İçindekiler
Ortak veri sorumlusu kavramı Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (GDPR) 26. maddesinde açıklanmıştır. İlgili hüküm uyarınca iki ya da daha fazla sayıda veri sorumlusunun kişisel veri işleme amaçları ve yöntemlerini ortak bir şekilde belirlediği hallerde bu veri sorumluları ortak veri sorumlusu olarak sayılmaktadır.
Ortak veri sorumluluğu için kişisel veri işleme faaliyetinin amacının ve bu kişisel veri işleme faaliyetinde kullanılacak olan aracın ortak belirlenmesi gerekmektedir.
6698 sayılı Kişisel Verilerin Korunması Kanunu içerisinde yer alan maddelerde ortak veri sorumlusu kavramına ilişkin bir tanımlama yapılmamıştır. Ancak 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun Tanımlar başlıklı 3. maddesinde belirtilen veri sorumlusu tanımı uyarınca kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişi/kişiler veri sorumlusu sayılacaktır.
Ortak Veri Sorumlusu Yükümlülükleri
Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (GDPR) 26. maddesinde ortak veri sorumlusu yükümlülükleri açıklanmıştır. İlgili hüküm uyarınca ortak veri sorumlularının, aralarındaki yükümlülüklerin ve iş bölümünün kişisel veri işleme faaliyeti kapsamında açık ve şeffaf bir biçimde belirleneceği bir sözleşme kurması gerektiği belirtilmiştir.
Ortak veri sorumlusu olabilmek için veri sorumluları tarafından kişisel veri işleme amaçları ve işleme vasıtaları ortak bir biçimde belirlenmiş olmalıdır. Ortak bir biçimde kişisel veri işleme amacının belirlenebilmesi için ortak karar ya da yakınsak karar alınması gerekmektedir. Yakınsak karardan kasıt ortak karar alınmamış olsa da kararların birbirini tamamlaması veya bu iki veya daha fazla veri sorumlusunun her biri tarafından gerçekleştirilecek veri işleme faaliyetinin birbirinden ayrılmaz şekilde bağlı olmasıdır. İşleme amacının ortak belirlenmesinde veri sorumluları, birbirleriyle yakından ilgili veya birbirlerini tamamlayan amaçlar gütmektedir. Örneğin veri sorumlularının ortak bir menfaati söz konusu olduğunda kişisel verilerin işlenmesi amaçlarını birlikte belirleyebilecektir.
Kişisel veri işleme amaçlarının birlikte belirlenmesinin yanısıra veri sorumluları işleme vasıtalarını da birlikte belirlemelidir. İşleme vasıtaları belirlenmesi aşamasında ilgili vasıta/vasıtalar bir veri sorumlusunca diğer veri sorumlularına sunulabilecektir, bu işleme vasıtalarının diğer veri sorumlularınca kullanılması halinde bu vasıtalar kullanılarak gerçekleştirilen kişisel veri işleme faaliyeti ortak veri sorumluluğuna neden olacaktır.
Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (GDPR) 26. maddesinin 2 numaralı fıkrası uyarınca ortak veri sorumluları kişisel veri sahibi ilgili kişilerin haklarının kullanımı ve aydınlatma yükümlülüğünün yerine getirilmesi de dahil olmak üzere kişisel verilerin korunmasına ilişkin sorumlulukları kimin üstleneceğini belirlemelidir. Yükümlülüklerin hangi veri sorumlusuna tevdi edileceği hususu aralarında kurulacak bir sözleşme ile açık ve şeffaf bir biçimde kararlaştırılabilecektir. Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) içerisinde veri sorumlularının aralarında akdedeceği sözleşmeye ilişkin olarak bir açıklama yapılmamıştır fakat ispat kolaylığı açısından yazılı şekilde gerçekleştirilmesi tavsiye edilmektedir. Ortak veri sorumluluğu kapsamında akdedilecek sözleşme hukuki güvenliğin ve kişisel verilerin korunmasının sağlanması açısından tüm tarafları bağlayıcı hükümler de içermelidir.
Ortak veri sorumluluğu kapsamında akdedilecek sözleşme ile yükümlülükler belirlenirken kişisel veri sahipleri olan ilgili kişilere yönelik ortak bir iletişim kanalı da kararlaştırılmalıdır. Bu belirlemenin sözleşme ile kayıt altına alınması hem ortak veri sorumlularına hem de kişisel veri sahiplerine kolaylık sağlayacaktır. Kişisel veri sahibi ilgili kişi başvuruda bulunacağı iletişim noktası, hangi konuda hangi veri sorumlusuna başvurması gerektiği ve hangi veri sorumlusunun hangi yükümlülükleri yerine getireceği hakkında bilgilendirilmelidir. Ortak veri sorumluluğuna ilişkin rol ve yükümlülüklerin kimlere ait olacağı internet sitesi, kamuya ilan edilerek veyahut başkaca yollarla kişisel veri sahibi ilgili kişilere bildirilebilecektir.
