6698 SAYILI KVKK KAPSAMINDA VERİ SORUMLUSU KAVRAMI
6698 SAYILI KVKK KAPSAMINDA VERİ SORUMLUSU KAVRAMI
Veri sorumlusu, 6698 sayılı KVKK madde 3/1/ı’da, ‘’kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi’’ olarak tanımlanmıştır. Bu tanıma göre öncelikle kanunun belirttiği amaç ve vasıtaların belirlenmesi kıstaslarının neler olduğunun üzerinde durmak gerekmektedir. Amaç unsuru esas alındığında veri işleme faaliyetinin sonunda nasıl bir neticenin elde edilmesinin istendiği değerlendirilmelidir[1]. Vasıtadan kasıt ise, ‘’veri işleme faaliyetinin organizasyonel ve teknik hususları ile işleme faaliyetinin kapsamının, kişi ve veri kategorilerinin ya da üçüncü kişilerin erişim imkânlarının belirlenmesidir’’[2]. Yani amaç, neden veri işlendiği sorusunun cevabını verirken, vasıta kişisel verilerin nasıl işlendiğinin cevabını vermektedir[3]. Bu çerçevede kişisel verilerin neden ve nasıl işleneceği konusunda belirleme ve karar yetkisine sahip olan kişi veri sorumlusu olacaktır[4]. Hukukumuza göre veri sorumlusu, kanuni düzenlemelerde yer alan kişisel verilen işlenmesine dair işlemlerin uygulayıcısı, yükümlülüklerin muhatabı ve zararların sorumlusu olan kişidir. Hukukumuzda veri işleme faaliyetine ilişkin tüm sistemler, ölçütler, sınırlar ve yöntemler veri sorumlusu tarafından belirlenmekte olup, veri sorumlusunun varlığı, veri işleme faaliyetinin varlığına sebebiyet vermekte ve ilgili kişi bu veri işleme faaliyeti kapsamında korunmaktadır[5]. Bu anlamda veri sorumlusu kavramı Kişisel Verilerin Korunması Hukukundaki en temel ve en önemli kavramlardan birisidir.
KVKK kapsamında yapılan yukarıdaki tanıma göre, gerçek kişilerin veri sorumlusu olabilmesi mümkün ise de bu kişilerin veri işleme faaliyetlerinde bir kayıt sistemi bulunmadığından takibi mümkün olmamakta ve bu nedenle de bu kişilerin fiilleri hakkında 5237 sayılı TCK hükümlerine başvurulmaktadır[6]. Ancak bu durumun da her zaman geçerli olduğu söylenemez. Kişisel Verileri Koruma Kurulu da kararlarında, veri işleme faaliyetinde bulunan avukat, doktor, mali müşavir gibi gerçek kişilerin de veri sorumlusu olduğunu belirtmekte ve idari para cezası uygulamaktadır[7].
KVKK tanımlamasında GDPR tanımlamasından farklı olarak; kamu kurum ve kuruluşları tanımda ayrıca belirtilmemiş, kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri arasında bir fark gözetilmeksizin tüzel kişilik kavramı altında birleştirilmiştir. Bu durum GDPR’den farklı bir uygulamaya yol açmamakla birlikte burada vurgulanması gereken husus; verilerin bir tüzel kişi tarafından işlendiği durumlarda, veri sorumlusunun o tüzel kişinin çalışanları değil, bizzat tüzel kişinin kendisi olacağıdır[8]. Bu durumda ilgili düzenlemelerde belirlen hukuki sorumluluk tüzel kişi üzerinde doğacaktır. Şirketin bu konuda bir kişiye görev ve yetki vermesi şirketi bir tüzel kişi olarak sorumluluktan kurtarmayacaktır[9]. Örneğin, bir şirkete yapılan iş başvurularında, başvuru formu şirketin insan kaynakları departmanı tarafından işlenmektedir. Bu işlemeyi de o departmanda çalışan personel yapmaktadır. Burada verinin işlenmesine ilişkin karar yetkisi ilgili departman ve personelde bulunuyor olsa da bunlar veri sorumlusu değildirler. Burada veri sorumlusu bizatihi şirketin kendisidir[10].
Şirketlerin bünyesinde yer alan şubeler de tüzel kişilikleri bulunmadığından veri sorumlusu olarak kabul edilemezler[11]. Bununla birlikte holding gibi şirketler topluluğu halindeki birlikteliklerde her bir şirketin ayrı bir tüzel kişiliği bulunduğundan, her biri ayrı ayrı veri sorumlusu sayılmalıdırlar[12].
Kamu kurum ve kuruluşlarında veri sorumlusu doğrudan kamu kurumu veya kuruluşu olmakla birlikte burada bakanlığa bağlı ilgili ve ilişkili birimler için ayrım yapılması gerekmektedir. Bir bakanlığa bağlı, ilgili ve ilişkili kuruluşlar veri işleme amaç ve vasıtalarını kendileri belirlemiyorlar ise veri sorumlusu sayılmayacaklar ve bu birimlerin işledikleri tüm kişisel veriler için bağlı oldukları bakanlık veri sorumlusu kabul edilecektir[13]. Doktrinde Mesut Serdar Çekin’e göre; bütün bakanlık ve taşra teşkilatının devlet tüzel kişiliği içerisinde bulunması nedeniyle tüm taşra teşkilatını oluşturan kurum ve kuruluşların, okulların, hastanelerin kişisel verileri işlemelerinden sorumlu olan tek müessese devlet tüzel kişiliğidir. Ancak tüm süreçlerden devlet tüzel kişiliğinin sorumlu tutulması da işlevsellik, şeffaflık ve uygulanabilirlik açısından kabul edilebilir değildir. Bu nedenle Çekin’e göre Kanun tanımlamasının kişi niteliğine haiz olmayan, ancak bağımsız karar verebilme ve harcama yapma yetkisine sahip olan organizasyonları kapsayacak şekilde genişletilmesi gerekmektedir[14].
