından tutuluyor ise), veri güvenliğinin temini adına Kanun’da yer verilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. Ayrıca, veri sorumluları ve veri işleyen kişiler, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülükleri görevden ayrılmalarından sonra dahi devam eder.

Tüm bu nedenlerle, veri sorumlusu ve veri işleyen arasında imzalanacak sözleşmeler kapsamında; bu tedbirlerin alındığına yönelik olarak gerekli teyit ve taahhütlerin alınması, imha prosedürlerinin belirlenmesi, sorumluluk ve yetki sınırlarının çizilmesi, rücu düzenlemelerine yer verilmesi ve veri sorumlusunun denetim hakkı ve benzeri hükümlere yer verilmesi önem arz eder.

İrtibat Kişisi

Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Sicile kaydolmak zorundadır. Türkiye’de yerleşik veri sorumluları ile Türkiye’de yerleşik olmayan veri sorumluları adına veri sorumlusu temsilcileri, Sicil’e kayıt sırasında irtibat kişisi bilgilerini Sicile işlerler. Veri sorumlusu, irtibat kişisi olarak tüzel kişilik bünyesinde çalışan bir kişiyi atayabileceği gibi, organizasyonu dışında bir kişiyi de atayabilecektir. İrtibat kişisi, veri sorumlusunu Kanun ve ilgili yönetmelik hükümlerine göre temsile yetkili olmayacak, sadece Kurum ve veri sorumlusu arasındaki iletişimin sağlanması ve yönetilmesinden sorumlu olacaktır. İrtibat kişisinin sorumluluklarına; Kurum tarafından yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etme, veri sorumlusu adına sicile ilişkin iş ve işlemleri yapma ve Kurum tarafından veri sorumlusuna yöneltilen talepleri veri sorumlusuna iletme, veri sorumlusundan gelecek cevabı Kurum’a iletme gibi hususlar örnek verilebilir.

Sonuç

Veri işleme faaliyeti gerçekleştiren (i) gerçek veya tüzel kişilerin Kanun kapsamındaki hak ve yükümlülüklerinin tespiti ve (ii) bu yükümlülüklerin ihlali neticesinde öngörülen idari para cezalarının belirlenmesi açısından veri sorumlusu veya veri işleyen kavramları ve ayrımı büyük önem arz eder. Bu nedenlerle, Kanun’da yer alan temel kavramların Kurum tarafından hazırlanan rehberlerdeki detaylı örnekler ve açıklamalar da gözetilerek somut bir şekilde anlaşılması, özellikle veri sorumlularının Kanun’a uyum süreçlerinde ve sonrasında süregelecek veri işleme faaliyetlerinde hukuka uygunluğu sağlayabilmeleri adına son derece faydalı olacaktır.

[1] Detaylı bilgi için bkz. https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/7512d0d4-f345-41cb-bc5b-8d5cf125e3a1.pdf (Erişim tarihi: 19.09.2019); https://www.kvkk.gov.tr/Icerik/4110/2018-10 (Erişim tarihi: 19.09.2019).

[2] Detaylı bilgi için bkz. https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/37fa799d-818b-4654-bca0-3be8e5d88ddf.pdf (Erişim tarihi: 19.09.2019).

[3] Detaylı bilgi için bkz. https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/f63e88cd-e060-4424-b4b5-f6413c602060.pdf (Erişim tarihi: 19.09.2019).