Kişisel Verileri Koruma Kanununa (“Kanun”) göre veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir.
Bu çerçevede, kişisel verilerin işlenmesine ilişkin;
kararları alma,
işleme faaliyetinin amacı,
bu faaliyetin ne zaman başlayacağı kimler tarafından gerçekleştirileceği ve
benzeri hususlarda karar verme yetkisi
veri sorumlusuna aittir.
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen veri sorumlusu, veri işleme faaliyetinin temel araçlarını ve amaçlarını; veri işlemenin “neden” ve “nasıl” olacağını belirlemektedir.
Diğer bir deyişle;
teknik ve organizasyona ait araçların belirlenmesi,
veriye kimin erişeceği,
hangi verilerin işleneceği,
bu verilerin ne kadar süre tutulacağı,
ne şekilde saklanacağı gibi
veri işlemeye ilişkin temel unsurlar veri sorumlusu tarafından belirlenmektedir.
Veri sorumlusu;
kişisel verilerin korunmasına yönelik mevzuata uyumla ilgili tedbirlerin alınmasından,
veri işleyeni denetimden ve
ilgili kişilerin haklarını kullanabilmesini sağlamaktan
sorumludur.
Veri sorumlusunun özerk ve bağımsız olması da önem arz etmektedir.
Veri sorumlusu;
kimseden emir ve talimat almayan,
bilakis bir başka kişiye veri işletmesi halinde bu hususta emir ve talimat veren,
veri işleme süreçlerinin her anında serbestçe karar verme yetkisine sahip olan
gerçek veya tüzel kişilerdir.
Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdikleri faaliyetler kapsamında bizatihi kendileri “veri sorumlusu”dur. Dolayısıyla ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri arasında bir farklılık yoktur.
Şirket bünyesinde yer alan birimlerin tüzel kişiliği bulunmadığından, bu birimler veri sorumlusu olmayacaktır. Ancak şirketler topluluğunu oluşturan her bir şirket tüzel kişiliğe sahip olduğundan, bu şirketlerin her birinin ayrı veri sorumlusu olması mümkündür.
29’uncu Madde Çalışma Grubu’nun veri sorumlusu ve veri işleyene yönelik yayınlamış olduğu 1/2010 sayılı tavsiye kararı uyarınca da veri sorumlusunun belirlenmesine yönelik çeşitli kriterler getirilmiştir. Benzer şekilde, Avrupa Veri Koruma Denetmeni tarafından 7 Kasım 2019 tarihli “2018/1725 Numaralı Tüzük Kapsamında Veri Sorumlusu, Veri İşleyen ve Müşterek Veri Sorumlusu Kılavuzu” yayımlanmıştır. Bu kılavuz, 29’uncu Madde Çalışma Grubu tavsiye kararı ile de örtüşmektedir. İlgili düzenlemelerde de Kanunla benzer veri sorumlusu tanımı yapılarak veri sorumlusu kavramı irdelenmiştir. Sayılan ulusal ve Avrupa Birliğinde mevcut tüm düzenlemelerin değerlendirilmesi ışığında, veri sorumlusunun tespiti için aşağıdaki hususlara kimin karar verdiği belirleyici olmakta, bu kapsamda söz konusu kriterlerin çoğunu gerçekleştirenler, veri sorumlusu olarak değerlendirilmektedir.
Kişisel verilerin toplanması ve toplama yöntemi,
Toplanacak kişisel veri türleri,
Hangi bireylerin kişisel verilerinin toplanacağı,
Kişisel verinin işlenmesine ve kimin işleyeceğine karar verme,
İşleme faaliyetinin temel unsurlarına karar verme (hangi kişisel verilerin toplanacağı, toplanan verilerin hangi amaçlarla kullanılacağı ve ne şekilde işleneceği, verilerin ne kadar süreyle saklanacağı, veri saklama politikasının ne şekilde olacağı, verilere kimlerin erişme yetkisi olacağı, alıcıların kim olacağı gibi hususlar işlemenin temel unsurlarına örnek olarak gösterilebilir)
Toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı,
Kişisel verilerin işlenmesinde üst düzeyde, herhangi bir emir ve talimat almadan karar verebilme,
İlgili kişilerle doğrudan muhatap olma,
Kendi adına veri işleme faaliyetini yürütecek bir veri işleyen atama,
İşleme faaliyetinden menfaat sağlama.