Kanunun lafzından hareket edilerek ortaya çıkan diğer bir fark ise, GDPR tanımlamasında, veri sorumlusunun kimler olabileceği ‘’diğer herhangi bir organdır’’ şeklinde ifade edilerek kapsam geniş tutulur iken, KVKK düzenlemesinde ‘’gerçek ve tüzel kişi’’ şeklinde ifade edilerek GDPR’ye göre kapsam dar tutulmuştur. Lafza göre yorum yapıldığında KVKK’da yer alan tanım gereği, tüzel kişiliği bulunmayan yapı ve toplulukların veri sorumlusu sayılmamasına yol açabileceği hususu ortaya çıkmaktadır. Bu yapılardan bazıları olarak yabancı şirketlerin Türkiye’deki şubeleri, irtibat büroları, adi ortaklıklar, apartman yöneticilikleri sayılabilir. Kişisel Verileri Koruma Kurulu 2019/225 sayılı 23.07.2019 sayılı kararında bu karışıklığı gidermiştir. Kararda[15], GDPR madde 4’teki tanıma göre veri sorumlusu olma kriterleri arasında tüzel kişi olmanın şart olmadığı vurgulanmış ve yurtdışında yerleşik tüzel kişilerin Türkiye’deki şubelerinin veri sorumlusu sayılacağına karar verilmiştir.
Bahsi geçen karardan anladığımız üzere, Kişisel Verileri Koruma Kurulu veri sorumlusunun kimler olabileceğini değerlendirirken daha geniş bir kapsamı olan GDPR madde 4 tanımlamasını dayanak almaktadır. Aynı şekilde mehaz kanun olan 95/46 sayılı direktifte de benzer bir tanımlama bulunmaktadır. Bu anlamda veri sorumlusunun kimler olabileceği konusunda KVKK madde 3 düzenlemesindeki gerçek ve tüzel kişi kapsamını geniş yorumlamak yerinde olacaktır.
[1] Mesut Serdar Çekin, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kanun Çerçevesinde Kişisel Verilerin Korunması Hukuku, bs.3, İstanbul, On İki Levha Yayıncılık, 2020, s.54
[2] Mesut Serdar Çekin, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kanun Çerçevesinde Kişisel Verilerin Korunması Hukuku, bs.3, İstanbul, On İki Levha Yayıncılık, 2020, s.54
[3] Mesut Serdar Çekin, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kanun Çerçevesinde Kişisel Verilerin Korunması Hukuku, bs.3, İstanbul, On İki Levha Yayıncılık, 2020, s.54
[4] Oğulcan Özkan, Kişisel Verilerin Korunması, 1. Bs, Ankara, Yetkin, 2020, s.80
[5] Mesut Halıcıoğlu, ‘’Türk Hukukunda Veri Sorumlusu Kavramı’’, Yayımlanmış Yüksek Lisans Tezi, Ankara, 2019, s.33
[6] Murat Volkan Dülger, Kişisel Verilerin Korunması Hukuku, 3.bs, İstanbul, Hukuk Akademisi Yayın Evi, 2020, s.189
[7] Kişisel Verileri Koruma Kurulu 2020/26 sayılı, 14.01.2020 tarihli kararı, Kişisel Verileri Koruma Kurulu 2019/332 sayılı 07.11.2019 tarihli kararı
[8] İslam Safa Kaya, Yüksel Tolun, Uygulayıcılar İçin Türkiye’de ve Avrupa’da Kişisel Verilen İşlenmesi KVKK-GDPR Karşılaştırması, 1. bs, Ankara, Adalet Yayınevi, 2020, s. 49; Murat Volkan Dülger, Kişisel Verilerin Korunması Hukuku, 3.bs, İstanbul, Hukuk Akademisi Yayın Evi, 2020, s.194; Mine Demirezen, Kişisel Verilerin Korunması Hukuku ve Uyum Projelerinin Yürütülmesi, 1.bs, İstanbul, Platon Hukuk Yayınevi, 2020, s.76 ; detaylı bilgi için bkz. Article 29 Working Party, Opinion 1/2010 on the Concepts of Controller and Processor s.15-16
[9] Murat Altındere, Kişisel Verilerin Korunması Hukuku ve Uygulaması, 1.bs, Ankara, Adalet Yayınevi, 2020, s.34
[10] Kişisel Verileri Koruma Kurumu, Örneklerle Kişisel Verilerin Korunması, Ankara, KVKK Yayınları No:29, 2019, s.64
[11] Oğulcan Özkan, Kişisel Verilerin Korunması, 1. Bs, Ankara, Yetkin, 2020, s.34
[12]Murat Volkan Dülger, Kişisel Verilerin Korunması Hukuku, 3.bs, İstanbul, Hukuk Akademisi Yayın Evi, 2020, s.193 ; Mine Demirezen, Kişisel Verilerin Korunması Hukuku ve Uyum Projelerinin Yürütülmesi, 1.bs, İstanbul, Platon Hukuk Yayınevi, 2020, s.74
[13]Kişisel Verileri Koruma Kurumu, 6698 Sayılı Kişisel Verilerin Korunması Hakkında Doğru Bilinen Yanlışlar, Yayın No:31, Ankara, KVKK yayınları, 2020, s.19
[14] Mesut Serdar Çekin, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kanun Çerçevesinde Kişisel Verilerin Korunması Hukuku, bs.3, İstanbul, On İki Levha Yayıncılık, 2020, s.61-62
[15] KVKK 2019/225 Sayılı 23.07.2019 tarihli karar https://kvkk.gov.tr/Icerik/5545/2019-225