Lexpera Blog

KVKK Uyum Sorunsalı: “Veri Sorumlusu ve Veri İşleyen Kavramlarını İyi Anlamak”

Bu başlığı atarken çok zorlanmadım zira veri sorumlusu ve veri işleyen kavramlarının halen tartışmaya açık alanlar olduğunu görüyorum. Amaç şirketlerin uyum çalışmalarının mevzuata uygun gerçekleşmesi yanında gerçekçi olması, Türkiye’de mevcut şirketlerin varlığını devam ettirebilmesi için doğru tanımlar ve uygulanabilir yöntemlerin belirlenmesi ve diğer yasal düzenlemeler doğrultusunda konuya tartışmasız açıklık getirmek olmalıdır. Veri Koruma Otoritelerinin de cezalandırma temel prensibinin yanında veri sorumlularına etkin bir uyum birlikteliği sağlama görevi de bulunmaktadır.

Tanımlar

A.1. 108 + Sayılı Kişisel Verilerin İşlenmesine Karşı Bireylerin Korunmasına İlişkin Modern Sözleşmede Veri Sorumlusu (Kontrolör) ve Veri İşleyen (İşlemci) Kavramları

Danimarka’da 17-18 Mayıs 2018 tarihinde imzalanan 108+ sayılı Modern Sözleşme, daha önce imzalanan 108 sayılı sözleşmenin revizesi sonucu ortaya çıkmıştır. Revize daha çok bilimsel ve teknolojik değişimler ışığında, GDPR’a (Genel Veri Koruma Tüzüğü’ne) uyum amacıyla yapılmış ve son halini almıştır.

Sözleşmenin 2. maddesinde kavramlar tanımlanmıştır. Buna göre; Kontrolör, “tek başına veya başkalarıyla birlikte veri işleme konusunda karar verme gücüne sahip olan gerçek veya tüzel kişi, kamu otoritesi, hizmet, ajans veya herhangi bir diğer organ”, İşlemci, “denetleyici adına kişisel verileri işleyen gerçek veya tüzel kişi, kamu otoritesi, hizmet, ajans veya başka herhangi bir kuruluş” olarak tanımlanmıştır.

A.2. Genel Veri Koruma Tüzüğü’nde (GDPR) Veri Sorumlusu (Kontrolör) ve Veri İşleyen (İşlemci) Kavramı

Genel Veri Koruma Tüzüğü’nde, Kontrolör, “kişisel verilerin işlenmesinin amaçlarını ve araçlarını tek başına veya başkalarıyla birlikte belirleyen gerçek veya tüzel kişi, kamu otoritesi, ajans veya diğer organ”, İşlemci, “kişisel verileri denetleyici adına işleyen gerçek veya tüzel kişi, kamu otoritesi, ajans veya başka bir organ” olarak tanımlanmıştır. (GDPR m.4)

Bu tanıma göre bir örnek vermek gerekir ise, örneğin bir banka, müşterisine bir hesap açtığında verisini işler ve burada veri sorumlusudur ancak verinin dijitalleştirilmesi ve bir sistemde saklanması faaliyetini dışarıdan hizmet aldığı bir kuruluş vasıtası ile gerçekleştirir ise bu kuruluş veri işlemcisidir. Peki bu iki sıfat bir gerçek ya da tüzel kişide birleştiğinde nasıl bir tanım yapılacaktır. Veri kontrolörü de veri işlemcisi de veri kontrolüdür mü denilecektir?

A.3 KVKK’ya göre Veri Sorumlusu ve Veri İşleyen Kavramı

KVKK’da, Veri Sorumlusu, “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi”, Veri İşleyen, “Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlanmıştır.

Kişisel Verilerin Korunması Kurumu, veri işleyenin, veri sorumlusunun bünyesi dışında, onun organizasyon sahası dışında bir gerçek kişi veya tüzel kişi olduğunu ifade etmiştir.

A. Veri İşleyenin Hukuki Statüsü

Veri işleyenin hukuki statüsü nedir? Bu kavramı Türkiye’nin mevcut yasal düzenlemeleri gereği doğru değerlendirmek gerekecektir. Her ne kadar veri işleyenin, veri sorumlusunun bünyesinde ve onun organizasyon sahasında olmayan bir kişi olacağı ifadesi kullanılıyor ise de veri sorumlusunun bünyesinde çalışanlar da veri sorumlusunun adına veri işleme faaliyetini yürütmektedir. “Veri sorumlusunun adına” kavramından anlaşılması gerekenin kanuni düzenlemenin dışında bir yerde aranması doğru değildir. Bu nedenle özellikle Hizmet Sözleşmesi ve Vekalet Sözleşmesinin unsurlarına bakmak ve “Vekil”, “Ticari Vekil”, “Temsilci” kavramlarına değinmek gerekecektir. Borçlar Hukuku ve Sözleşme Hukuku alanında çalışanlar konuyu mutlaka daha derin değerlendireceklerdir ancak genel hukuk bilgileri kapsamında bir değerlendirme yapmak istiyorum.

