KVKK Temel Kavramlar | KVKK Avukatı | İzmir Avukat | İzmir Avukatlık Bürosu

6698 Sayılı Kişisel Verilerin Korunması Kanunu (Personal Data Protection) kapsamında sıklıkla karşılaşabileceğiniz temel kavramlar nelerdir? Sizin için listeledik.

KVKK Temel Kavramlar: İlgili kişi kimdir?

İlgili kişi terimi kişisel verisi işlenen gerçek kişiyi ifade etmektedir.

KVKK Temel Kavramlar: Veri Sorumlusu kimdir?

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemektedir.

Kanuna göre veri sorumlusu kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.

Peki, Veri İşleyen kimdir?

Veri İşleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade etmektedir.

Veri Sorumlusu ve Veri İşleyenin Farkı Nedir?

Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu, hem de veri işleyen olabilir. Örneğin, bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından ise veri işleyen olarak kabul edilecektir.
Veri işleyenin faaliyetleri veri işlemenin daha çok teknik kısımları ile sınırlıdır. Kişisel verilerin işlenmesine ilişkin kararların alınması yetkisi ise veri sorumlusuna aittir.

Veri sorumlusunun tespiti için aşağıdaki hususlara kimin karar verdiği dikkate alınmalıdır:
• Kişisel verilerin toplanması ve toplama yöntemi,
• Toplanacak kişisel veri türleri,
• Toplanan verilerin hangi amaçlarla kullanılacağı,
• Hangi bireylerin kişisel verilerinin toplanacağı,
• Toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı,
• Verilerin ne kadar süreyle saklanacağı

Pazar Araştırması Şirketleri

Bir ilaç firması ile yaptığı sözleşme uyarınca, bir araştırma şirketi, ilaç firması için “çalışan memnuniyet anketi” düzenlemeyi üstlenmiştir. Firma, anket yapılacak çalışan listesinin belirlenmesini, anket metodunun seçimini ve anket sonuçlarının sunumunu araştırma şirketine bırakmıştır. Bu durumda araştırma şirketi, her ne kadar firma adına anketi yapıyor ve kişisel verileri işliyor olsa da ilaç firması ile birlikte veri sorumlusu statüsündedir. Zira hangi çalışanlarla anket yapılacağı, hangi verilerin toplanacağı vb. konularda karar verme yetkisine sahip olan araştırma şirketidir

Kargo Firmaları

Bir kargo firması, bir banka ile müşterilerin kredi kartlarını ilgilisine ulaştırma hizmetini vermek üzere bir sözleşme yapmıştır. Kargo firması gönderenin adı, soyadı, alıcının adresi gibi sevkiyatı yönetmek için elde ettiği veriler bakımından veri sorumlusudur. Ancak, kargo firması her ne kadar kredi kartlarını fiziksel olarak elinde bulundursa da, söz konusu kredi kartı ile ilgili bilgilere ulaşması mümkün değildir. Bu durumda, dağıtım hizmeti sunucusu olarak hizmet veren kargo firması ne veri sorumlusu, ne de veri işleyen statüsündedir. Dolayısıyla, yalnızca taşıdığı fiziksel eşyanın güvenliğini sağlamakla yükümlü olup, kişisel verilerin işlenmesiyle ilgili uyması gereken herhangi bir yükümlülük yoktur

Ödeme Servisleri

İnternet üzerinden satış gerçekleştiren bir kişinin bir ödeme hizmeti şirketi ile anlaşması suretiyle müşterilerinin verilerinin işlenmesi durumda; ödeme hizmeti şirketi, satıcının veri işleyeni değildir. Bu verilerin işlenmesi bakımından veri sorumlusu statüsündedir. Zira ödeme hizmeti şirketi; (1) Ödemelerin doğru yapılabilmesi için müşterilerden hangi verilerin toplanması gerektiğine karar vermektedir. (2) Toplanan verilerin hangi amaçla kullanılacağı konusunda kontrol sahibidir. (3) Satıcıdan bağımsız olarak doğrudan kişisel verileri işlenen müşterilere uyguladığı kendi hüküm ve şartları bulunmaktadır. (4) Satıcıdan bağımsız olarak tabi olduğu hukuki yükümlülükler bulunmaktadır. Örneğin; kredi kartı bilgilerinin silinmesi.

Avukatlar

Bir firmanın işten ayrılan çalışanlarından birinin firmanın müşteri listesini çaldığı ve buna karşılık firma sahibinin listeyi nasıl geri alabileceği ile ilgili bir avukata başvurmuş olduğu bir örnekte; firma sahibinin eski çalışanıyla ilgili kişisel verileri avukata teslim etmesiyle, avukat da veri sorumlusu statüsüne sahip olur. Bu durumda avukatın firma sahibinin adına işlem yapıyor olması bunu değiştirmez. Zira avukat elde edilen kişisel verilerin nasıl işleneceğini kendisi belirleyecektir. Dolayısıyla, sağlanan kişisel veriler bakımından hem firma sahibi hem de avukat veri sorumlusu statüsündedir. Bu anlamda her birinin uyması gereken kendi yükümlülükleri bulunmaktadır (örneğin; ilgili kişinin kişisel veriye erişim talebinin yerine getirilmesi bakımından ikisi de ayrı ayrı sorumludur).

Mali Müşavirler

Mali müşavirler, müşterilerinin hesaplarıyla ilgili kayıtları tutarken bu kayıtlardaki kişisel verilerin işlenmesi bakımından veri sorumlusudurlar. Zira mali müşavir işledikleri kişisel verilerle ilgili sorumluluk almasını zorunlu kılan yasal yükümlülükleri bulunmaktadır. Örneğin, bir şirketin hesaplarıyla ilgili kayıtları tutarken herhangi bir yolsuzluğa rastlamaları durumunda mali müşavirlerin adli ve idari birimler veya diğer yetkili kurumlara bildirimde bulunma zorunluluğu bulunmaktadır. Bildirimi yaparken müşterisinin talimatları doğrultusunda hareket etmiyor olacağı açıktır. Dolayısıyla bunun gibi uzman hizmet sağlayıcıları, kendi mesleki yasal yükümlülüklerine tabi oldukları sürece veri sorumlusu statüsünde bulunacaklardır ve veri sorumlusu olmaktan kaynaklanan yükümlülüklerini anlaşmayla müşteriye kısmen veya tamamen bırakmaları mümkün olmayacaktır.

Bulut Hizmeti Sağlayıcıları

Bir kamu kuruluşunun, topladığı kişisel verilerin saklanması için bir bulut hizmeti sağlayıcısıyla sözleşme yapması durumunda, bulut hizmeti sağlayıcısı veri işleyen statüsündedir. Zira taraflar arasındaki sözleşme gereği bulut hizmeti sağlayıcısının verileri kendi amaçları için kullanması mümkün değildir. Ayrıca bulut hizmeti sağlayıcısı, kendisi veri de toplamamaktadır. Tek faaliyeti kamu kuruluşundan gelen kişisel verileri yine kamu kuruluşunun talimatlarına uygun olarak saklamaktır.

Kişisel verilerin işlenmesi ne demektir?

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, elde edilebilir hale getirilmesi, sınıflandırılması veya kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem kişisel verilerin işlenmesi olarak değerlendirilir.

Konuya ilişkin detaylı bilgi ve hukuki danışmanlık için tarafımız ile Contact page.