Veri işleyen kavramı KVKK madde 3/1/ğ bendinde, ‘’Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi’’ şeklinde tanımlanmıştır.
Tanım incelendiğinde burada veri işleyen, GDPR tanımına benzer şekilde veri sorumlusunun verdiği yetkiye dayanarak ve veri sorumlusu adına verileri işleyen kişi olarak ifade edilmektedir. Yani veri sorumlusu, kişisel verilerin işlenmesine ilişkin her türlü karar verme yetki ve sorumluluğuna sahip olan kişi iken; veri işleyen veri sorumlusunun verdiği talimatlar doğrultusunda hareket eden ancak veri sorumlusundan bağımsız bir gerçek veya tüzel kişi olmaktadır[1]. Bu anlamda veri işleyen, veri sorumlusundan hukuki olarak bağımsız olmalı ve kişisel veriler veri sorumlusu adına ve talimatları doğrultusunda işlenmelidir[2]. Buradaki bağımsızlığın hukuki bağımsızlık olduğunun altını çizmek gerekir. Örneğin holding şirketi bünyesindeki şirketler birbirine bağlı olmalarına rağmen her birinin ayrı tüzel kişiliği bulunduğundan ayrı ayrı veri sorumlusu olabilmektedirler.
Her ne kadar KVKK madde 3 gerekçesinde, ‘’veri işleyenin kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen çalışanlar olabileceği gibi, veri sorumlusunun hizmet satın almak suretiyle belirlediği ayrı bir gerçek veya tüzel kişi de olabileceği’’ belirtilmiş olsa da buradaki açıklama Kurulun rehberleri ve uygulamasıyla çelişmektedir. Kurul’un karar ve rehberlerinde çalışanların veri işleyen konumunda olmayacağı birçok kez ifade edilmiştir.
GDPR kapsamında veri işleyene yönelik yapılan düzenlemeler ve KVKK kapsamındaki veri işleyen düzenlemeleri karşılaştırıldığında, KVKK düzenlemesi veri işleyen bakımından oldukça eksik kalmıştır. GDPR kapsamında veri işleyene yönelik madde 28 vd. kapsamlı düzenlemeler yapılmış ve veri işleyen ile veri sorumlusu ilişkisinin sınırları belirlenmeye çalışılmıştır. KVKK kapsamında ise m.3 veri işleyenin tanımı ve veri güvenliği yükümlülüklerine ilişkin olan m.12 haricinde veri işleyenden bahsedilmemiştir. Kanaatimizce kanunda yapılacak değişiklikler ile veri işleyenin de GDPR’ye benzer şekilde ayrı bir başlık altında düzenlenerek çağın gereklerine uygun hale getirilmesi gerekmektedir.
Kanunun veri işleyenin seçimi, veri işleyen ile veri sorumlusu arasındaki ilişki ve aralarındaki sözleşmeye ilişkin hiçbir hüküm içermemesi önemli bir eksiklik olmakla birlikte Kurul yayınladığı rehberde[3] veri işleyeni, ‘’kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişi’’ şeklinde tanımlamıştır. Ayrıca aynı rehberde veri sorumlusunun veri işleyen ile yapacağı kişisel veri işleme sözleşmesi ile bazı huşularda karar verme yetkisinin veri işleyene bırakabileceği belirtilmiştir. Buradan hareketle her ne kadar kanun kapsamında bir sözleşmeden bahsedilmese de Kurum bu yönde bir sözleşmenin varlığını aramaktadır. EDPB 7/2020 numaralı görüşünde, veri işleyen ile veri sorumlusu arasında düzenlenecek olan sözleşmenin şeffaflığın sağlanması, hesap verilebilirliğin ispatı ve kesinlik sağlaması bakımından yazılı olarak yapılmasını tavsiye etmektedir[4]. Kanaatimizce de bu sözleşmelerin yazılı olarak yapılması uygulama bakımından daha uygun olacaktır.
Bir görüşe göre [5] KVKK’daki mevcut düzenleme reaktif, yani zarar meydana geldikten sonra veri sorumlusu ile veri işleyenin müşterek sorumluluğunu kaleme alan bir yaklaşım sergilemektedir. Bu sebeple de hem uluslararası eğilimlere, hem de teknolojik gelişmelere uzak kalmaktadır. Katıldığımız görüşüne göre KVKK’nın veri işleyen konusunda sessiz kaldığı yerlerde mehaz düzenleme olan 95/46 sayılı Direktift’eki benzer hükümler göz önüne alındığında uluslararası hukuk bağlamında GDPR hükümlerinin uygulanması yerinde olacaktır. Veri işleyen konusundaki kanunumuzdaki bu eksiklikler kurul kararları ve kurulun rehber nitelikli yayınları ile giderilmekte ve geliştirilmektedir.
Ne var ki GDPR ve KVKK kapsamında yapılan tanımlama ve düzenlemeler somut olaylarda veri sorumlusu ve veri işleyeni birbirinden ayırmaya yeterli olmamakta ve veri işleyen – veri sorumlusu ayrımının yapılması da her zaman kolay olmamaktadır.
