Kişisel veri güvenliği anlamında işleme faaliyetinin tarafları arasında sorumlulukların paylaştırılması, hazırlanacak yasal belgelerin tespiti ve ilgili kişilerin haklarını nasıl kullanacağı gibi konular için veri sorumlusu ve veri işleyen tanımlarının doğru yapılması büyük önem taşır.
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) “veri sorumlusu” ve “veri işleyen” aşağıdaki gibi tanımlanmıştır:
Veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi, veri sorumlusu ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
KVKK’nın konuyla ilgili yayınladığı Veri Sorumlusu ve Veri İşleyen Rehberinde [2] (“Rehber”) veri sorumlusunun “kişisel verilerin işlenme amacını ve yöntemini belirleyen kişi”, bir başka deyişle “işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişi” olduğu belirtilmiştir.
Rehber, ayrıca veri sorumlusunun tespitinde aşağıdaki konulara kimin karar verdiğinin dikkate alınması gerektiğini söyler:
- Kişisel verilerin toplanması ve toplama yöntemi,
- Toplanacak kişisel veri türleri,
- Toplanan verilerin hangi amaçlarla kullanılacağı,
- Hangi bireylerin kişisel verilerinin toplanacağı,
- Toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı,
- Verilerin ne kadar süreyle saklanacağı.
Bir gerçek veya tüzel kişinin veri işleyen olması için veri sorumlusundan bağımsız, ayrı bir kişi olması ve veri sorumlusu adına veri işliyor olması gereklidir. Aynı kişinin, bazı veri işleme faaliyetleri için veri işleyen ve başka veri işleme faaliyetleri için de veri sorumlusu olabileceğini unutmamak gerekir.
Bütün bu bilgilerin ışığında veri işleyen ve veri sorumlusunun ayırt etmek için kullanılan kriterleri, örnek olaylarla inceleyelim.
Veri işleme amaçlarını ve vasıtalarını belirleyen kişi veri sorumlusudur.
Veri sorumlusu kabul edilmek için, veri işleme amacı ve vasıtalarını ne derecede belirlemek gerekir sorusunu sormak önemlidir. Bununla beraber, veri güvenliğine ilişkin alınacak idari ve teknik tedbirlerin belirlenmesinde veri işleyene yetki verilebileceğini de dikkate almamız gerekir. Rehber bu konuda veri sorumlusunun aşağıda belirtilen hususlarda veri işleyene karar verme yetkisi verebileceğini belirtir:
(i) Kişisel verilerin toplanması için hangi bilgi teknolojileri sistemlerinin veya diğer metotların kullanılacağı,
(ii) Kişisel verilerin hangi yöntemle saklanacağı,
(iii) Kişisel verilerin korunması için alınacak güvenlik önlemlerinin detayları,
(iv) Kişisel verilerin aktarımının hangi yöntemle yapılacağı,
(v) Kişisel verilerin saklanmasına ilişkin sürelerin doğru uygulanabilmesi için kullanılan metot,
(vi) Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi yöntemleri.
Ancak hangi verilerin işleneceği, ne kadar süre tutulacağı, kimlerin bu verilere erişimi olacağı gibi konuların belirlenmesindeki yetki veri sorumlusunda olmalıdır.
Güvenlik kamera sistemi yerleştirilmesi: [3]
Bir bina sahibi bir güvenlik şirketi ile binanın değişik kısımlarına kamera yerleştirilmesi için sözleşme imzalar. Güvenlik kamera sisteminin amaçları ve görüntülerin ne şekilde toplandığı ve saklandığı münhasıran bina sahibi tarafından belirlenir. Bu yüzden bu işleme faaliyeti için bina sahibi tek veri sorumlusu kabul edilmelidir.
Veri işleyen, verileri veri sorumlusunun belirlediği amaç dışında kendi adına başka bir amaç için de işlemeye başlarsa, artık bu veri işleme faaliyeti açısından veri sorumlusu sayılır.
