Veri Sorumlusu ve Veri İşleyen: KVKK’ya Göre Roller, Yükümlülükler ve İşbirliği
Günümüzde kişisel verilerin işlenmesi; bireyler ve kuruluşlar için hayati öneme sahip bir süreçtir. Verilerin toplanması, saklanması, işlenmesi ve paylaşılması aşamalarının tamamı; hukuki ve etik sorumluluklar doğurur. Bu sorumluluğun odağında ise veri sorumlusu ve onun talimatlarıyla çalışan veri işleyen yer alır.
Bu rehberde; veri sorumlusu ve veri işleyen kavramlarını, aralarındaki farkları, KVKK kapsamındaki yükümlülükleri ve pratikte nasıl bir işbirliği kurulması gerektiğini sade ama detaylı bir dille açıklıyoruz.
Rolünüzü doğru tanımlamak; aydınlatma metinleri, sözleşmeler, saklama süreleri ve teknik-idari tedbirler açısından kritik bir uyum adımıdır.
1. Kişisel Verilerin İşlenmesinin Önemi
Günümüzde kişisel verilerin işlenmesi, hem bireyler hem de kuruluşlar için hayati bir sürece dönüşmüştür. Bu süreç;
- Verilerin toplanmasını (formlar, başvuru sistemleri, çerezler vb.),
- Güvenli bir şekilde saklanmasını (veritabanları, sunucular, bulut ortamları),
- Belirli amaçlar doğrultusunda işlenmesini ve analiz edilmesini,
- Gerekli durumlarda paylaşılmasını veya üçüncü taraflara aktarılmasını,
- Son aşamada silinmesi, yok edilmesi veya anonim hale getirilmesini
içeren çok adımlı bir yapıya sahiptir. Her adımda, hukuki ve etik sorumluluklar devreye girer.
Bu sorumlulukların doğru yönetilmesi için; sürecin merkezinde yer alan veri sorumlusu ve onun talimatlarıyla çalışan veri işleyen rollerinin doğru tanımlanması şarttır.
2. Veri Sorumlusu Nedir?
Kanuni veri işleme yükümlülüklerinin yerine getirilmesinde temel sorumlu, “veri sorumlusu” olarak adlandırılan kişi veya kuruluştur. KVKK’ya göre veri sorumlusu:
- Kişisel verilerin işlenme amacını ve yöntemlerini belirler,
- Veri kayıt sisteminin kurulmasından ve yönetiminden sorumludur,
- Veri işleme faaliyetlerinin denetimi, uygunluğu ve mevzuata uyumundan en üst düzeyde sorumludur,
- Kişisel verilerin korunması ve güvenliğinin sağlanması için gerekli politikaları ve tedbirleri hayata geçirir.
Veri koruma ilkelerine uygun şekilde kişisel verilerin işlenmesi, veri sorumlusunun temel yükümlülüğüdür. Bu nedenle veri sorumlusu; hem teknik hem de örgütsel düzeyde kuvvetli bir veri koruma kültürü oluşturmak zorundadır.
3. Veri İşleyen Nedir?
Veri işleyen; kişisel verilerin işlenmesinde, veri sorumlusunun yetkileri ve talimatları doğrultusunda görev alan gerçek veya tüzel kişidir. Yani veri işleyen:
- Veri sorumlusunun belirlediği amaçlar doğrultusunda hareket eder,
- Kendi başına yeni bir işleme amacı belirlemez,
- Veri sorumlusunun talimatlarını etkili ve eksiksiz yerine getirmekle yükümlüdür,
- Bu süreçte kişisel verilerin güvenli ve yasal şekilde işlenmesini sağlamakla sorumludur.
Örneğin; veri sorumlusunun adına saklama, barındırma, bakım, çağrı merkezi veya yazılım hizmeti sunan firmalar, çoğu durumda veri işleyen rolündedir. Bu aktörler, veri sorumlusunun yüklediği sorumlulukları ve yönergeleri hassasiyetle takip etmek zorundadır.
Veri işleyen; veri sorumlusunun “uzatılmış kolu” gibi düşünülebilir. Rolü uygulamaya dönüktür ancak veri güvenliği açısından taşıdığı yükümlülük son derece ciddidir.
4. Yükümlülüklerin Yerine Getirilmesi
Kanun tarafından belirlenen kişisel veri işleme yükümlülüklerinin yerine getirilmesi açısından temel sorumluluk veri sorumlusuna aittir. Veri sorumlusu:
- İşleme süreçlerini yasal düzenlemelere uygun şekilde yürütmek,
- Veri güvenliğini sağlamak için gerekli teknik ve idari tedbirleri almak,
- Veri sahiplerinin haklarını kullanabilecekleri mekanizmaları kurmak,
- Silme, yok etme ve anonimleştirme süreçlerini yönetmek
ile yükümlüdür. Veri işleyen ise, veri sorumlusunun talimatlarını eksiksiz ve doğru biçimde uygulamakla sorumludur. Böylece veri işleme faaliyetleri, veri koruma ilkelerine ve ilgili mevzuata uygun biçimde gerçekleştirilir.