Kanunun muhtelif hükümlerinde veri sorumlusuna birtakım yükümlülükler getirilmiştir. Bu yükümlülükler başlıca “aydınlatma yükümlülüğü, veri güvenliğine ilişkin yükümlülükler, ilgili kişiler tarafından yapılan başvuruların cevaplanması ve Kişisel Verileri Koruma Kurulunun (Kurul) kararlarının yerine getirilmesi yükümlülüğü, veri sorumluları siciline kaydolma yükümlülüğü” olarak sayılabilir. Kanun koyucu kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi talep etme hakkı tanımakta ve bu hususları, veri sorumlusunun aydınlatma yükümlülüğü kapsamında ele almaktadır. Buna göre veri sorumlusu, Kanunun 10 uncu maddesi çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla aşağıdaki bilgileri ilgili kişiye sağlamakla yükümlüdür:
Veri sorumlusunun ve varsa temsilcisinin kimliği,
Kişisel verilerin hangi amaçla işleneceği,
Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
Kişisel veri toplamanın yöntemi ve hukuki sebebi,
11 inci maddede sayılan diğer hakları.
Veri Sorumluları Siciline kayıt yükümlülüğünün bulunması durumunda aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgiler, Sicile açıklanan bilgilerle uyumlu olmalıdır. Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin onayına tabi değildir. Tek taraflı bir beyanla aydınlatma yükümlülüğü yerine getirilebilir. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı ise veri sorumlusuna aittir. Ayrıca belirtmek gerekir ki, Kanunun 10 uncu maddesinde yer alan aydınlatma yükümlülüğü “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” (Aydınlatma Tebliği) hükümlerine uygun olarak yerine getirilmelidir. Her ne kadar aydınlatma yükümlülüğü veri sorumlusuna ait olsa da veri işleyene verdiği talimatlar doğrultusunda veri işleyen tarafından da aydınlatma yükümlülüğünün yerine getirilebileceği değerlendirilmektedir. Nitekim, Kanunun 10 uncu maddesinde “kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi aracılığıyla” denilmek suretiyle veri sorumlusuna aydınlatma yükümlülüğü konusunda iki seçenek tanınmıştır. Diğer bir deyişle, aydınlatma yükümlülüğünün bizzat veri sorumlusu tarafından mı yoksa yetkilendireceği kişi tarafından mı yerine getirileceği konusunda Kanun, veri sorumlusuna seçim hakkı tanımıştır.
Sonuç olarak; Kanunun 10 uncu maddesinde düzenlenen “aydınlatma yükümlülüğü” bizzat veri sorumlusu tarafından veya veri sorumlusunun yetkilendirdiği bir kişi tarafından yerine getirilebilir. Veri sorumlusu tarafından yetkilendirilen kişi de veri işleyen olabilir.
Bir firmanın işten ayrılan çalışanlarından birinin firmanın müşteri listesini çaldığı ve buna karşılık firma sahibinin listeyi nasıl geri alabileceği ile ilgili bir avukata başvurmuş olduğu bir örnekte; firma sahibinin eski çalışanıyla ilgili kişisel verileri avukata teslim etmesiyle, avukat da veri sorumlusu statüsüne sahip olur. Bu durumda avukatın firma adına işlem yapıyor olması bunu değiştirmez. Zira avukat elde edilen kişisel verilerin nasıl işleneceğini kendisi belirleyecektir. Dolayısıyla, sağlanan kişisel veriler bakımından hem firma hem de avukat veri sorumlusu statüsündedir. Bu anlamda her birinin uyması gereken kendi yükümlülükleri bulunmaktadır (örneğin; ilgili kişinin kişisel veriye erişim talebinin yerine getirilmesi bakımından ikisi de ayrı ayrı sorumludur).
