Kişisel verilerin korunması hukukunda yalnızca veri sorumlusu değil, veri işleyen kişiler de önemli bir yere sahiptir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), veri işleyeni de sorumluluk çerçevesine dâhil ederek bu kişilere belirli yükümlülükler getirmiştir.

1. Veri İşleyen Kişi Kimdir?

Veri işleyen; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Bu kişi ya da kurum, kişisel verilerin işlenmesi konusunda karar verici değildir; sadece veri sorumlusunun talimatları doğrultusunda hareket eder.

Örneğin, bir şirketin bordro hizmetlerini dışarıdan alan bir yazılım firması, bu hizmet kapsamında çalışan verilerine erişip işlem yapıyorsa, bu firma "veri işleyen" konumundadır.

2. Veri İşleyenin Yetki ve Sorumlulukları

Veri işleyen, doğrudan karar verici olmadığı için veri sorumlusunun talimatları dışına çıkamaz. Ancak bu durum, onu yükümlülükten tamamen muaf kılmaz. Aşağıdaki sorumluluklar, veri işleyeni de kapsamaktadır:

• Sadece Veri Sorumlusunun Talimatı ile Hareket Etme: Veri işleyen, veri sorumlusunun belirlediği amaç ve kapsam dışında kişisel verileri işleyemez.

• Gizlilik Yükümlülüğü: Kişisel veriler gizli tutulmalıdır. Veri işleyen, öğrendiği kişisel verileri hiçbir şekilde üçüncü kişilerle paylaşamaz ve amacı dışında kullanamaz.

• Veri Güvenliğini Sağlama: Kişisel verilerin kaybı, yasa dışı erişimi veya ifşasını önlemek için gerekli teknik ve idari tedbirleri alma yükümlülüğü, veri işleyen açısından da geçerlidir.

• Veri İhlali Durumunda Bildirim: Kişisel veri güvenliğinin ihlal edilmesi hâlinde, veri işleyen, durumu derhal veri sorumlusuna bildirmekle yükümlüdür. Veri sorumlusu da gerekli bildirimleri Kişisel Verileri Koruma Kurumu’na yapmalıdır.

3. Sözleşmesel Dayanak: Veri İşleyen ile Veri Sorumlusu Arasındaki İlişki

Veri işleme faaliyetinin hukuka uygunluğu için, veri sorumlusu ile veri işleyen arasında yazılı bir sözleşme bulunması önemlidir. Bu sözleşmede:

• İşlenecek verilerin kapsamı,

• İşleme süresi,

• Güvenlik önlemleri,

• İade veya imha hükümleri gibi hususlar net şekilde düzenlenmelidir.

Bu şekilde taraflar arasında sorumluluk alanları açıkça belirlenmiş olur.

4. Veri İşleyenin KVKK’ya Uyum Yükümlülüğü

Her ne kadar veri işleyen doğrudan veri sorumlusu olmasa da KVKK'ya aykırı hareket etmesi hâlinde hem özel hukuk hem de ceza hukuku sorumluluğu doğabilir. Bu nedenle, veri işleyenlerin de KVKK eğitimi alması, uygun güvenlik önlemlerini uygulaması ve denetime açık bir yapı kurması gereklidir.

 

Ankara’da KVKK Uyum Süreci ve Veri İşleme Danışmanlığı
Kişisel verilerin işlenmesi sürecinde hem veri sorumlularının hem de veri işleyenlerin hukuka uygun davranması kritik önemdedir. Ankara’da avukat olarak, KVKK kapsamında veri işleyen konumunda bulunan kişi ve kurumlara özel danışmanlık hizmetleri ve detaylı bilgi için benimle iletişime geçebilirsiniz.