Yetenek avcıları (Headhunters)
Headhunterz Ltd şirketi, Enterprize Inc. şirketine yeni eleman işe alımı konusunda yardım etmektedir. Aralarındaki sözleşme açıkça “Headhunterz Ltd’in, Enterprize Inc. adına hareket edeceğini ve kişisel veri işleme açısından veri işleyen olacağını, Enterprize Inc’in tek veri sorumlusu olduğunu” düzenler. Ancak, Headhunterz Ltd muğlak bir pozisyondadır. Bir taraftan iş arayanlara karşı veri sorumlusu pozisyonundayken, diğer taraftan, Enterprize Inc. ve eleman arayan diğer şirketler yani veri sorumluları adına hareket eden veri işleyen pozisyonundadır. Ayrıca, Headhunterz Ltd, katma değer hizmeti “global eşleşme” ile, hem doğrudan Enterprize Inc’den elde ettiği CV’ler arasından hem de kendi veri tabanından uygun adaylara bakar. Headhunterz Ltd, sözleşme uyarınca sadece imzalanan sözleşmeler için ödeme aldığı için, iş arayanlar ve iş ilanlarını eşleştirerek, kendi gelirini artırmaktadır. Bu unsur göz önüne alınarak, sözleşmedeki tanımlamalara rağmen, Headhunterz Ltd veri sorumlusu, ve Enterprize Inc. için yapılan işe alımlar açısından Enterprise Inc. ile müşterek veri sorumlusu kabul edilmelidir.
Sunucu hizmetleri veren internet hizmet sağlayıcıları
İnternet hizmet sağlayıcıları, sunucu ve bakım hizmetlerini kullanan müşterileri tarafından web sitelerinde yayınlanan kişisel veriler açısından veri işleyendir. Ancak, eğer internet hizmet sağlayıcısı, müşterilerinin web sitelerinde yer alan verileri kendi amaçları için ayrıca işlerse, bu işleme faaliyeti açısından veri sorumlusu olur.
Veri işleyen, veri sorumlusunun talimatlarına göre işleme faaliyetinde bulunur.
Posta yoluyla pazarlama
ABC şirketi, posta yoluyla pazarlama kampanyalarının yürütülmesi ve maaş bordrosunun yönetilmesi için değişik firmalarla sözleşme yapar. ABC şirketi, hangi pazarlama materyalinin kime gönderileceği ve kime, hangi tarihte ne kadar ödeneceği gibi konularda söz konusu firmalara açık talimat vermektedir. Firmaların kısmen takdir yetkisi olsa da (hangi yazılımın kullanılacağı dahil olmak üzere), görevleri oldukça açık ve iyi tanımlanmıştır ve ABC’nin talimatlarına göre hareket etmek durumundadırlar. Ayrıca, sadece ABC’nin işlenen verileri kullanmaya hakkı vardır ve diğer bütün tüzel kişiler, veri işlemek için yasal yetkileri sorgulandığında ABC’nin yasal veri işleme dayanağına güvenmek durumundalar. Bu durumda, ABC şirketinin veri sorumlusu olduğu ve diğer bütün firmaların spesifik olarak onun adına işledikleri veriler açısından veri işleyen oldukları açıktır.
İlgili kişilere karşı görünürlük
Çağrı merkezleri
Veri sorumlusu bazı operasyonları için bir çağrı merkezinden destek alır ve çağrı merkezine veri sorumlusunun müşterilerini ararken veri sorumlusunun kimliğini kullanarak kendini tanıtması yönünde talimat verir. Bu durumda, müşterilerin beklentileri ve veri sorumlusunun taşeron firma aracılığıyla kendini tanıtması taşeron firmanın veri sorumlusu adına veri işleyen olduğu sonucunu çıkarır.
Ayrı veri sorumluları ve ortak veri sorumluları
Ortak veri sorumluları konseptine Genel Veri Koruma Tüzüğü’nde (“GDPR”) yer verilmekle beraber KVKK’da ortak veri sorumlularına dair bir hüküm bulunmamaktadır. GDPR’ın Madde 26’daki tanımına göre, iki veya daha fazla veri sorumlusu işlemenin amacını ve vasıtasını beraber belirliyorsa, bu kişiler ortak veri sorumlusudurlar.
Birden fazla tarafın veri işleme faaliyetinde iş birliği içinde olması, her durumda bu tarafların ortak veri sorumlusu olduğu anlamına gelmez. Bazı durumlarda birbirinden ayrı veri sorumluları arasındaki veri aktarımı söz konusu olabilir.