Mali müşavirler, müşterilerinin hesaplarıyla ilgili kayıtları tutarken bu kayıtlardaki kişisel verilerin işlenmesi bakımından veri sorumlusudurlar. Zira mali müşavir işledikleri kişisel verilerle ilgili sorumluluk almasını zorunlu kılan yasal yükümlülükleri bulunmaktadır. Örneğin, bir şirketin hesaplarıyla ilgili kayıtları tutarken herhangi bir yolsuzluğa rastlamaları durumunda mali müşavirlerin adli ve idari birimler veya diğer yetkili kurumlara bildirimde bulunma zorunluluğu bulunmaktadır. Bildirimi yaparken müşterisinin talimatları doğrultusunda hareket etmiyor olacağı açıktır. Dolayısıyla bunun gibi uzman hizmet sağlayıcıları, kendi mesleki yasal yükümlülüklerine tabi oldukları sürece veri sorumlusu statüsünde bulunacaklardır ve veri sorumlusu olmaktan kaynaklanan yükümlülüklerini anlaşmayla müşteriye kısmen veya tamamen bırakmaları mümkün olmayacaktır.
Bir ilaç firması ile yaptığı sözleşme uyarınca, bir araştırma şirketi, ilaç firması için “çalışan memnuniyet anketi” düzenlemeyi üstlenmiştir. Firma, anket yapılacak çalışan listesinin belirlenmesini, anket metodunun seçimini ve anket sonuçlarının sunumunu araştırma şirketine bırakmıştır. Bu durumda araştırma şirketi, her ne kadar firma adına anketi yapıyor ve kişisel verileri işliyor olsa da ilaç firması ile birlikte veri sorumlusu statüsündedir. Zira hangi çalışanlarla anket yapılacağı, hangi verilerin toplanacağı vb. konularda karar verme yetkisine sahip olan araştırma şirketidir.
Bir kargo firması, bir banka ile müşterilerin kredi kartlarını ilgilisine ulaştırma hizmetini vermek üzere bir sözleşme yapmıştır. Kargo firması gönderenin adı, soyadı, alıcının adresi gibi sevkiyatı yönetmek için elde ettiği veriler bakımından veri sorumlusudur. Ancak, kargo firması her ne kadar kredi kartlarını fiziksel olarak elinde bulundursa da, söz konusu kredi kartı ile ilgili bilgilere ulaşması mümkün değildir. Bu durumda, dağıtım hizmeti sunucusu olarak hizmet veren kargo firması ne veri sorumlusu, ne de veri işleyen statüsündedir. Dolayısıyla, yalnızca taşıdığı fiziksel eşyanın güvenliğini sağlamakla yükümlü olup, kişisel verilerin işlenmesiyle ilgili uyması gereken herhangi bir yükümlülük yoktur.
İnternet üzerinden satış gerçekleştiren bir kişinin bir ödeme hizmeti şirketi ile anlaşması suretiyle müşterilerinin verilerinin işlenmesi durumda; ödeme hizmeti şirketi, satıcının veri işleyeni değildir. Bu verilerin işlenmesi bakımından veri sorumlusu statüsündedir. Zira ödeme hizmeti şirketi; (1) Ödemelerin doğru yapılabilmesi için müşterilerden hangi verilerin toplanması gerektiğine karar vermektedir. (2) Toplanan verilerin hangi amaçla kullanılacağı konusunda kontrol sahibidir. (3) Satıcıdan bağımsız olarak doğrudan kişisel verileri işlenen müşterilere uyguladığı kendi hüküm ve şartları bulunmaktadır. (4) Satıcıdan bağımsız olarak tabi olduğu hukuki yükümlülükler bulunmaktadır. Örneğin; kredi kartı bilgilerinin silinmesi.