Hizmet Sözleşmesi tanımına baktığımızda, “Hizmet sözleşmesi, işçinin işverene bağımlı olarak belirli veya belirli olmayan süreyle işgörmeyi ve işverenin de ona zamana veya yapılan işe göre ücret ödemeyi üstlendiği sözleşmedir.” (TBK m. 393) İş sözleşmesi ile hizmet sözleşmesi temel unsurlar açısından birbirinden ayrılmaz sadece tabi oldukları mevzuat açısından birtakım farklılıklar gösterir ancak en temel unsurları, bağımlılık, ücret ve zaman unsurudur. Eser ve Vekalet sözleşmeleri tanımlarında ise hizmet sözleşmesinden ayıran temel ayraç “Bağımlılık” ve “Zaman” kavramlarıdır. Mekan kavramını birlikte değerlendirmememin sebebi, teknolojik gelişmeler ışığında mekan kavramının her üç sözleşmede de işverenin fiziksel mekanından farklı yerlerde gerçekleştirilmesidir. Pandemi döneminde görülmüştür ki işyerinde olmayan işçi, evden çalışma ortamında tamamen bağımlı olmayan bir biçimde iş faaliyetini yürütmektedir.

Sözleşmelerin tanımlarına baktığımızda görülmektedir ki “Veri İşleyen” kavramını “Veri Sorumlusu” kavramının uzağına atmak ve örneğin işverenden emir talimat almayan Eser Sözleşmesi’nin Müteahhit kavramının içerisine yerleştirmek ya da işin vekil aracılığı ile gerçekleştirildiği ve sadece iş kapsamında sınırlı ve süreli yetkilendirilen Vekalet Sözleşmesi’nde yer alan Vekil aktörü ile açıklamak tam anlamı ile mümkün değildir.

Veri sorumlusunun adına veri işlemek kavramının örneklerine bakıldığında genelde aşağıdaki örneklerle karşılaşılmaktadır:

  • Kuruluşunuzun İK departmanı (denetleyici), korunması ve kullanılması gereken adayların ve çalışanların kişisel verilerini işlemektedir. İK departmanınız bu verileri işleme faaliyetini başka bir şirkete devreder ise bu şirket veri işlemcisidir.

  • Pazarlama ekibiniz potansiyel ve mevcut müşterinin kişisel verilerini işlemektedir. Örneğin, bu verileri kampanyalar için kullanan bir e-posta pazarlama şirketi veya ajansına devrettiğinde e-posta pazarlama şirketi veri işlemcidir.

Türkiye’de şirketler dışarıdan hizmet almakla birlikte, kendi ekibini şirket bünyesinde oluşturmayı tercih etmekte ve maliyetlerden kurtulmaktadır. Yukarıda yer alan örnekler dışında şirketlerde ücret dışında prim usulü çalışan çalışanların da olduğu düşünüldüğünde bir çalışanın kendi çıkarları için de sözleşme yaptığı ve veri işlediği düşünüldüğünde veri sorumlusu mu veri işleyen kavramı mı yoksa hala bağlı çalışan kavramı mı gündeme gelmelidir?

İşveren dışarıdan hizmet almak yerine, konusunda uzman departmanlar kurmakta ve bu departmanların da teknik bilgisinden ve uzmanlığından yararlanmaktadır. Bu ilişki de işveren çoğu zaman talimat veren değil, uzman fikirlerin bağımsız olarak şirkette varlığını devam ettirmesine olanak sağlayan konumdadır. Vergilendirme açısından da maliyetler açısından da en kazançlı yöntemlerden biri budur. Veri işleme faaliyeti açısından da departmanları aracılığı ile veri işleme faaliyetini yürüteceği için bu açıdan veri işleme faaliyeti şirketin organizasyon sahası içerisinde kalacaktır. İşveren (veri sorumlusu-kontrolör) hem müşterilerinin hem de çalışanlarının verisini işlemektedir. Bir yandan kendi çıkarları için veri işleme faaliyeti yürütmekte, bir yandan da müşterilerinin çıkarları için veri işleme faaliyetini yürütmektedir. Burada kamu kurum ve kuruluşlarının talepleri doğrultusunda da işlemekten kaçınacağı çoğu veriyi de işlemek yükümlülüğü de devreye girmektedir. O nedenle veri sorumlusu kavramı ile veri işleyen kavramı ülkemizde birlikte vücut bulmaktadır ve çift sıfat taşımak eş zamanlı gerçekleşmektedir. Veri sorumlusu asıl veri işleyen olarak kadrosunda çalışan diğer çalışanları ile birlikte alt veri işleyen faaliyeti de yürütebilir. Kanaatimce, kanuni düzenlemede ve hukuki statü açısından buna bir engel yoktur. Genel kanaat aksi görüşlerden oluşmakta ise de ülkemiz şirketler hukuku, mikro şirketlerin ve kobilerin maliyet yaklaşımı açısından ve bir çok farklı nedenle bu anlayışın uzak olduğunu söylemek mümkün değildir.

