​İşverenlerin 2021 yıl sonuna kadar hazırlıklarını tamamlamaları gereken önemli bir husus var. Nitekim daha önceden defalarca ertelenen VERBİS kaydının 31.12.2021 tarihine kadar tamamlanmış olması gerekiyor. Buna göre, yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları ile yurtdışında yerleşik veri sorumlularının 31.12.2021 tarihine kadar sisteme kaydolmaları gerekiyor.

Aynı şekilde yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları ile kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumlularının da Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen süre 31.12.2021 tarihinde doluyor.


Tüzel Kişilikler Veri Sorumlusu Olarak Kimi Görevlendirmeli?

Veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Buna göre veri sorumlusu ifadesi ile, kişisel veri işleme faaliyetini gerçekleştiren bir görevli, çalışan, yönetici veya bu faaliyetten sorumlu olan bir gerçek kişi kastedilmemektedir.

Kişisel veri işleme faaliyetinin, tanımdaki kriterleri taşıyan bir tüzel kişi (örneğin bir şirket) nezdinde gerçekleştirilmesi halinde veri sorumlusu, tüzel kişinin bizzat kendisidir. Benzer şekilde, kişisel veri işleme faaliyetinin, tanımdaki kriterleri taşıyan bir gerçek kişi (örneğin eczane) adına işlenmesi halinde de bu gerçek kişi veri sorumlusudur.

Dolayısıyla bir tüzel kişinin bir “veri sorumlusu” belirlemesi gibi bir durum söz konusu değil. Zira tüzel kişilikte veri sorumlusu, tüzel kişiliğin bizzat kendisidir. Nitekim Veri Sorumluları Sicili Hakkında Yönetmeliğin 11. maddesinde tüzel kişilerde veri sorumlusunun, tüzel kişiliğin kendisi olduğu, tüzel kişiliğin Kanunun uygulanması bakımından bir veya birden fazla kişiyi görevlendirebileceği, bu görevlendirmenin tüzel kişiliğin sorumluluğunu ortadan kaldırmayacağı belirtilmiştir.

Ayrıca bağlı şirketlerin her biri, kişisel veri işleme amaç ve vasıtalarını kendileri belirliyorsa ve bir veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlularsa, Kanuna göre veri sorumlusu statüsüne sahip olacaklardır.


Tüzel Kişilerde Veri İşleyen Kimdir?

Burada bilinmesi gereken bir diğer husus ise bir şirketin çalışanları veya alt birimlerinin “veri işleyen” olmadığıdır. Kanunda “veri işleyen”; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlanmıştır.

Buna göre, veri işleyen mutlaka veri sorumlusunun bünyesi dışında olmalıdır. Bu nedenle şirket çalışanları veya şirketin kişisel veri işlemekte olan ilgili birimi, veri işleyen olarak nitelendirilemez.

Bunula birlikte, kişisel verisi işlenen ilgili kişi, Kanun kapsamındaki haklarına ilişkin olarak veri işleyene değil, veri sorumlusuna başvurmalıdır. Nitekim kişisel verilerin doğru ve gerektiğinde güncel olması hususunda yükümlülük veri sorumlusundadır.

​Kişisel Verilerin Korunmasında Sorumluluk, Veri Sorumlusunda mı Veri İşleyende mi?

Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, veri sorumlusu, söz konusu tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

Ayrıca, veri sorumluları ile veri işleyenler, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkalarına açıklayamaz, işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. Kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, kişisel verilerin hukuka aykırı işlenmesini önlemek, kişisel verilere hukuka aykırı erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla veri işleyen de veri sorumlusu ile birlikte sorumludur.

Veri işleme faaliyeti kapsamında bir ihlal olması halinde, bu ihlalin veri sorumlusu veya veri işleyen tarafından gerçekleştirilip gerçekleştirilmediğine bakılmaksızın, Kanun sorumluluğu veri sorumlusuna yüklemiştir. Dolayısıyla Kanun, ihlalden sorumlu olarak her zaman veri sorumlusunu görmektedir. Ancak veri sorumlusunun, bu ihlalin veri işleyen tarafından gerçekleştirildiğini tespit etmesi durumunda, aralarındaki sözleşme gereği ihlalin veri işleyeni ilgilendiren kısmı ile ilgili olarak veri işleyene rücu edebilmesi mümkündür.
 

Dr. Mehmet BULUT

İş ve Sosyal Güvenlik Uzmanı