Seyahat acentesi (1)
Seyahat acentesi, müşterilerinin kişisel verilerini seyahat paketleri için rezervasyon yapmak niyetiyle, havayolu şirketine ve bir otel zincirine göndermektedir. Havayolu şirketi ve otel talep edilen koltuk ve odaların müsait olup olmadığını teyit etmektedir. Seyahat acentesi buna göre müşterileri için seyahat belgelerini hazırlar ve makbuzları keser. Bu durumda, seyahat acentesi, havayolu şirketi ve otel üç ayrı veri sorumlusudur ve her biri kendi kişisel veri işlemesi faaliyetine ilişkin veri koruma yükümlülüklerine tabidir.
Seyahat acentesi (2)
Seyahat acentesi, otel zinciri ve havayolu şirketi, seyahat rezervasyon yönetimi açısından iş birliklerini artırmak üzere internet bazlı ortak bir platform kurmaya karar verirler. Hangi verilerin saklanacağı, rezervasyonların nasıl yapılacağı ve teyit edileceği, saklanan bilgilere kimlerin erişiminin olacağı gibi kullanılacak metotların önemli unsurlarına beraber karar verirler. Ayrıca, entegre pazarlama faaliyetleri yürütebilmek için müşterilerinin verilerini kendi aralarında paylaşmaya karar verirler.
Bu durumda, seyahat acentesi, havayolu şirketi ve otel zincirinin, kendi müşterilerinin kişisel verilerinin nasıl işleneceği konusunda müşterek kontrolleri olduğundan, internet bazlı ortak platforma ilişkin yürütülen işleme faaliyetleri açısından ortak veri sorumlusu sayılırlar. Bununla beraber, her biri kendi işleme faaliyetleri açısından (kendi insan kaynakları yönetimi gibi) tek veri sorumlusu olmaya devam eder.
Çalışan verilerinin vergi kurumlarına aktarımı
XYZ şirketi, maaşların, görevlerin, sağlık sigortalarının vb. yönetilmesi için çalışanlarının kişisel verisini toplamakta ve işlemektedir. Kanun ayrıca vergi kontrolünü güçlendirmek amacıyla şirkete maaşlarla ilgili bütün verileri vergi kurumlarına göndermesi zorunluluğunu yüklemektedir.
Bu durumda, XYZ ve vergi kurumları maaşlara ilişkin aynı verileri işlemelerine rağmen veri işleme faaliyeti ortak bir amaç veya yolla yapılmadığı için, her iki tüzel kişi de ayrı veri sorumlusu sayılır.
Finansal işlemler
Finansal işlemlerini yürütmek için finansal mesajlaşma operatörü kullanan bir bankanın durumuna bakalım. Banka ve operatör, finansal verilerin işlenme yöntemlerinde mutabakata varırlar. Finansal işlemlere ilişkin kişisel verilerin işlenmesi ilk adımda finansal kurum tarafından daha sonraki bir aşamada ise finansal mesajlaşma operatörü tarafından yürütülür. Her ne kadar mikro ölçekte, her biri kendi amacını gütmekte olsa da makro ölçekte işlemenin değişik fazları, amaçları ve yöntemleri birbirleriyle yakından bağlıdır. Bu durumda hem banka hem mesaj operatörü ortak veri sorumlusu sayılabilir.
Davranışsal reklam
Davranışsal reklam, kişinin web tarayıcısı üzerinden toplanan web sitesi ziyaret bilgileri, yaptığı aramalar gibi bilgileri, o kişiye hangi reklamların gösterileceğini seçmek için kullanır. Çoğu zaman kendi web sitelerinde reklam alanlarını kiralayan yayıncılar ve bu alanları hedeflenmiş reklamlarla dolduran reklam ağı sağlayıcıları, spesifik sözleşmelerine göre kullanıcılarla ilgili bilgileri toplayabilir ve değiş tokuş yapabilirler.
Veri koruma açısından, yayıncı kendi amaçları için kullanıcıdan kişisel veri (kullanıcı profili, IP adresi, lokasyon, işletme sistemi dili, vb.) topladığı ölçüde otonom veri sorumlusu sayılır. Reklam ağı sağlayıcısı da veri işlemenin amaçlarını (web siteleri üzerinde kullanıcıları izlemek) veya esas yöntemlerini belirlediği ölçüde veri sorumlusu olur. Yayıncı ve reklam ağı sağlayıcısı arasındaki iş birliği şartlarına bağlı olarak, örneğin yayıncı, kişisel verinin reklam ağı sağlayıcısına aktarımını mümkün kılıyorsa, davranışsal reklama götüren işleme faaliyetleri açısından müşterek veri sorumlusu kabul edilebilirler.
