Veri Sorumlusu ve Veri İşleyen Nedir? KVKK m.12 Çerçevesinde Uygulama Rehberi
KVKK uyum çalışmalarında en kritik ayrımlardan biri veri sorumlusu ve veri işleyen rollerinin doğru kurgulanmasıdır. Bu rollerin netleşmesi; sözleşmesel düzenlemeyi, teknik ve idari tedbirlerin kapsamını, denetim mekanizmasını ve veri ihlali yönetimini doğrudan belirler.
Bu rehber; Türkiye’de faaliyet gösteren kurumlar açısından (İstanbul başta olmak üzere Türkiye geneli operasyonlar) veri sorumlusu ve veri işleyen tanımlarını, KVKK m.12 kapsamındaki sorumluluk paylaşımını, kişisel veri işleme sözleşmesi gerekliliklerini, denetim ve veri ihlali bildirimi süreçlerini uygulamaya dönük örneklerle açıklar.
Veri sorumlusu: İşleme amaç ve vasıtalarını belirleyen, veri kayıt sistemini kuran/yöneten gerçek veya tüzel kişi.
Veri işleyen: Veri sorumlusunun talimatlarıyla, onun adına veri işleme faaliyetini yürüten gerçek veya tüzel kişi.
KVKK m.12: Güvenliğin sağlanmasına yönelik teknik/idari tedbirlerde veri sorumlusu ve veri işleyen birlikte sorumludur.
Pratik sonuç: Sözleşme + denetim + izleme + ihlal bildirimi maddeleri eksiksiz kurgulanmalıdır.
Rol tanımı hatalıysa; aydınlatma, açık rıza, veri aktarımı, saklama-imha, denetim ve ihlal bildirimi süreçleri zincirleme şekilde risk üretir.
1. Veri Sorumlusu ve Veri İşleyen Nedir?
Veri sorumlusu; kişisel verilerin işlenmesinin amacını ve araçlarını belirleyen kişi, şirket veya başka bir kuruluştur. Bu belirleme tek başına yapılabileceği gibi, belirli iş süreçlerinde bir başka kişi/kuruluşla birlikte de gerçekleştirilebilir.
KVKK kapsamında veri sorumlusu, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen; veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. GDPR’da ise benzer şekilde işleme amaç ve yöntemlerini belirleyen gerçek/tüzel kişi veya kamu otoritesi olarak tanımlanır. Örneğin; bankacılık hizmetlerini yürütmek amacıyla elektronik altyapı kuran ve müşterilerinin verilerini bu altyapı üzerinden işleyen banka, veri sorumlusu konumundadır.
Veri işleyen ise veri sorumlusunun verdiği yetkiye dayanarak, onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Veri işleyen; veri sorumlusunun talimatları doğrultusunda veri işleme faaliyetini yürütür ve çoğu zaman teknik operasyonu (barındırma, yedekleme, bakım, destek, uygulama yönetimi gibi) üstlenir. Örneğin; veri sorumlusu olan bir bankaya muhasebe hizmeti veren bir şirket, bulut depolama sağlayıcısı veya denetim firması, işleme kapsamına göre veri işleyen olarak değerlendirilebilir.
KVKK m.12/2: Birlikte Sorumluluk Ne Anlama Gelir?
KVKK’nın 12. maddesi, kişisel verilerin güvenliğini sağlamak için uygun teknik ve idari tedbirlerin alınmasını zorunlu kılar. Özellikle m.12/2 kapsamında; veri sorumlusu adına veri işleyen aracılığıyla yapılan işlemlerde, hukuka aykırı işleme, hukuka aykırı erişim ve verilerin muhafazası için gerekli önlemlerde veri sorumlusu ile veri işleyen birlikte sorumludur.
Bu nedenle veri sorumlusu; veri işleyenin güvenlik seviyesini “varsayım” ile kabul edemez. Uyum yaklaşımı; sözleşme ile çerçeve çizmek, teknik-idari tedbirleri tanımlamak, denetim hakkını düzenlemek ve ihlal bildirim akışını netleştirmek üzerine kurulmalıdır.