Talimat, bağımlılık, zaman ve ücret gibi her unsuru birlikte değerlendirdiğinizde, veri sorumlusu ile veri işleyen arasındaki organizasyonun ne kadar karışık olduğunu algılamak güç olmayacaktır. Örneğin,

  • Veri işlemcisinin, veri sorumlusunun organizasyon sahasının dışında belirlenmesi halinde denetleme mekanizmasının işlemesinin güç olması,
  • Veri işlemcinin dışarıdan tayin edildiğinde sadece tek bir veri sorumlusuna ait veriyi işlemeyeceği düşünüldüğünde kötüye kullanımların artacağı,
  • Temel hak ve hürriyetlerin daha fazla zarar göreceği ve ihlallerin artacağı,
  • Mikro ölçekli şirketlerin ve kobilerin maliyet yükünün artacağı,
  • Veri sorumlusunun bünyesinde veri işleme faaliyeti ile ilgili uzman yetiştirmesinin önünde engel oluşturacağı,
  • Veri sorumlusunun sorumluluk sahasına ölçüsüz müdahale teşkil ettiği ve tazminat hukuku açısından haksızlıklara neden olacağı.

Veri işlemcisinin şirketin dışında bir başka şirket olması ya da gerçek kişi olması yukarıda listelediğim hususlar çerçevesinde kişisel verilerin minimizasyonunun sağlanması, ihlallerin önüne geçilmesi, aktarma gruplarının sınırlandırılması ve hesap verilebilirlik, şeffaflık gibi ilkeler gereği uzaklaşılması gereken bir tanımlamadır.

B. Sonuç Yerine

Veri sorumlusunun ve veri işleyenin mevcut düzenlemelere göre her zaman iki farklı yerde duran aktörler olduğu yanılsamasından uzaklaşarak, aynı anda birlikte aynı çatı altında da bulunacağı ve benzer sorumluluklara sahip olacağı ortadadır. Kavramlar konusunda keskin değerlendirmeler yapmak ve mevcut yasal düzenlemeler ile birlikte değerlendirmemek de sorumluluk hukuku açısından uygulamayı zorlaştırmaktadır. Pratikte veri sorumlusunun işlemesi gereken bir ticari faaliyetinin de olduğunu düşündüğümüzde karmaşık çatı altında ve onu aşırı mali yük altına sokan bir yaklaşımı terk etmek, amaca yönelmek gerekmektedir. Veri işleyenin çalışanlardan oluşması, departmanların sorumluluk altında tutulması, veri sorumlusunun kendi departmanları aracılığı ile veri işleyen sıfatıyla da faaliyetini yürütmesi kanuni düzenlemeye aykırılık teşkil etmeyecektir. Veri işleyenin kendi bünyesinde alt veri işleyenler tayin etmesi yasağı ya da veri işleme faaliyetinin aktörlerinin belli sayı ile sınırlı olması gibi bir tanımlama da yapılmış değildir. Faaliyetlerini yürütmek amacı ile veri sorumlusu, veri işleyen sıfatı ile veri işleme faaliyetini çalışanlarına devrederek yürütebilmelidir. Sorumluluk rejimi açısından bu yaklaşımın benimsenmesi pratikte daha uygundur.


Yararlanılan Kaynaklar

  1. https://gdpr-info.eu/ (Erişim tarihi: 14.05.2020)

  2. What is a data processor and what are the duties of a data processor under the GDPR? https://www.i-scoop.eu/gdpr/data-processor-gdpr/
    (Erişim tarihi: 14.05.2020)

  3. Dario Fumagalli, GDPR, guida pratica alla scelta del responsabile del trattamento, 10.Mag.2019, https://www.cybersecurity360.it/legal/privacy-dati-personali/gdpr-guida-pratica-alla-scelta-del-responsabile-del-trattamento/ (Erişim Tarihi: 14.05.2020)

  4. Akkurt, Sinan Sami, Türk Özel Hukukunda İş Sözleşmesi ile Eser Sözleşmesinden Kaynaklanan Başlıca Yükümlülükler ve Anılan Sözleşmelerden Ayırt Edilmesi, Dokuz Eylül Üniversitesi Hukuk Fakültesi Dergisi Cilt: 10, Sayı 2, 2008, s. 13-64 (Basım Yılı: 2010), https://hukuk.deu.edu.tr/dosyalar/dergiler/dergimiz10-2/akkurt.pdf (Erişim Tarihi: 14.05.2020)

Lexpera Blog’da yayımlanan yazılar, yazarlarının görüşlerini ifade eder. Lexpera Blog’da bir yazıya yer verilmesi, o yazıda savunulan görüşlerin On İki Levha Yayıncılık tarafından benimsendiği anlamına gelmez. Yazılar, bilgi amaçlı olup, hukuki mütalaa ya da tavsiye niteliği taşımamaktadır.