EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Ortak Veri Sorumlusu Nedir? Nasıl Belirlenir? Yükümlülükleri Nelerdir?

Ortak Veri Sorumlusu Nedir? Nasıl Belirlenir? Yükümlülükleri Nelerdir?

Ortak veri sorumlusu daha öncesinden Avrupa’da başta GDPR olmak üzere farklı kaynaklardan türemiş bir veri sorumluluğu çeşidiydi. Ancak geçtiğimiz yıl Kişisel Verileri Koruma Kurumunun verdiği ilke karar ile artık bizim veri koruma hukukumuz da bir parçası oldu. Bu yazımızda ortak veri sorumlusu nedir, ortak veri sorumlusu nasıl belirlenir, ortak veri sorumlusunun yükümlülükleri nelerdir? Bu soruların cevaplarını vereceğiz.

Son bölümde ise ortak veri sorumlusu kavramını tam olarak anlamış olacaksınız. Yazıyı sonuna kadar okumanızı tavsiye ederiz.

Ortak veri sorumlusu nedir?

Ortak veri sorumlusu en temel ifade ile verilerin işlenmesinde amcı ve gerekli araçları birlikte belirleyen kişilerdir. Ortak veri sorumlusu kavramını ülkemizde ve Avrupa’daki yasal düzenlemeler çerçevesinde incelemekte fayda vardır. Hadi bu iki perspektiften ortak veri sorumlusu nedir sorusunun cevabını arayalım:

Avrupa mevzuatlarına göre ortak veri sorumlusu nedir?

Ortak veri sorumlusu Avrupa mevzuatında ilk bahsedildiği yer  95/46/EC sayılı yönergedir. Bu yönerge aynı zamanda KVKK’nın mehaz kanunu olarak da bilinir. ancak KVKK hazırlanırken ortak veri sorumlusu kanuna eklenmemiştir. 

İkinci olarak GDPR madde 26/1 ortak veri sorumlusunu tanımlamıştır. bu tanıma göre veri işleme amaç ve araçlarını ortak belirleyen kişiler ortak veri sorumlusu olacaktır. Bu karar sürecine katılan kişiler veri işleme faaliyetlerinden ortak sorumludurlar. Bu ortak sorumluluk, her iki tarafında veri işleme süreci ve gerekli araçları belirlemesi şeklinde olabileceği gibi, tek bir tarafın amacı belirleyip diğer tarafın araçların belirlenmesinde somut etkiye sahip olması şeklinde de olabilir. 

GDPR’a göre ortak veri sorumlusu olmanın şartları

  • Söz konusu işlemin her iki tarafında katılımının elzem olduğu bir şekilde alınması, bir taraf olmadan o işlemin yapılamıyor olması.
  • Ortak veri sorumlularının işlemlerin eşit bir şekilde üstlenmeleri gerekmez.
  • Aralarında amaç ve araçları paylaşabilirler.
  • Ortak veri sorumluları yükümlülüklerini şeffaf bir şekilde belirlemeliler

GDPR’a göre ortak veri sorumlusu anlaşması

GDPR madde 26/2’ye göre veri sorumluluklar aralarında yapacakları anlaşmaya göre hem birbirlerine hem de veri sahiplerine karşı olan yükümlülüklerini düzenleyen bir anlaşma yapmalılar. Bu anlaşma somut olaydaki sorumluluk yükleri ile uyuşmadığı durumlarda mevcut duruma göre karar verilmelidir.

GDPR’a göre ortak veri sorumlusuna başvuru

Yukarıda bahsettiğimiz 26. maddenin son fıkrasına göre de ilgili kişiler veri sorumlularının her birine ortak veri sorumlularının aralarındaki anlaşmaya bakmaksızın başvurabilir ve başvurulan veri sorumlusunun bu başvuruya cevap vermesi gerekir. 

KVKK özelinde ortak veri sorumlusu nedir?

Kişisel Verileri Koruma Kanununa göre GDPR benzeri ortak veri sorumlusu rolünün olup olmadığı hep bir şüphe halinde kalmıştı. Çünkü KVKK’da açıkça bahsedilmiyordu, buna ilişikin bir hüküm yoktu. Bu kavramın gündeme gelip uygulanabilir olması için Kurumun buna ilişkin bir karar vermesi gerekiyordu. Nihayet geçtiğimiz dönemlerde verilen bir karar içerisinde ortak veri sorumlusu kavramı kullanıldı ve hangi koşullarda ortak veri sorumlusu kavramının gündeme geleceği anlatıldı. Şimdi bu detaylara bakalım.

