İnternet HukukuVeri Koruma Hukuku

Veri İşleyen Kimdir?

Yazar 6 Ekim 2022Ekim 3rd, 2023No Comments9 dakikalık okuma
Veri İşleyen Kimdir?

6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat içerisinde veri işleyen kavramı açıklanmıştır.

Veri İşleyen Kimdir?

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 3. Maddesi uyarınca veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişi olarak tanımlanmıştır. Veri işlemekle yükümlü kılınmış kişiler, veri sorumlusunun organizasyonu dışında kişisel veri işlemektedir. Bu kişiler veri sorumlusu ile akdetmiş oldukları kişisel veri işleme sözleşmesi kapsamında kendisine verilecek olan talimatlar çerçevesinde kişisel veri işleme faaliyetini gerçekleştirmektedir.

Gerçek ve tüzel kişilerin kişisel veri işleme faaliyeti kapsamında hem veri sorumlusu hem de veri işleyen olabilmesi mümkündür. Örneğin, bir muhasebe şirketi kendi çalışanlarıyla ilgili işlediği kişisel veriler açısından veri sorumlusu olabilecekken, müşterilerinin kişisel verilerini işlediği bir senaryoda onların denetim ve gözetimi içerisinde bu işi yapacağından veri işleyen sıfatını haiz olacaktır.

Veri sorumlusu 6698 sayılı Kişisel Verileri Korunması Kanunu’nun 3. Maddesinde kişisel veri işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır. Bu tanım uyarınca veri işlemekle yükümlü olan ve organizasyon dışında kişisel veri işleme sözleşmesiyle görevlendirilmiş gerçek veya tüzel kişisel veri işleme amaçlarını ve vasıtalarını belirleyememektedir, ayrıca kendisinin bir veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olması gibi bir durum yoktur. Veri işlemekle yükümlü olan ve sözleşmeyle görevlendirilen gerçek veya tüzel kişi ancak ve ancak veri sorumlusunun denetim ve gözetimi altında, aralarında akdedilen kişisel veri işleme sözleşmesine uygun olarak kişisel veri işleyecektir.

Veri İşleyenin Yükümlülükleri

Veri işleyen, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat uyarınca veri sorumlusunun talimatlarını dikkate alarak onun denetim ve gözetimi altında kişisel veri işleyebilecektir. Veri işlemekle yükümlü bu gerçek veya tüzel kişi, kişisel veri işleme faaliyeti sırasında daha çok teknik konular hakkında karar verebilme hakkına sahip olacaktır. Kişisel veri işleme sözleşmesi kapsamında hangi teknolojik yöntemleri kullanarak kişisel veri toplayabileceği, toplanan kişisel verileri hangi yöntemlerle saklayacağı, kişisel verilerin korunmasını sağlamak için alacağı teknik ve idari tedbirler, kişisel verileri yedeklenmesi ve kişisel verilerin imhası (silme, yok etme ve anonimleştirme) konularında söz sahibi olabilecektir. 

Veri işlemekle yükümlü kılınmış gerçek veya tüzel kişi kişisel verileri otomatik, kısmen otomatik ya da otomatik olmayan yollarla toplayabilecektir. Bu yöntemler kullanılarak toplanan veri artık veri sorumlusu tarafından kurulan kayıt sisteminin bir parçası haline gelecektir. Tamamen otomatik şekilde kişisel verilerin toplanmasında fiziksel yöntemler kullanılarak hiçbir şekilde kişisel veri işlenmemektedir. Kısmen otomatik toplamada ise kişisel veri toplanması sürecinin bir fiziksel olarak gerçekleştirilmektedir. Fiziksel olarak kişisel veri toplanması sürecine ilgili kişilerden bilgilerin alınması, veri girişlerinin sisteme yapılması, verilerin değiştirilmesi, verilerin kaydedilmesi, verilerin silinmesi ve geri getirilmesi gibi örnekler sıralanabilir.

Veri İşleyen Örnek

Kişisel verilerin işlenmesi kapsamında veri işleyen sıfatının görülebileceği birçok örnek bulunmaktadır. Ancak tekrardan hatırlatılması gerekmektedir ki gerçek veya tüzel bir kişi hem veri sorumlusu hem de veri işleyen olabilecektir.

Örnek 1: Bir Kurum’un kendi organizasyonu dışında bir şirketten çağrı merkezi hizmeti aldığı örneğinde çağrı merkezi hizmeti sunan şirket, ilgili Kurum’a hizmet sunmasından ötürü veri işleyen sıfatına sahip olacaktır.

Örnek 2: Bir avukatlık firmasının yiyecek-içecek hizmeti aldığı örneğinde, avukatlık firmasında çalışan personelin yiyecek-içecek hizmeti veren şirket tarafından ad-soyad, iletişim gibi kişisel verilerinin işlenmesi bakımından yiyecek-içecek hizmeti veren şirket veri işleyen sıfatını haiz olacaktır.

Örnek 3: Bir başka örnek olarak bir e-ticaret şirketinin topladığı kişisel verileri saklaması adına bir bulut hizmeti sağlayıcıyla sözleşme kurması halinde bulut hizmeti sağlayıcısı şirket saklama hizmeti sunuyor olması sebebiyle veri işleyen sıfatını haiz olacaktır. Burada bulut hizmet şirketi verileri kendi amaçları için işleyememekte ve kendisi veri toplamamaktadır. Kendisi yalnızca veri sorumlusu e-ticaret şirketiyle imzalamış olduğu kişisel veri işleme sözleşmesinde belirtilen talimatlar uyarınca kişisel verileri saklamakla yükümlü kılınmıştır.

