Avukat Gizem Koç

Veri Sorumluları Sicili Hakkında Yönetmelik Taslağı Kamuoyu’na sunulmasıyla birlikte yeni bir döneme girilirken kişisel verilerin korunması yükümlülüklerinin temel muhatabı olan “veri sorumlusu”nun belirlenmesi ve “veri işleyen”den ayırt edilmesi gerçekten de önem kazanıyor.

Yalnızca sicile kayıt yükümlülüğü değil, verilerin silinmesi, anonim hale getirilmesi, aydınlatma, ilgili kişinin başvuruları hakkında işlem yapma vb veri koruma yükümlülüklerinin kim/hangi kurum tarafından yerine getirileceği sorusunun cevabı bu belirlemede yatıyor. Veri sorumlusunun ayrıca, sınır aşan hizmetler için uygulanacak ülke hukukunun belirlenmesinde de kilit bir kavram olması beklenebilir.

Bilindiği gibi oldukça uzun bir tasarı sürecinin ardından 6698 sayılı Kişisel Verilerin Korunması Yasası 07.04.2016 tarihinde Resmi Gazete’de yayımlanmıştı. Yasa’nın kişisel verilerin aktarılmasına, ilgili kişinin haklarına veri sorumlusuna başvuruya, suç ve kabahatlere, sicilin oluşturulmasına ve Kurul’a şikayete dair temel maddelerinin yürürlük tarihi Ekim 2016, Kanun’a dayanarak hazırlanacak olan Yönetmelikler ile kamu kurum ve kuruluşlarında koordinatör atanmasına ilişkin hükümlerinin yürürlük tarihi ise 7 Nisan 2017 olarak belirlenmişti.

Ancak Ocak 2017’de görevine başladığı ilan edilebilen Veri Koruma Kurulu’nun ilk faaliyetlerinden biri de Veri Sorumluları Sicili Hakkında Yönetmelik Taslağı’nın 5 Mayıs’ta- Yasa’da öngörülen son yürürlük tarihi bir ay aşılarak, yayımlanması oldu. Önümüzdeki günlerde Yönetmeliğin yürürlüğe girmesiyle birlikte (Yönetmelik taslağı ile ilgili olarak 20.05.2017 tarihine kadar görüş ve öneride bulunmak mümkün), veri sorumlularının veri işleme faaliyetlerine devam edebilmelerinin ön koşulu olarak bu sicile kaydolmaları, aksi takdirde de haklarında yüksek meblağlarda idari para cezalarına hükmedilmesi söz konusu olacak.

Peki kimdir veri sorumlusu?

6698 sayılı Kanun’un 3. maddesinde veri sorumlusu;“Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi”, veri işleyen ise “Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlanıyor. Yönetmelik taslağında da aynı tanımlar benimsenmiş. (Daha geniş açıklama için Kurum web sayfasında Türkçe ve İngilizce olarak yayımlanmış olan bilgi notuna bakılabilir) Aynı zamanda Taslağın 11. maddesinde tüzel kişilerde veri sorumlusunun tüzel kişiliğin kendisi olacağı ifade ediliyor.

Bu çerçevede belirli bir veri işleme faaliyetinde kişisel verinin elde edilip edilmeyeceği, elde edilecek verinin içeriği, kimler hakkındaki verilerin toplanacağı, verinin kullanım amacı, açıklanıp açıklanmayacağı, açıklanacaksa kimlere açıklanacağı, verinin ne kadar süre tutulacağı, silinmesi, veri üzerinde rutin olmayan nitelikteki değişikliklerin yapılması konularında karar veren kişi veya kurum veri sorumlusu olarak adlandırılırken, veri sorumlusu ile yaptığı anlaşmanın koşulları çerçevesinde verinin işlenmesinde hangi bilgi işlem sistemlerinin, metot ve yöntemlerin kullanılacağı gibi daha teknik nitelikli konularda söz sahibi olan ise veri işleyen.

Özetle; veri sorumlusu, veri işleme faaliyetinin nedeni ve nasılı hakkında kontrol sahibi olan, bu çerçevede verinin içeriğini belirleyen kişi veya kurum olarak düşünülmeli.

AB hukukunda veri sorumlusunun hangi taraf olduğu olgusal/fiili yaklaşım olarak adlandırılan bir yöntem ile, yani veri işleme faaliyetinin somut koşulları dikkate alınarak belirleniyor. Bu yaklaşımı işletmecinin bir diğer şirket ile yaptığı sözleşmede hangi tarafın veri sorumlusu/veri işleyen olduğunun belirlendiği durum üzerinden açıklamak yerinde olacak.

Bu tür sözleşmesel düzenlemeler kurumlar arası sorumluluğunun paylaştırılmasına açıklık getirmeleri yönüyle desteklenen, tavsiye edilen yöntemler olmalarına rağmen hukuken veri sorumlusunun belirlenmesindeki rolleri “gösterici” olmaktan ibaret. Diğer bir değişle sözleşmedeki belirleme ile gerçekteki uygulamanın çatışması halinde ikincisi esas alınıyor ve verinin içeriği üzerinde hangi tarafın fiilen kontrol sahibi olduğu çerçevesinde değerlendirme yapılarak sonuca gidiliyor.

Olgusal belirleme ilkesinin benimsenmesindeki amaç ilgili kişileri veri koruma hükümlerinin koruması dışında bırakacak boşlukların/sorumsuzluk alanlarının oluşmasını engellemek ve böylece kişisel verilerin korunmasına ilişkin hukuku mümkün olduğunca etkin kılmak. Söz konusu ilkenin uygulanması ile ilgili sıkça atıf yapılan kaynaklardan biri de Belçika Veri Koruma Otoritesi’nin Swift kararı.

