Kişisel Verileri Koruma Kanunu Hakkında Doğru Bilinen Yanlışlar
Bir şirket veri sorumlusu olarak kimi belirlemelidir?
Bir tüzel kişinin (örneğin; şirket) bir “veri sorumlusu” belirlemesi gibi bir durum söz konusu değildir. Tüzel kişilikte veri sorumlusu, tüzel kişiliğin bizzat kendisidir.
Veri Sorumluları Sicili Hakkında Yönetmeliğin 11. Maddesinde de tüzel kişilerde veri sorumlusunun, tüzel kişiliğin bizzat kendisi olduğu, tüzel kişiliğin Kanunun uygulanması bakımından bir veya birden fazla kişiyi görevlendirebileceği, bu görevlendirmenin tüzel kişiliğin sorumluluğunu ortadan kaldırmayacağı açıkça belirtilmiştir.
Veri Sorumlusu, Kanun ile verilen görevleri yerine getirmek üzere atanan bir gerçek kişi midir?
Kanunda veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır. Esasen veri sorumlusu ifadesi ile kişisel veri işleme faaliyetini gerçekleştiren bir görevli, çalışan, yönetici veya bu faaliyetten sorumlu olan bir gerçek kişi kastedilmemektedir.
Örneğin; kişisel veri işleme faaliyetinin, tanımdaki kriterleri taşıyan bir tüzel kişi nezdinde gerçekleştirilmesi halinde veri sorumlusu, tüzel kişinin bizzat kendisidir. Benzer şekilde, kişisel veri işleme faaliyetinin tanımdaki kriterleri taşıyan bir gerçek kişi (örneğin; eczane) adına işlenmesi halinde de bu gerçek kişi veri sorumlusu olacaktır.
Bir şirketin çalışanları veya birimleri veri işleyen midir?
Kanunda veri işleyen; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlanmıştır. Veri işleyen, mutlaka veri sorumlusunun bünyesi dışında olmalıdır. Bu nedenle; şirket çalışanları veya şirketin kişisel veri işlemekte olan ilgili birimi veri işleyen olarak nitelendirilemeyecektir.
Örneğin; bir şirket çağrı merkezi hizmetini kendi çalışanları veya birimi ile değil de dışarıdan hizmet alımı yoluyla başka bir firma ile sözleşme yapmak suretiyle karşılamaktadır. Bu durumda şirket veri sorumlusu iken, şirket adına çağrı merkezi hizmeti sunan firma ise veri işleyendir.
Bir gerçek veya tüzel kişi hem veri sorumlusu hem de veri işleyen olabilir mi?
Veri sorumlusu ve veri işleyen sıfatı, veri işleme faaliyetinin niteliğine göre ilgili tarafı tanımlamaktadır.
Örneğin; bir çağrı merkezi şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından veri işleyen olarak kabul edilebilmektedir. Dolayısıyla, herhangi bir gerçek veya tüzel kişi yürüttüğü farklı faaliyetlerinde aynı zamanda hem veri sorumlusu hem de veri işleyen olabilecektir.