Kişisel Veri İşleme Sözleşmesi

Veri sorumlusu ve veri işlemekle yükümlü gerçek veya tüzel kişi kişisel verilerin korunması mevzuatı dikkate alınarak bir kişisel veri işleme sözleşmesi kurabilecektir. Bu sözleşmeyle birlikte veri işlemekle yükümlü gerçek veya tüzel kişi, veri sorumlusunun talimat ve menfaatlerine uygun olarak onun denetimi ve gözetimi altında veri işlemeyi, veri sorumlusu da bu iş görme edimi karşılığında veri işlemekle yükümlü olan gerçek veya tüzel kişiye ücret ödemeyi taahhüt etmektedir.

Kişisel veri işleme sözleşmesi içerisinde kişisel veri işlemenin kapsamı, ücret, tarafların kişisel veri işlerken uyacağı yükümlülükler gibi hükümlere yer vermektedir. Veri işlemekle yükümlü tarafın uyacağı yükümlülükler kapsamına kişisel verilerin muhafazasını sağlama, veri kaybını önleme, yetkisiz ve hukuka aykırı erişimi engelleme gibi tüm teknik ve idari tedbirler ile yurt dışına aktarım yapılması halinde veri sorumlusunu bilgilendirme ve bu aktarım yapılmadan önce veri sorumlusundan onay alınması girmektedir. 

Kişisel veri işleme sözleşmesinin fesih veyahut başkaca bir nedenle son bulması halinde veri sorumlusu, veri işleyen tarafından işlenen kişisel verilerin kendisine geri verilmesini veya imhasını talep edebilecektir.

Veri sorumlusu kişisel veri işleme sözleşmesi uyarınca, kişisel veri işleme faaliyetiyle yükümlü kılınmış kişiyi belirli aralıklarla denetleyebilecektir. Sözleşme içerisinde bu denetime ilişkin maddelere yer verilebilecektir.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. Maddesi uyarınca veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde teknik ve idari tedbirlerin alınması hususunda bu kişilerle birlikte müşterek olarak sorumlu olacaktır. Bu maddeyi ve aralarında akdedilen sözleşmeyi dikkate alarak veri sorumlusu, veri işlemekle yükümlü gerçek veya tüzel kişinin yeterli teknik ve idari tedbirleri almaması halinde uğrayabileceği zararlarla ilgili olarak bu kişiye başvurabilecektir. Kişisel veri işleme faaliyeti gereği gibi yerine getirilmediği ve veri sorumlusunun bu sebeple herhangi bir zarara uğraması veya idari para cezası ödemekle yükümlü kılınması halinde veri sorumlusu, veri işleyene rücu edebilecektir. Rücu maddesi bu sebeple kişisel veri işleme sözleşmelerinde yer alabilmektedir.

Veri İşleyen Veri Sorumlusu Farkları

Veri sorumlusu, veri işleyenden bazı konuların tespiti ile ayrılabilmektedir. Veri sorumlusunun tespiti yapılırken kişisel verilerin toplanması ve toplama yöntemi, toplanacak kişisel veri türleri, toplanan elde edilen kişisel verilerin hangi amaçlarla kullanılacağı, hangi bireylerin kişisel verilerinin toplanacağı, toplanan kişisel verilerin paylaşılması ile verilerin saklanma süresi konuları değerlendirilmektedir. Veri sorumlusunu veri işleyenden ayıran en büyük fark bu değerlendirmeleri gerçekleştiren taraf olmasıdır. Veri sorumlusu veri işleyene nazaran kişisel verilerin işlenmesine ilişkin kararları almakla yetkili olan, kişisel verilerin işlenme amacını ve yöntemini belirleyen, işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını veren kişidir. 

Yukarıda hukuki açıdan önem ihtiva eden Veri İşleyen Kimdir? Yükümlülükleri Nelerdir? konusu genel bir çerçeveyle açıklanmıştır. Veri İşleyen Kimdir? Yükümlülükleri Nelerdir? konusu oldukça önemli ve hukuki danışmanlık alınması gereken başlıca konulardan biridir. Daha fazla bilgi ve danışmanlık için hukuk ofisimizle iletişime geçebilirsiniz.

AEY Legal

AEY Legal

AEY Legal, faaliyet göstermekte olduğu Fikri Mülkiyet Hukuku, E-Ticaret ve Bilişim Hukuku, Veri Koruma ve Siber Güvenlik Hukuku, Ticaret ve Şirketler Hukuku, Sözleşmeler Hukuku, Freelancer Hukuku, Tüketici Hukuku, Start-up Hukuku, Reklam ve Medya Hukuku başta olmak üzere birçok hukuk dalında ulusal ve uluslararası düzeydeki uyuşmazlık ve ihtilaflarla ilgili olarak Hukuki Danışmanlık, Uyum Yönetimi & Regülasyon, Dava Takibi & Uyuşmazlık Çözümü hizmetlerini müvekkillerine sunmaktadır.

İlgili Yazılar

Deepfake'in Hukuki Değerlendirmesi Bilişim HukukuHukuki YazılarVeri Koruma Hukuku Deepfake’in Hukuki Değerlendirmesi
23 Ekim 2023

Deepfake’in Hukuki Değerlendirmesi

AEY Legal
Çocukların Dijital Mahremiyeti Bilişim HukukuKişiler HukukuVeri Koruma Hukuku Çocukların Dijital Mahremiyeti
28 Eylül 2023

Çocukların Dijital Mahremiyeti

AEY Legal
WhatsApp Mesajlarının Delil Niteliği Bilişim HukukuCeza Hukukuİnternet HukukuMedeni Hukuk WhatsApp Mesajlarının Delil Niteliği
20 Temmuz 2023

WhatsApp Mesajlarının Delil Niteliği

AEY Legal
Scan the code