Her koşulda, (ortak) veri sorumluları, davranışsal reklam sisteminin karışıklığının ve teknik detaylarının veri sorumluları yükümlülükleriyle uyum içinde olmasını sağlamalı ve ilgili kişilerin haklarını gözetecek uygun yöntemler bulmalarını engellememelidirler. Örneğin:
- Kullanıcıya verisinin üçüncü bir kişi tarafından erişilebilir olduğu konusunda bilgi verilmelidir: Kullanıcının esas muhatabı olan yayıncı tarafından daha etkili şekilde yapılabilir.
- Kişisel veriye erişim şartları: Reklam ağı şirketi, kullanıcıların, kullanıcı verileri üzerinden nasıl hedefli reklam yaptıklarına dair taleplerini cevaplamak ve düzeltme ve silme taleplerine uymak zorundadır.
Ayrıca, yayıncılar ve reklam ağı sağlayıcıları medeni kanun ve tüketiciyi koruma mevzuatından doğan başka yükümlülüklere de tabi olabilirler.
Sağlık verilerinin yönetimi için platformlar
Bir üye devletin kamu kurumu hasta bilgilerinin sağlık hizmeti sağlayıcıları arasında paylaşımını düzenleyen bir ulusal paylaşım noktası kurar. Çok fazla veri sorumlusu olması – ilgili kişiler (hastalar) için öyle belirsiz bir durum yaratır ki haklarının korunması tehlikeye düşer. Gerçekten de ilgili kişiler için şikayetlerini, sorularını veya bilgi taleplerini kime yönlendirecekleri belirsizdir. Ayrıca, kamu kurumu veri işlemenin tasarımı ve nasıl kullanılacağı konusunda da sorumludur. Bu unsurlar paylaşım noktasını kuran kamu kurumunun müşterek veri sorumlusu ve ilgili kişilerin talepleri için irtibat noktası kabul edilmesi gerektiği sonucunu doğurur.
Sözleşmedeki tanımlar
Bir sözleşmede bir tarafın veri işleyen veya veri sorumlusu olarak tayin edilmiş olması her zaman gerçek rolünün tespit edilmesinde yeterli ve tek kriter olmayabilir. Somut durumun koşullarının da incelenmesi gerekir.
Veri işleyen olarak tanımlanan ama veri sorumlusu olarak davranan şirket
MarketinZ şirketi, promosyonel reklam ve direk pazarlama hizmetleri vermektedir. GoodProductZ şirketi, MarketinZ şirketi ile bir sözleşme imzalar. Bu sözleşmeye göre MarketinZ, GoodProductZ müşterileri için ticari reklam hizmet verecektir ve veri işleyen olarak tanımlanmıştır. MarketinZ, GoodProductZ müşteri veri tabanını başka müşterilerinin ürünlerini pazarlamak için de kullanmaya karar verir. Kişisel verilerin aktarım amacı dışında ilave bir amaç ekleme kararı MarketinZ’yi bu yeni amaçla ilişkili işleme faaliyeti açısından veri sorumlusu yapar.
Bu noktada SWIFT kararı ve Madde 29 Veri Güvenliği Çalışma Grubu’nun Society for Worldwide Interbank Finance Telecommunication (SWIFT) tarafından kişisel veri işlenmesine ilişkin 10/2006 sayılı görüşünden [4] söz etmek gerekir.
SWIFT Kararı ve Çalışma Grubu’nun Görüşü
SWIFT, uluslararası para transferini kolaylaştıran dünya genelinde bir finansal mesajlaşma hizmetidir. SWIFT, bütün mesajları 124 gün boyunca biri Avrupa Birliği’nde bir ABD’de olmak üzere iki operasyon merkezinde saklar. Mesajlarda ödeme yapanların ve alanların isimleri vardır. ABD’deki Eylül 2001 terör olaylarından sonra, ABD Hazinesi, Terörist Finansman Takip Programını (Terrorist Finance Tracking Program) (“TFTP”) başlatır ve bu bağlamda SWIFT’e ABD’de tutulan bilgilere erişim vermesi için mahkeme celbi yollar.
