veri sorumlusu

Veri Sorumlusu ve Veri İşleyen

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyenveri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizzat kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğar. Kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bu konuda bir farklılık bulunmamaktadır.

Bir şirket bünyesinde yer alan birimlerin tüzel kişiliği bulunmadığından, bu birimlerin veri sorumlusu olması mümkün değildir. Bununla birlikte, bir şirketler topluluğunu oluşturan her bir şirket tüzel kişiliğe sahip olduğundan, bu şirketlerin her birinin ayrı veri sorumlusu olması mümkündür.

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler olarak tanımlanmaktadır. Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişidir.

Veri Sorumlusu ve Veri İşleyen Farkı

Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu, hem de veri işleyen olabilir. (Örneğin, bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından ise veri işleyendir)

Veri işleyenin faaliyetleri veri işlemenin daha çok teknik kısımları ile sınırlıdır.

Kişisel verilerin işlenmesine ilişkin kararların alınması yetkisi ise veri sorumlusuna aittir. Veri sorumlusu kişisel verilerin işlenme amacını (neden) ve yöntemini (nasıl) belirleyen kişidir. Veri sorumluları;

  • Kişisel verilerin toplanması ve toplama yöntemi,
  • Toplanacak kişisel veri türleri,
  • Toplanan verilerin hangi amaçlarla kullanılacağı,
  • Hangi bireylerin kişisel verilerinin toplanacağı,
  • Toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı,
  • Verilerin ne kadar süreyle saklanacağı, konularını belirler.

Veri sorumlusu yapacağı kişisel veri işleme sözleşmesi ile aşağıda örnek olarak belirtilen hususlarda (teknik konular) karar verme yetkisini veri işleyene bırakabilir:

  • Kişisel verilerin toplanması için hangi bilgi teknolojileri sistemlerinin veya diğer metotların kullanılacağı,
  • Kişisel verilerin hangi yöntemle saklanacağı,
  • Kişisel verilerin korunması için alınacak güvenlik önlemlerinin detayları,
  • Kişisel verilerin aktarımının hangi yöntemle yapılacağı,
  • Kişisel verilerin saklanmasına ilişkin sürelerin doğru uygulanabilmesi için kullanılacak metot,
  • Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi yöntemleri.

Veri sorumlusu ifadesiyle, bir şirket içerisinde veri işleme faaliyetlerinden sorumlu bir kimse kastedilmemektedir. Veri sorumlusu bizzat tüzel kişiliğin kendisidir. 

Veri sorumlusu ve veri işleyen kavramları hem gerçek hem de tüzel kişiler için geçerlidir. (Örneğin, serbest çalışan bir mali müşavir de, mali müşavirlik firması da, hem veri sorumlusu, hem de veri işleyen olabilir(

Bir şirket bünyesinde yer alan birimlerin tüzel kişiliği bulunmadığından, bu birimlerin veri sorumlusu veya veri işleyen olması mümkün değildir. Bununla birlikte, bir şirketler topluluğunu oluşturan her bir şirket tüzel kişiliğe sahip olduğundan, bu şirketlerin her biri ayrı iki statüde de yer alabilir.

Bir tüzel ya da gerçek kişi, aynı anda hem veri sorumlusu hem de veri işleyen olabilecektir. (Örneğin, bir bulut bilişim hizmeti sunan şirket kendi çalışanlarının verileri bakımından “veri sorumlusu” iken, müşterilerinin verileri bakımından “veri işleyen” sıfatıyla hareket etmektedir)