Ortak veri sorumlusu yükümlülükleri kapsamında, ortak veri sorumluları birlikte sorumlu olsalar dahi kuracakları sözleşme ilişkisiyle farklı derecelerde roller ve yükümlülükler üstlenebilecektir. Veri sorumluları her ne kadar ayrı yükümlülükler üstlense de yasal bir veri işleme şartının varlığı ve verilerin verileri paylaşan veri sorumlusu tarafından başlangıçta toplanma amaçlarına uygun olmayan bir şekilde işlenmemesini sağlama yükümlülüğü altındadır.
Avrupa Genel Veri Koruma Tüzüğü’nün (GDPR) 26. maddesinin 3 numaralı fıkrası uyarınca ilgili kişi, Tüzük’ten doğan haklarını ortak veri sorumluluğuna dair hazırlanan sözleşmenin koşullarına bakılmaksızın, her bir veri sorumlusuna karşı kullanabilecektir.
Veri sorumluları, ortak veri sorumluluğu yaratacak işleme amaçları ve vasıtalarını belirlediği ölçüde diğer veri sorumlularıyla ortak bir biçimde sorumlu hale gelecektir.
Ortak Veri Sorumlusu Örneği
Ortak veri sorumluluğuna örnek olarak seyahat acenteleri gösterilebilecektir. Seyahat acentelerinin, havayolu şirketleri ile otellerin ortaklaşa kullanacakları ve ortak bir amaca hizmet eden platform kurdukları senaryosu göz önüne alındığında; platforma eklenen rezervasyon; seyahat acenteleri, havayolu şirketleri ve otellerce görüntülenebileceği ve üzerinde değişiklik yapılabileceğinden bu üç kuruluş ortak veri sorumlusu sıfatına sahip olacaktır.
GDPR Ortak Veri Sorumlusu
GDPR ortak veri sorumlusu, Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (GDPR) 26. maddesine tanımlanmıştır. İlgili madde uyarınca iki ya da daha fazla sayıda veri sorumlusunun işleme amaçlarını ve yöntemlerini ortak bir biçimde belirlediği hallerde, bu kişiler ortak veri sorumlusu olarak adlandırılacaktır.
Ortak veri sorumluluğunun gündeme gelebilmesi için ilk olarak birden fazla kişinin bu kişisel veri işleme faaliyetine dahil olması gerekmektedir. Burada bahsedilen kişisel veri işleme faaliyeti bir kişisel verinin toplanması, kişisel verilerin aktarılması gibi örnekleri kapsamaktadır. Ortak veri sorumluluğu sıfatını haiz olan veri sorumlularından birinin veya birkaçının işlenen kişisel veriye ulaşamaması veri sorumlusu/sorumluları bakımından ortak veri sorumluluğu sıfatını etkilemeyecektir. Ortak veri sorumlularının yükümlü sayılabilmesi için işleme amaçları ve yöntemlerini belirlemeleri yeterli sayılacaktır.
KVKK Ortak Veri Sorumlusu
6698 sayılı Kişisel Verilerin Korunması Kanunu’nda ve ilgili mevzuatta ortak veri sorumlusu kavramı henüz yer almamaktadır. Ancak geçtiğimiz günlerde yayımlanan Kişisel Verileri Koruma Kurulu kararlarından 23/12/2021 tarihli ve 2021/1303 sayılı kararda ortak veri sorumlusu kavramına ilk defa değinilmiştir.
İlgili karar özetinde araç kiralama programları yazılımcısı ve satıcısı firmalar tarafından ilgili kişilerin kişisel verilerinin işlenmesi ve bu verilerin araç kiralama firmaları arasında paylaşılmasını sağlayan kara liste programı oluşturulması konusu değerlendirilmiştir. Araba kiralama şirketleri, müşterileri hakkında elde etmiş olduğu tüm verileri kara liste yazılımları aracılığıyla kayıt altında tutmaktadır. Bu kapsamda aynı yazılımı kullanan diğer araba kiralama şirketleri, bu yazılımı kullanan diğer araba kiralama şirketlerinin bu müşterilerin kişisel verilerini ve bu müşteriler hakkında diğer kiralama şirketlerince yapılan yorumları görebilmektedir. Kurul tarafından yapılan değerlendirme sonucunda araç kiralama yazılımı üreten ve satan şirketlerin araç kiralama firmaları ile ortak veri sorumlusu olarak hareket edildiği sonucuna ulaşılmıştır. Böylelikle kişisel verilerin korunması mevzuatında ilk defa ortak veri sorumluluğu kavramı ele alınmıştır.
Yukarıda hukuki açıdan önem ihtiva eden Ortak Veri Sorumlusu Kimdir? Yükümlülükleri Nelerdir? konusu genel bir çerçeveyle açıklanmıştır. Veri Koruma Hukuku oldukça önemli ve hukuki danışmanlık alınması gereken başlıca konulardan biridir. Daha fazla bilgi ve danışmanlık için hukuk büromuzla iletişime geçebilirsiniz.