Kısaca: asıl sorumluluk veri sorumlusundadır. Veri işleyen, bu sorumluluğun hayata geçirilmesinde operasyonel destek ve teknik uzmanlık sağlar.
5. Veri Sorumlusu ve Veri İşleyen Arasındaki İşbirliği
Kişisel verilerin işlenmesine ilişkin yasal yükümlülüklerin yerine getirilmesi, veri sorumlusu ve veri işleyen arasındaki işbirliği ve uyum ile mümkün olur. Bu işbirliği:
- Rol ve sorumlulukların açıkça tanımlanması,
- Veri işleme sözleşmeleri ile çerçevenin yazılı hale getirilmesi,
- Güvenlik ihlallerinde hızlı ve koordineli hareket edilmesi,
- Düzenli denetim, raporlama ve iyileştirme çalışmaları yapılması
gibi başlıklar üzerinden somutlaşır. Veri sorumlusu, temel sorumluluğu üstlenirken; veri işleyen de bu sorumlulukların titizlikle yerine getirilmesinde etkin bir rol oynar.
Bu işbirliği; kişisel verilerin güvenli ve yasal şekilde işlenmesini temin ederken, aynı zamanda bireylerin haklarının da korunmasını sağlar.
6. Uygulamada Örnek Durumlar
-
Örnek 1 – İnsan Kaynakları Hizmeti:
Bir şirket, çalışan verilerini yöneten bir İK yazılımını dışarıdan satın alıyorsa; çalışan verilerinin sahibi olan şirket veri sorumlusu, yazılımı sağlayan firma ise veri işleyen konumundadır. -
Örnek 2 – Bulut Barındırma:
Müşteri verilerini kendi sisteminde toplayan ve işleyen e-ticaret firması veri sorumlusu, verilerin tutulduğu bulut altyapısını sağlayan şirket ise veri işleyen olarak değerlendirilir. -
Örnek 3 – Çağrı Merkezi:
Banka, elektrik şirketi veya telekom operatörü gibi kurumların müşteri çağrılarını yöneten dış kaynak çağrı merkezi şirketleri, çoğunlukla veri işleyen rolünü üstlenir; asıl sorumluluk ilgili kurumda kalır.
7. Kurumlar İçin Pratik Kontrol Listesi
Kurumunuzda veri sorumlusu ve veri işleyen rollerini netleştirmek için şu soruları kendinize sorabilirsiniz:
- Bu süreçte veri işleme amacını ve yöntemlerini kim belirliyor – biz mi, dış hizmet sağlayıcı mı?
- Veri kayıt sistemi kimin kontrolünde ve kim tarafından yönetiliyor?
- İlgili kişi başvuruları (erişim, silme, düzeltme vb.) hangi tarafa yöneltiliyor?
- Dış hizmet sağlayıcılarla veri işleme sözleşmesi imzaladık mı?
- Veri güvenliği için teknik ve idari tedbirler, hem veri sorumlusu hem veri işleyen tarafında tanımlı mı?
Bu sorulara verdiğiniz yanıtlar, hangi durumda veri sorumlusu, hangi durumda veri işleyen olduğunuzu anlamanıza ve KVKK yükümlülüklerinizi daha sağlıklı yönetmenize yardımcı olacaktır.
Sık Sorulan Sorular: Veri Sorumlusu & Veri İşleyen
Veri sorumlusu kimdir?
Veri sorumlusu; kişisel verilerin işlenme amaç ve yöntemlerini belirleyen, veri kayıt sisteminin kurulması ve yönetiminden sorumlu gerçek veya tüzel kişidir. Kanuni yükümlülüklerin yerine getirilmesinde birincil muhatap veri sorumlusudur.
Veri işleyen kimdir?
Veri işleyen; kişisel verileri, veri sorumlusunun verdiği yetki ve talimatlar doğrultusunda işleyen gerçek veya tüzel kişidir. Kendi başına amaç belirlemez, veri sorumlusunun belirlediği çerçevede hareket eder.
Her zaman veri sorumlusunun sorumluluğu daha mı fazladır?
Evet. KVKK’ya göre temel sorumluluk veri sorumlusuna aittir. Ancak veri işleyen de kendi kusuru oranında veri güvenliği ihlallerinde sorumlulukla karşı karşıya kalabilir.
Bir şirket hem veri sorumlusu hem veri işleyen olabilir mi?
Evet. Kendi çalışan ve müşterilerinin verileri için veri sorumlusu olan bir şirket; başka bir kurum adına hizmet verirken o kurum için veri işleyen rolünde olabilir. Rol, her bir veri işleme faaliyeti özelinde değerlendirilmelidir.
Veri sorumlusu ile veri işleyen arasında sözleşme zorunlu mu?
Pratikte evet. Veri işleme sözleşmesi; kapsam, amaç, veri kategorileri, güvenlik tedbirleri ve ihlal yönetimi gibi kritik konuları netleştirir ve her iki taraf için hukuki güvence sağlar.
İlgili kişi taleplerine kim cevap vermelidir?
İlgili kişinin haklarına ilişkin başvurular öncelikle veri sorumlusuna yöneltilir. Veri işleyen, bu taleplerin yerine getirilmesinde veri sorumlusuna teknik ve operasyonel destek sağlar.
