Veri Sorumlusu ve Veri İşleyenin Kanundan Doğan Yükümlülükleri

       7 Nisan 2016 tarihinde Resmi Gazete’de yayınlanan ve günümüz itibariyle yürürlükte olan 6698 sayılı Kişisel Verilerin Korunması Kanunu ile birlikte “Veri Sorumlusu” ve “Veri İşleyen” kavramları hayatımıza girmiş bulunmaktadır.

               6698 sayılı Kanunu’nun 3. Maddesinin ‘ğ’ ve ‘ı’ bendelerine göre;
        “Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,”  ve

           “ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,”
ifade etmektedir.

            Kanunda belirtilen bu tanımlara göre, veri sorumlusu ve veri işleyen gerçek veya tüzel kişilik olabilmektedir. Verilerin işlenmesi hususunda veri sorumlusu karar alma mekanizması yani veri yönetimi sağlayan kişi iken; veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusunun kararlarını uygulayıcı konumundadır. Veri sorumlusu ile veri işleyen müştereken sorumludurlar.

        Veri sorumlusu ile veri işleyen farklı kişiler olabileceği gibi aynı kişi hem veri sorumlusu hem de veri işleyen sıfatına haiz olabilir.

Veri Sorumlusunun Yükümlülükleri Nelerdir?

            Veri Sorumlusunun Kanun’dan doğan yükümlülükleri;

• Verisi işlenecek ilgili kişilerin aydınlatılması yükümlülüğü (madde 10),
• Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yükümlülüğü (Madde 7),
• Kişisel verilerin güvenliğini sağlama yükümlülüğü (Madde 12/1-a,b,c),
• İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, Kişisel Verilerin Korunması Kurulu’na ve kişisel veri sahibine bildirimde bulunma yükümlülüğü (Madde 12/5),
• Veri sorumluları siciline kayıt olma yükümlülüğü (Madde 16),
• Denetim yükümlülüğü (Madde 12/3),
• Sır saklama yükümlülüğü (Madde 12/4),

       Faaliyet gösterdiği alandan kaynaklı olarak, veri sorumlusunun 6698 sayılı Kanun dışında, diğer kanunlardan doğan sorumlulukları da bulunabilmektedir.

Veri İşleyenin Yükümlülükleri Nelerdir?

            Veri işleyenin yükümlülükleri;

• Veri sorumlusunun yetkilendirdiği kişi veri işleyen ise aydınlatma yükümlülüğü (Madde 10)
• Sır saklama yükümlülüğü (Madde 12/4),
• Verilerin toplanma amacına uygun kullanılması yükümlülüğü (Madde 12/4),
• Kişisel verilerin hukuka aykırı olarak işlenmesini önleme, kişisel verilere hukuka aykırı olarak erişilmesini önleme ve kişisel verilerin muhafazasını sağlamak amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğü (Madde 12/1);

      Yukarıda ifade ettiğimiz yükümlülükler dikkate alındığında, veri sorumlusunun yönetimsel, ver işleyenin ise daha çok teknik ve uygulama yönünden yükümlülükleri olduğu ortaya çıkmaktadır. Ancak, hem veri sorumlusu hem de veri işleyen, kişisel verilerin hukuka aykırı olarak işlenmesini, erişilmesini önleme ve kişisel verilerin muhafazasını  sağlama yükümlülüğü altındadır. Bu yükümlülük 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. Maddesi kapsamında müştereken doğmaktadır. Ayrıca, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Kişisel Verilerin İşlenmesinin Şartları” başlıklı 5. Maddesinin 1. Fıkrasında yer alan “Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.” hükmü gereğince hukuka uygun veri elde edebilmek için veri sahibinin açık rızasının alınması gerekmektedir. Bu rızanın, veri sorumlusu tarafından mı yoksa veri işleyen tarafından mı ya da her ikisi tarafından mı alınması gerektiği Kanunda açıkça ifade edilmemiştir. Yukarıda ifade ettiğimiz sorumluluklar ile birlikte 6698 sayılı Kanun’un “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10. Maddesinde yer alan “Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi…”  ibaresindeki yetkilendirilen kişinin veri işleyen olması halinde hem veri sorumlusu hem de veri işleyen tarafından açık rızanın alınabileceği, bu durumun dışındaki seçeneklerde  ise açık rızanın ancak veri sorumlusu tarafından alınması gerektiği  kanaatindeyim. Çünkü Kanun 10. Maddenin başlığında aydınlatma yükümlülüğüne ilişkin sorumluluğu ilk elden veri sorumlusuna vermektedir. Kanunun lafzı dikkate alındığında, veri sahibinin kişisel verileri alınırken veri sorumlusu veya onun yetkilendirdiği bir kişi tarafından veri sahibinin açık rızasının alınması gerektiği aşikârdır. Bu yetkilendirilen kişinin veri işleyen olmak gibi bir zorunluluğu yoktur. Ayrıca 6698 sayılı Kanunun “Kabahatler” başlıklı 18. Maddesinin 1. Fıkrasında sayılan ihlallerin gerçekleşmesi halinde  aynı maddenin 2. fıkrasına göre, öngörülen idari para cezaları veri sorumlusuna uygulanacaktır. 18. maddenin 1. Fıkrasının a bendinde aydınlatma yükümlülüğünün ihlali halinde uygulanacak idari para cezası hükme bağlanmıştır. Bu durumda açık rızanın alınması için gerekli olan aydınlatma yükümlülüğünün ihlali halinde tek sorumlu veri sorumlusu olduğuna göre açık rıza alma yükümlüğü de Kanunen veri sorumlusuna aittir. Kanun, iç işleyişte bu yükümlülüğü  yetkilendirdiği kişiye devretme hakkını da saklı tutmuştur.

          6698 sayılı Kanun’un “Suçlar” başlıklı 17. Maddesinde yer alan ifadelere göre, suçta ve cezada şahsilik ilkesi göz önüne alındığında veri işleyenin de 5237 sayılı Türk Ceza Kanunu’nun 135 ila 140. Maddeleri kapsamında kişisel verilere ilişkin suçlar bakımından cezai sorumluluğu bulunduğunu belirtmemiz gerekmektedir.

   Yukarıda yer verdiğimiz açıklamalar çerçevesinde, veri sahibine karşı veri sorumlusunun veri işleyenin tespiti ve bu tespite göre üstlenilen yükümlülükler büyük önem arz etmektedir. Bu nedenle, hem hukuki hem de teknik yönden destek alınmasında fayda olacağı görüşündeyim.