Araç kiralama şirketlerinin kullandığı kara liste uygulamasına ilişkin ilke karar

Resmi gazetede yayımlanan 2023/1304 sayılı Kurul kararı ile Kanunda açıkça düzenlenmeyen ortak veri sorumlusu kavramı uygulanabilir bir süje olarak hayatımıza dahil oldu.

Karar Liste Kararının Kararın Detayları

Kurula gelen ihbarın ardından araç kiralama sektöründe faaliyet gösteren ilgili firmalar üzerinde yapılan incelemede bir kara liste yazılımı tespit edilmiştir. Bu yazılım ile araç kiralama şirketi çalışanları müşteriler tarafından araçlara verilen zararları bu sisteme girerek bir daha bu müşterilere araç kiralamama ya da daha yüksek fiyatlardan kiralama işlemi yapmak için kullanıyormuş. Bu yazılıma girilen bilgiler arasında sadece araçla ilgili hasar bilgileri değil aynı zamanda müşterilerin kişisel bilgileri de vardır. 

Bu yazılımda toplanan bilgiler sadece verileri giren şirkette kalmayıp bu yazılımı kullanan tüm araç kiralama şirketleri ile paylaşılarak araçlara zarar veren müşteriler kara listeye eklenen müşterilere diğer kiralama şirketleri tarafında da araç kiralanmamasını sağlamaktadır.

Kurul yaptığı incelemede:

  • Söz konusu verileri işlemek için izin alınmadığı,
  • Müşterilere kendi verilerinin aleyhlerine işlenmesine itiraz hakkının sunulmaması
  • Olayda tek sorumlunun araç kiralam şirketi olmadığı, aynı zamanda kara liste yazılımının sahibi olan şirketin ortak veri sorumlusu  olduğuna karar vermiştir.

Biz bu yazıyı yazarken kara liste kararının üzerinden neredeyse 1.5 yıl geçmişti. Kararın numarasını hatırtlamadığımız için nasıl karara ulaşabiliriz diye düşünmeye vakit kalmadan KVKK Arar yardımımıza yetişti. Hemen KVKK Arar’ın karar arama panelini açarak anahtar kelime kısmına kara liste kararı” yazarak arattım ve bu kararın özetine eriştim. 

Siz de karar aramak için saatler harcamak istemiyorsanız hemen şimdi KVKK Arar’ı ücretsiz deneyebilirsiniz. 

 

Ücretsiz Dene

Ortak veri sorumlusu nasıl belirlenir?

Yukarıda bahsettiğimiz kara liste kararında Kurum ortak veri sorumluluğunun hangi şartlarda gündeme geleceğini de anlatıyor. Ortak veri sorumlularını belirlerken aşağıdaki sorular sorulabilir:

  1. Veri girişini kim yaptı?
  2. İşlenen verinin ilk ve son kullanıcısının kim?
  3. Veri girişi hangi amaçla yapıldı?
  4. Verilerin değiştirilmesine, silinmesine ve aktarılmasına kim karar veriyor?
  5. Veri toplayanlar hariç, toplanan veri ile veri sorumluları hangi faaliyetleri yürütüyor?

Ancak Kurumun ısrarla üzerinde durduğuduğu nokta ise ortak veri sorumlusunun her somut olayda ayrıca incelenerek karar verilmesi gerektiğidir. Kurumun kararda belirttiği gibi, yukarıdaki soruları sorarak her olay özelinde ayrıca değerlendirme yapılarak ortak veri sorumluluğuna kara verilmelidir.

Sonuç Olarak

Kurumun verdiği kara liste kararı, ortak veri sorumlusu kavramından ilk defa bahsetmesi bakımından oldukça önemlidir. Kurum kara liste kararında yazılımı üreten şirketi ortak veri sorumlusu olarak kabul etmiştir. 

Kişisel veriler alanında kendinizi geliştirmek istiyorsanız diğer yazılarımıza bakmanızı tavsiye ederiz. 

Bu yazıyı paylaşın:

YORUMLAR

Siz de görüşünüzü belirtin

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Türkçe dilinde GDPR karar özetlerini görmek ister misin?