Bu durumdan haberdar olan Belçika Veri Güvenliği Kurumu, 27 Eylül 2006’da SWIFT’in 95/46/EC sayılı Veri Güvenliği Direktifine dayanan Belçika veri güvenliği mevzuatını ihlal ettiği yönünde görüşünü yayınlar.
Çalışma Grubu da 10/2006 sayılı görüşünde SWIFT ve talimat veren finansal kuruluşun veri sorumlusu olarak ortak sorumluluk paylaştıkları sonucuna varır. Mahkeme celplerinin kapsamının genişliği de göz önüne alındığında, bununla ilgili veri işleme, verilerin toplanmasında ilk baştaki ticari amaca uygun değildir.
Çalışma Grubu, görüşünde SWIFT ve finansal kuruluşlar arasındaki sözleşme ilişkisinden bağımsız olarak, SWIFT’in sadece basit bir “alt yüklenici” veya 95/46/EC Direktifinin 2. maddesi anlamında veri işleyen olarak kabul edilemeyeceğini söyler. SWIFT, bir veri işleyene verilen talimatlar ve görevleri aşan spesifik sorumluluklar almıştır.
SWIFT yönetimi:
- İşlemeye ilişkin finansal kuruluşlara verilecek bilgi seviyesine kendi karar verir.
- Mevcut ve yeni SWIFT hizmetlerini ve veri işlemeyi geliştirerek, pazarlayarak ve değiştirerek veri işlemenin amaç ve yollarını belirleyebilecek durumdadır. Örneğin, müşterilerine uygulanan ödeme emrinin şekli ve içeriğine dair standartları finansal kuruluşların onayını almadan belirleyebilmektedir.
- Operasyon merkezlerinin yeri ve güvenlik standartları gibi işlemeye ilişkin kritik konularda karar alabilmektedir.
- Kişisel verilerin saklanması ve doğrulanması ve kişisel verilerin yüksek güvenlik standardı ile korunması gibi veri işlemeye katma değer saklamaktadır.
- Hizmet sözleşmelerini bağımsız olarak müzakere edebilmekte ve feshedebilmekte, sözleşme belgelerini ve politikalarını değiştirebilmektedir.
Çalışma Grubu, yukarıda sayılanları işlemenin pratik ve yasal yolları olduğunu söyler.
SWIFT, ABD Hazinesine veri aktarımı ile ilgili de şeffaf davranmamış ve finansal kuruluşları bilgilendirmemiştir. Veri aktarımında veri sorumlusunun talimatlarından bağımsız bir şekilde hareket edilmiş olması bir veri işleyen olağan yetkilerini aşmıştır.
Sonuç
Sonuç olarak, yukarıdaki örneklerden de görülebileceği gibi bir veri işleme faaliyetinde veri işleyen ve veri sorumlusunu tespit edebilmek için somut göstergelere bakarak değerlendirme yapılması gerekir.
Kaynakça:
1 Veri sorumlusu ve veri işleyeni nasıl ayırt edebileceğinize dair bu yazıda Madde 29 Veri Güvenliği Çalışma Grubunun (“Çalışma Grubu”) “Veri sorumlusu veri işleyen konseptleri üzerine 1/2010 sayılı görüşü”nden (“Görüş”) faydalanılmıştır. Çalışma Grubu, 16 Şubat 2010 tarihinde 95/46/EC Direktifinin 29. Maddesi altında kurulmuştur. Görüş’ün tamamını https://ec.europa.eu/justice/article-29/documentation/opinion- recommendation/files/2010/wp169_en.pdf bağlantısından okuyabilirsiniz.
2 https://kvkk.gov.tr/SharedFolderServer/CMSFiles/f63e88cd-e060-4424-b4b5-f6413c602060.pdf
3 Tablolar içindeki örnekler Görüş’ten alınmış ve İngilizce’den Türkçe’ye çevrilmiştir.
4 Görüşün tamamını https://ec.europa.eu/justice/article-29/documentation/opinion- recommendation/files/2006/wp128_en.pdf bağlantısından okuyabilirsiniz.