2. Roller, Sorumluluklar ve Örnek Senaryolar
Veri sorumlusu veya veri işleyen olabilmek için öncelikle gerçek veya tüzel kişi olmak gerekir. Tüzel kişiliğe sahip şirketler, vakıflar ve kamu kurum/kuruluşları veri sorumlusu veya veri işleyen olabilir. Ancak bir şirketin insan kaynakları birimi veya bir kamu kurumunun taşra teşkilatı, ayrı bir tüzel kişiliğe sahip olmadığı için bağımsız veri sorumlusu/veri işleyen sayılmaz; bu birimlerin faaliyetleri bağlı bulundukları tüzel kişilik adına yürütülür.
Aynı Yapı Hem Veri Sorumlusu Hem Veri İşleyen Olabilir mi?
Evet. Bir kurum, kendi çalışanlarına ilişkin veri işleme faaliyetlerinde veri sorumlusu iken; müşterilerine/hizmet verdiği yükümlülerine ilişkin yürüttüğü veri işleme faaliyetlerinde (ör. muhasebe hizmeti kapsamında), kapsam ve talimatlara göre veri işleyen konumunda olabilir. Bu ayrım, süreç bazlı yapılmalı ve sözleşmelerde netleştirilmelidir.
Uygulama Örneği: Bulut Depolama Senaryosu
Bir şirketin çalışan verilerini saklamak amacıyla bulut depolama hizmeti satın alması halinde; hizmeti alan şirket veri sorumlusu, bulut depolama hizmetini sunan şirket ise veri işleyen olarak değerlendirilir. Hangi çalışanların verilerinin toplanacağı, hangi amaçla kullanılacağı ve ne kadar süre saklanacağına veri sorumlusu karar verir. Buna karşılık veri güvenliği için uygulanacak teknik önlemler (şifreleme, erişim kontrolü, loglama, yedekleme vb.) sözleşme ile veri işleyene bırakılabilir; ancak sorumluluk paylaşımı m.12 çerçevesinde ortadan kalkmaz.
| Konu | Veri Sorumlusu | Veri İşleyen |
|---|---|---|
| İşleme amacı ve hukuki sebep | Belirler ve dokümante eder | Talimatlara uygun yürütür |
| Veri kategorileri / kişi grupları | Tanımlar, envanterle uyumlu hale getirir | Aktarılan kapsamla sınırlı işler |
| Teknik ve idari tedbirler | Asgari beklentiyi tanımlar, denetler | Uygular, kayıt altına alır, raporlar |
| Alt yüklenici (sub-processor) kullanımı | Onay mekanizması kurar | Onay olmadan devredemez / bildirim yapar |
| Veri ihlali bildirimi | İlgili kişi ve Kuruma bildirim yükümlülüğünü yürütür | İhlali derhal veri sorumlusuna bildirir |
| Saklama, silme, yok etme, anonimleştirme | Politika/süre belirler | Sözleşme kapsamına göre uygular ve kanıt üretir |
3. KVKK m.12 Kapsamında Riskler ve Veri İhlali Yönetimi
Kişisel verilerin veri işleyen aracılığıyla işlendiği senaryolarda risk; yalnızca “dış saldırı” değildir. Hatalı yetkilendirme, yetersiz loglama, şifreleme eksikliği, yama yönetimi zafiyeti, alt yüklenici kontrolsüzlüğü ve personel farkındalığı gibi başlıklar, veri güvenliğini doğrudan etkiler.
KVKK m.12/5: Veri İhlali Bildirimi Neden Sözleşmeye Yazılmalı?