Örneğin, bir firmanın işten ayrılan çalışanlarından birinin firmanın müşteri listesini çaldığı ve buna karşılık firma sahibinin listeyi nasıl geri alabileceği ile ilgili bir avukata başvurmuş olduğu bir olayda; firma sahibinin eski çalışanıyla ilgili kişisel verileri avukata teslim etmesiyle, avukatın da veri sorumlusu statüsüne sahip olduğu kabul edilmektedir. Bu durumda avukatın firma sahibinin adına işlem yapıyor olması bunu değiştirmemektedir. Zira avukat elde edilen kişisel verilerin nasıl işleneceğini artık kendisi belirleyecektir. Dolayısıyla, sağlanan kişisel veriler bakımından hem firma sahibi hem de avukat veri sorumlusu statüsündedir. Bu anlamda her birinin uyması gereken kendi yükümlülükleri bulunmaktadır[6].
Bu örnekte avukat, müvekkili adına ve müvekkilin verdiği yetki ile veri işlemektedir. Veri işleyen tanımına baktığımızda bu olayda avukatın veri işleyen tanımındaki tüm unsurları sağladığı düşünülebilir. Avukat her ne kadar veri işleyen tanımındaki gibi verileri müvekkil firma adına işlese dahi veriler kendisine geldikten sonra kendi yöntem ve amacına göre işleyecektir. Bu aşamada müvekkil, avukatın veri işlemesinin amaç ve yöntemini belirlemede etkili değildir. Bu nedenle avukat burada veri işleyen konumunda değil veri sorumlusu konumunda kabul edilmektedir. Burada avukatlar Kişisel Verileri Koruma Kurulu tarafından veri sorumlusu kabul edilirken muhasebeciler ise müşterilerinin verileri bakımından veri işleyen olarak kabul edilmiştir. Kişisel Verileri Koruma Kurulu kendi rehberinde ve yayınında[7] muhasebe şirketini kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından ise veri işleyen olarak kabul etmiştir. Bu konuda doktrindeki bir görüşe[8] göre muhasebeciler de avukatlar, mali müşavirler, noterler gibi meslekleri ile ilgili sıkı kurallara ve mevzuata tabidirler. Bu kişilerin mesleki yükümlülükleri verileri ne şekilde işlemeleri gerektiği konusunda yetki ve sorumluluğu kendilerine yüklemektedir ve bu nedenle bu kişilerin de mesleki sorumlulukları gereği veri sorumlusu olarak kabul edilmeleri gerekmektedir. Bu konuda Article 29 Working Party’nin değerlendirmesinde, muhasebecinin işleme faaliyetine bakılarak sorumluluğun değerlendirilmesi gerektiği belirtilmiştir. Grubun konuya ilişkin verdiği örnekte, bir muhasebecinin genel olarak kamuya ve küçük işletmelere genel talimatlar özelinde bir hizmet verdiğinde burada muhasebecinin veri sorumlusu olacağı ifade edilmiştir. Bu değerlendirmenin ardından örneğin devamında ise muhasebecinin şirket içerisinde (in-house) çalıştırılması ve ayrıntılı talimatlara tabi olması halinde bu durumda muhasebecinin veri işleyen konumunda olacağını ancak yine de muhasebecilerin mesleki yükümlülükleri gereği bağımsız bir veri sorumlusu olarak tespit ettikleri yanlış uygulamaları rapor etmeleri gerektiği ifade edilmiştir[9].
Görüldüğü üzere veri sorumlusu ve veri işleyen kavramlarını uygulamada birbirinden ayırmak her zaman kolay değildir, tam tersi oldukça zordur. Veri sorumlusu ve veri işleyeninin sorumluluğu ve sahip olduğu yükümlülükler farklılık arz ettiğinden bu ayrımın yapılabilmesi oldukça önemlidir.
[1] Murat Volkan Dülger, Kişisel Verilerin Korunması Hukuku, 3.bs, İstanbul, Hukuk Akademisi Yayın Evi, 2020, s.208
[2] Mesut Serdar Çekin, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kanun Çerçevesinde Kişisel Verilerin Korunması Hukuku, bs.3, İstanbul, On İki Levha Yayıncılık, 2020, s.65
[3] Kişisel Verileri Koruma Kurulu, Veri Sorumlusu ve Veri İşleyen s. 1
[4] Guidelines 07/2020 on the concepts of controller and processor in the GDPR, parag. 171
[5] Mesut Serdar Çekin, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kanun Çerçevesinde Kişisel Verilerin Korunması Hukuku, bs.3, İstanbul, On İki Levha Yayıncılık, 2020, s.64
[6] Kişisel Verileri Koruma Kurulu, Veri Sorumlusu ve Veri İşleyen s. 8
[7] Kişisel Verileri Koruma Kurumu, Örneklerle Kişisel Verilerin Korunması, s.61; Kişisel Verileri Koruma Kurulu, Veri Sorumlusu ve Veri İşleyen s. 2, Kişisel Verilerin Korunmasına ilişkin Uygulama Rehberi s.56
[8] Murat Volkan Dülger, Kişisel Verilerin Korunması Hukuku, 3.bs, İstanbul, Hukuk Akademisi Yayın Evi, 2020, s.191 Aynı yönde görüş için bkz. Guide to General Data Protection Regulation; Opinion 1/2010 on the concepts of ‘’controller’’ and ‘’processor’’, s.28-29
[9] Article 29 Working Party, Opinion 1/2010 on the Concepts of Controller and Processor, example:23