Makale
Kişisel verilerin korunması hukukunun temelini oluşturan ilgili kişi ve veri sorumlusu kavramları, hak ve yükümlülüklerin belirlenmesinde kritik role sahiptir. Bu metinde, veri işleme süreçlerinin ana aktörleri olan hukuki süjelerin statüleri, veri işleyen ile farkları ve karakteristik özellikleri incelenmektedir.
KVKK Kapsamında Temel Süjeler: İlgili Kişi ve Veri Sorumlusu
Gelişen teknoloji ve artan dijitalleşme ile birlikte kişisel verilerin işlenmesi, modern hukuk sistemlerinin en önemli odak noktalarından biri haline gelmiştir. Bu kapsamda, kişisel verilerin korunması hukuku, verisi işlenen bireyler ile bu verileri işleyen kişi ve kurumlar arasında hassas bir denge kurmayı amaçlamaktadır. Mevzuatımızda yer alan düzenlemelerde hakların ve yükümlülüklerin doğru bir şekilde tesis edilebilmesi için sistemin temel aktörleri olan süjelerin hukuki niteliklerinin net bir biçimde belirlenmesi şarttır. Söz konusu süjeler arasında, verileri üzerinde kontrol sahibi olması amaçlanan ilgili kişi ve veri işleme faaliyetlerinin kurallarını koyan veri sorumlusu en kritik pozisyonlarda yer almaktadır. Ayrıca, veri sorumlusunun talimatlarıyla hareket eden veri işleyen ile kurumla iletişimi sağlayan irtibat kişisi gibi yan aktörler de sistemin hukuki işleyişinde hayati bir fonksiyon icra etmektedir.
İlgili Kişi Kavramının Hukuki Çerçevesi
6698 sayılı Kanun uyarınca ilgili kişi, kişisel verisi işlenen gerçek kişiyi ifade etmektedir. Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında da veri öznesi olarak adlandırılan bu süje, yalnızca tanımlanmış veya tanımlanabilir bir gerçek kişi olabilir. Dolayısıyla, tüzel kişilerin ilgili kişi olması hukuken hiçbir şekilde mümkün değildir. Ancak, tüzel kişilere ait gibi görünen veriler dolaylı yoldan bir gerçek kişiyi belirlenebilir kılıyorsa, bu veriler kişisel veri sayılır ve ilgili gerçek kişi koruma kapsamına dâhil olur. Örneğin, bir şirketin çalışanına ait ad ve soyadı barındıran kurumsal e-posta adresi, o çalışanı belirlenebilir kıldığı için doğrudan ilgili kişi statüsünü doğurmaktadır. Veri koruma hukukunun temel gayesi, verinin nesnel varlığından ziyade verinin ilişkin olduğu gerçek kişinin temel hak ve özgürlüklerini, özellikle de insan onurunu ve mahremiyetini yasal güvence altına almaktır.
Gerçek Kişilerde İlgili Kişi Olma Koşulları
İlgili kişi sıfatı, medeni hukuk kuralları gereği kişiliğin sağ ve tam doğumla başlamasından ölümüne kadar geçen süreyi kapsar. Bu kuralın doğal bir sonucu olarak, ölmüş kişilere ait veriler, kural olarak doğrudan KVKK korumasından yararlanamaz. Kişisel Verileri Koruma Kurulu kararlarında da, ölmüş kişinin gerçek kişi sayılamayacağı ve doğrudan ilgili kişi haklarını kullanamayacağı açıkça vurgulanmıştır. Bununla birlikte, ölen kişinin verileri yaşayan mirasçılarını veya yakınlarını belirlenebilir kılıyorsa, bu durumda yaşayan kişiler ilgili kişi sıfatıyla dolaylı koruma talep edebilirler. Kırılgan gruplar arasında yer alan çocukların kişisel verilerinin korunması ise ayrı bir hassasiyet gerektirir. Çocuklar bizzat ilgili kişi sıfatını taşımakla birlikte, yaşlarına ve ayırt etme güçlerine bağlı olarak rıza ile hak kullanımı süreçlerinde mecburen yasal temsilcilerinin onayına ihtiyaç duyulabilmektedir.
Veri Sorumlusu ve Veri İşleyen Arasındaki Ayrımlar
Sistemin bir diğer temel süjesi olan veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri sorumlusu, kişisel verilerin hukuka uygun bir biçimde elde edilmesinden, saklanmasından ve imha edilmesinden asli derecede sorumludur. Tüzel kişilerin bizzat kendileri veri sorumlusu statüsündedir; tüzel kişilik içerisindeki departmanlar veya çalışanlar ayrı birer veri sorumlusu sayılamaz. Buna karşılık veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak ve tamamen onun talimatları doğrultusunda kişisel verileri işleyen tarafı temsil eder. Veri işleyen, veri sorumlusu adına hareket ederken bağımsız karar alma yetkisine sahip değildir. Ancak, veri işleyenin veri sorumlusunun talimatları dışına çıkarak kendi amaçlarını belirlemesi halinde, artık bağımsız bir veri sorumlusu statüsüne geçeceği ve hukuki yükümlülüklerinin buna göre ağırlaşacağı unutulmamalıdır.
İrtibat Kişisi ve Veri Sorumlusu Temsilcisi
Veri sorumlularının Kurul ile olan iletişim süreçlerini kolaylaştırmak ve yönetmek amacıyla mevzuatta irtibat kişisi ve veri sorumlusu temsilcisi gibi ek süjelere de yer verilmiştir. Türkiye'de yerleşik gerçek veya tüzel kişi veri sorumluları, Veri Sorumluları Siciline (VERBİS) kayıt sırasında idari süreçler için bir irtibat kişisi atamak zorundadır. İrtibat kişisi yalnızca bir gerçek kişi olabilir ve veri sorumlusunu hukuken temsile kesinlikle yetkili değildir. Öte yandan, Türkiye'de yerleşik olmayan veri sorumluları ise idari ve yasal faaliyetlerini yürütebilmek için bir veri sorumlusu temsilcisi atamakla mükelleftir. Temsilci, Türkiye'de yerleşik bir tüzel kişi veya bir Türkiye Cumhuriyeti vatandaşı olabilir ve yurt dışındaki veri sorumlusunun KVKK kapsamındaki resmi tebligatlarını yürütür.
Süjelerin ayrımında dikkate alınması gereken temel farklar şunlardır:
- Karar alma yetkisi açısından, veri sorumlusu veri işleme amacını bizzat belirlerken, veri işleyen sadece verilen talimatları uygular.
- Sorumluluk türü bakımından, veri sorumlusu sicile kayıt ve idari para cezalarından doğrudan sorumludur; veri işleyen ise sözleşmesel sınırlar içinde alt sorumluluk taşır.
- Hukuki nitelik olarak, ilgili kişi ve irtibat kişisi zorunlu olarak sadece gerçek kişi olabilirken; veri sorumlusu, veri işleyen ve temsilci hem gerçek hem de tüzel kişi olabilir.