KVKK m.12/5 kapsamında; işlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından ele geçirilmesi halinde veri sorumlusu, durumu en kısa sürede ilgili kişiye ve Kişisel Verileri Koruma Kurumuna bildirmekle yükümlüdür. Bu yükümlülüğün zamanında yerine getirilebilmesi için veri işleyenin, olası ihlali derhal veri sorumlusuna bildirmesi gerekir.
Bu nedenle kişisel veri işleme sözleşmesinde; ihlal tespit süresi, bildirim kanalı, ön analiz formatı, ilk 24 saat içindeki aksiyonlar, log/kanıt paylaşımı ve olay müdahale koordinasyonu açıkça yazılmalıdır.
Riskin Yönetilebilir Olması İçin Asgari Gereklilikler
- İşleme kapsamının netliği: Aktarılan veri kategorileri ve kişi gruplarının sözleşmede açık yazılması,
- Güvenlik tedbir seti: Erişim kontrolü, MFA, şifreleme, yedekleme, loglama, zafiyet yönetimi gibi tedbirlerin ölçülebilir tanımı,
- İzlenebilirlik: Log saklama süreleri, denetim izleri, raporlama ve alarm mekanizmaları,
- İmha süreçleri: Silme/yok etme/anonimleştirme yöntemleri ve kanıt üretimi (tutanak/rapor),
- Alt yüklenici kontrolü: Ön onay ve bildirim mekanizması,
- Sır saklama yükümlülüğü: Süresiz sır saklama hükmünün açık düzenlenmesi.
4. Veri İşleyen Denetimi ve Uyum Mekanizması
Veri sorumlusu, KVKK gereğince kendi kurumunda KVKK hükümlerinin uygulanmasını sağlamak için gerekli kontrolleri yapmak veya yaptırmakla yükümlüdür. Kişisel veriler veri işleyen aracılığıyla işleniyorsa, veri sorumlusu ayrıca veri işleyenin uyum seviyesini denetlemeli veya yetkilendirdiği üçüncü taraf denetçilere denetletmelidir.
Denetim Kapsamı Nasıl Kurgulanır?
Denetim; veri işleyenin kişisel verileri işlediği yöntemleri, KVKK ve ilgili ikincil düzenlemeler gereğince gereken teknik ve idari tedbirlerin uygulanıp uygulanmadığını, dokümantasyonun yeterliliğini ve olay yönetimini kapsar. Denetimler; uzaktan doküman incelemesi ile başlayıp, ihtiyaç halinde yerinde tetkik ve örneklem kontrollerine kadar genişletilebilir.
- Politika ve prosedürler: Erişim yönetimi, yedekleme, zafiyet yönetimi, olay müdahale planı,
- Teknik kontroller: Şifreleme, MFA, log yönetimi, segmentasyon, yetki matrisi,
- SLA ve süreklilik: RTO/RPO hedefleri, felaket kurtarma kapasitesi, 7/24 müdahale süreçleri,
- Alt yükleniciler: Sub-processor listesi, sözleşmesel akış, veri aktarım riskleri,
- Kanıt ve raporlama: Denetim izi, kayıtlar, düzenli raporlar ve iyileştirme planları.
Denetim sonucunda uygunsuzluk tespiti halinde veri işleyen; gerekli teknik/idari önlemleri belirlenen sürelerde tamamlamalı, uyumluluğu sağlamalı ve veri sorumlusuna yazılı bilgilendirme yapmalıdır. Denetim mekanizması, sözleşmede “hak” olarak değil; uygunluk yükümlülüğü olarak kurgulanmalıdır.
5. Kişisel Veri İşleme Sözleşmesi: Kontrol Listesi
Veri sorumlusu ile veri işleyen arasındaki ilişkinin yazılı bir kişisel veri işleme sözleşmesi ile düzenlenmesi; KVKK m.12 kapsamındaki sorumlulukların yönetilebilir hale gelmesi için kritik bir gerekliliktir. Sözleşmenin, veri sorumlusunun Kişisel Veri Saklama ve İmha Politikası ve Kişisel Veri İşleme Envanteri ile uyumlu olması beklenir.