SWIFT tarafından bankacılık verilerinin, terör finansmanı ile mücadele gerekçesiyle ABD otoritelerine aktarılmasını konu edinen uyuşmazlıkta Belçika Otoritesi, SWIFT’in ilgili sözleşmelerde “veri işleyen” olarak adlandırılmış olmasını dikkate almaksızın veri sorumluluğunun varlığı yönünde tespitte bulunuyor. Bir diğer örnek de Avrupa Adalet Divanı’nın “unutulma hakkı kararı” olarak da bilinen “Google Spain”. Bu kararda da Divan, arama motoru işletmecilerinin, faaliyetleri sırasında işledikleri verilerin içeriği üzerinde belirleyici olmaları nedeniyle veri sorumlusu olarak kabul edileceklerine hükmediyor.

İşletmeciler açısından yukarıdaki ilke ve yaklaşımları biraz daha somutlaştırmakta fayda var. Abonelerin kişisel verileri ile ilgili veri sorumluluğunun belirlenmesine ilişkin olarak AB Veri Koruma Direktifi’nde (95/46/EC) yer alan açık hüküm doğrultusunda telekomünikasyon ve e-posta hizmet sağlayıcılarının sorumluluğu kural olarak hizmet sunumu için zorunlu olarak işledikleri faturalandırma ve trafik verileriyle sınırlı; sundukları hizmet kullanılarak gönderilen mesajlarda yer alan abone verisi açısından ise veri sorumlusu olarak kabul edilmiyorlar. Zira bu tür hizmetlerin normal işleyişi dikkate alındığında, işletmecilerin gönderilen mesajların içeriği üzerinde herhangi bir kontrollerinin olmadığı varsayılıyor.

Ancak buradaki “kural olarak” ifadesi önemli; elektronik haberleşme hizmetinin normal işleyişi dışındaki işletmecinin yasadışı erişimi vs durumlarında veri sorumluluğunun söz konusu olabildiğini unutmamak gerekir. Ayrıca yukarıdaki paragraflarda “fiili yaklaşım” kavramı ile açıklandığı üzere veri türlerine göre soyut belirlemeler yapmak güç. Buradaki örnekler ile amaçlanan veri sorumluluğu kavramını ilişkiselliği içerisinde bir nebze daha anlaşılır kılmak.

Bu çerçevede, İşletmecinin (İ) abonelerine ait verileri saklamak için bir başka şirketten (B) bulut hizmeti aldığı durum ile ilgili bir değerlendirme yapılabilir. Bu ilişkinin en sık rastlanan (tipik) halinde söz konusu abone verileri açısından İ’nin veri sorumlusu, B’nin ise veri işleyen olduğu varsayılmaktadır. Zira veriyi toplayan, verinin kullanım amacını belirleyen, saklama süreleri hakkında karar veren taraf İ’dir ve B’nin bu veriyi kendi amaçları için kullanma yetkisi bulunmamaktadır.

Veri sorumluluğunda belirleyici olan B’nin veri saklama konusundaki teknik uzmanlığı değil verinin içeriğinin kim tarafından kontrol edildiğidir. Kısacası bulutta saklanan abone verilerini kendi amaçları çerçevesinde kullanmadığı sürece B’nin veri işleyen olduğu kabul edilir. Buna karşın B, sözleşme kapsamında elde ettiği İ’nin çalışanlarına ait kişisel veriler (örn. iş ilişkisinin yürütülmesi için iletişimde bulunulan İ çalışanının kimlik, adres bilgileri) açısından veri sorumlusu olarak nitelendirilecektir. Aynı şekilde B’nin kendi çalışanları, müşterileri ve tedarikçilerinin kayıtları ile ilgili olarak veri sorumluluğu devam eder.

İşletmecinin aldığı çağrı merkezi gibi teknik hizmetler açısından da benzer bir mantık izlenebilir. Ancak dışarıdan alınan danışmanlık hizmetlerinde bu durum değişebilmektedir. Örneğin işletmecinin avukatlık/hukuki danışmanlık hizmeti aldığı durumda, bu hizmeti sağlayabilmek için  İ ve İ’nin abonelerinin hangi verilerine ihtiyaç duyduğunu mesleki bilgisi çerçevesinde belirleyen avukatın, verinin içeriği üzerinde böylece kontrol kazandığından ve veri sorumluluğunun bulunduğundan söz edilebilir.

Son olarak, bu metnin AB uygulamaları temel alınarak oluşturulduğu, önümüzdeki günlerde Kişisel Verileri Koruma Kurulu’nun yukarıda açıklananlardan farklı bir yaklaşım geliştirebileceğinin de ihtimal dahilinde olduğu gözden kaçırılmamalı. Ancak hali hazırdaki düzenlemenin AB hukukundakine benzerliği ve kişisel verilerin korunması sürecinin ülkemizdeki genel temposu, yasal zaman çizelgesinin şimdiden bir hayli gerisine düşüldüğü de düşünüldüğünde yakın dönemde köklü değişikliklerin gerçekleşmesi pek mümkün görünmüyor.

Kaynaklar

– EU Article 29 Working Party Opinion 1/2010 on the concepts of “controller” and “processor” adopted on 16 February 2010

– Information Comissioner’s Office (ICO) “Data controllers and data processors: what the difference is and what the governance implications are”

– Avrupa Adalet Divanı Google kararı

Yazdır