Asgari Maddeler
- İşleme amacı, kapsamı ve süresi (hangi süreç, hangi veri, hangi kişi grubu),
- Talimatlara bağlılık (veri işleyenin yalnızca veri sorumlusu talimatlarıyla işlem yapması),
- Teknik ve idari tedbirler (ölçülebilir ve denetlenebilir şekilde),
- Alt yüklenici kullanımı (ön onay, bildirim, sorumluluk zinciri),
- Gizlilik ve sır saklama (süresiz sır saklama hükmü dahil),
- Veri ihlali bildirimi (derhal bildirim, kanıt paylaşımı, koordinasyon),
- Yedekleme, saklama ve imha (silme/yok etme/anonimleştirme yöntemleri ve kanıt),
- Denetim hakkı (uzaktan/yerinde, raporlama, iyileştirme süreleri),
- Sözleşme bitişinde iade/imha (veri iadesi veya imhası ve teyit raporu),
- Sorumluluk ve yaptırımlar (uygunsuzlukta uygulanacak aksiyonlar/SLA).
Pratik Kontrol Soruları
- Veri işleyen, işlenen veri kategorilerini ve türlerini sözleşmede açık şekilde kabul ediyor mu?
- MFA, loglama, şifreleme, yedekleme ve zafiyet yönetimi gibi kontrollerin asgari seviyesi tanımlandı mı?
- Denetim raporu formatı, periyodu ve aksiyon kapatma süreleri belirlendi mi?
- İhlal bildiriminde “derhal” ifadesi operasyonel olarak saat cinsinden netleştirildi mi?
- Alt yükleniciler için onay ve liste güncelleme mekanizması kuruldu mu?
6. Sık Sorulan Sorular (SSS)
Veri sorumlusu ile veri işleyen arasındaki farkın en net göstergesi nedir?
En net ayrım; işleme amacını ve vasıtalarını kimin belirlediği sorusudur. Amaç ve yöntemleri belirleyen taraf veri sorumlusu, onun talimatlarıyla teknik/operasyonel işi yürüten taraf veri işleyendir.
İK birimi veri sorumlusu sayılır mı?
Hayır. İK birimi ayrı bir tüzel kişilik olmadığı için veri sorumlusu sayılmaz. İK süreçlerinde veri sorumlusu, bağlı bulunduğu şirketin tüzel kişiliğidir.
KVKK m.12’de “birlikte sorumluluk” neyi ifade eder?
Veri güvenliğine ilişkin teknik ve idari tedbirlerin alınmasında, veri sorumlusu adına veri işleyen kullanılsa bile, sorumluluğun ortadan kalkmadığını ifade eder. Bu nedenle sözleşme ve denetim mekanizması zorunlu hale gelir.
Veri işleyen, veri ihlalini ne kadar sürede bildirmelidir?
Uygulamada “derhal” yaklaşımı esas alınır ve sözleşmede operasyonel olarak saat bazlı netleştirilmesi önerilir. Böylece veri sorumlusu, ilgili kişiye ve Kuruma bildirim yükümlülüğünü zamanında yönetebilir.
Denetim hakkı sözleşmede nasıl düzenlenmeli?
Denetim periyodu, kapsamı (doküman inceleme/uzaktan kontrol/yerinde tetkik), raporlama formatı ve uygunsuzluk kapatma süreleri ölçülebilir şekilde yazılmalıdır. Veri işleyen, gerekli bilgi ve belgeleri sağlama yükümlülüğünü açıkça kabul etmelidir.
Türkiye genelinde çok şubeli yapılarda veri işleyen seçiminde nelere bakılmalı?
SLA, 7/24 destek, yerinde müdahale kapasitesi, veri merkezi lokasyonu, yedeklilik, log erişimi ve alt yüklenici yönetimi gibi kriterler, hem operasyonel süreklilik hem de KVKK m.12 kapsamında risk yönetimi için belirleyicidir.
