Artık bültenlerimizi sesli olarak da dinleyebilirsiniz!
Yeni Gelişme
Avrupa Veri Koruma Kurulu’nun (“EDPD“) veri sorumlusu, ortak veri sorumlusu ve veri işleyen kavramları hakkında rehberlik sağlayan “GDPR’da (2016/679 No.lu Genel Veri Koruma Yönetmeliği) veri sorumlusu ve işleyen kavramlarına ilişkin 07/2020 sayılı Kılavuzları” ilk olarak 2 Eylül 2020’de yayımlanmıştı. Kamu görüşünün alındığı bir sürenin sonunda, kılavuzların ikinci versiyonu 7 Temmuz 2021’de kabul edildi (“Kılavuzlar“). Kılavuzların İngilizce metnine buradan ulaşabilirsiniz.
Kılavuzlar Neler Getiriyor?
Kılavuzlarda, EDPB öncelikle veri sorumlusu, ortak veri sorumlusu ve veri işleyen kavramlarını açıklığa kavuşturmakta ve bu yasal tanımlar arasındaki temel farkları ayrıca analiz etmektedir.
Veri sorumlusunun, veri işleme faaliyetinin belirli temel unsurlarına karar veren ve işleme amaçlarını ve vasıtalarını (“neden ve nasılını”) belirleyen taraf olduğu vurgulanmaktadır. Ayrıca, uygulamanın daha pratik yönlerinin (“temel olmayan vasıtaların”) veri işleyene bırakılabileceği ve veri sorumlusunun işlenmekte olan verilere fiili erişiminin zorunlu olmadığı belirtilmiştir.
Veri sorumluların ortak kontrolü hususunda ise, ortak veri sorumluluğunun iki veya daha fazla tarafça ortak karar veya birbirini tamamlayan kararlar alınması ile olabileceği ve bunun veri işleme amaçları ve vasıtalarının belirlenmesi için gerekli olması gerektiği, vurgulanmıştır. Başka bir deyişle, ortak veri sorumluluğunda, tüm veri sorumlularının katılımı olmadan veri işlemenin mümkün olmayacağı açıklığa kavuşturulmuştur.
Veri işleyen, iki temel koşulu sağlayan taraf olarak tanımlanmaktadır: (i) veri sorumlusundan bağımsız olmak ve (ii) veri sorumlusu adına ve veri sorumlusunun talimatları ile sınırlı olmak koşuluyla veri işleme faaliyetini gerçekleştirmek. Bununla birlikte, veri işleyen yine de kendi takdirine bağlı olarak, veri sorumlusu adına veri işleme için en uygun teknik ve organizasyonel vasıtaları seçebilir.
EDPB, ilgili sorumluluklarla ilgili vaka örnekleri de sağlayarak veri sorumluları ve veri işleyenler arasında farklı roller atfetmenin sonuçlarını ayrıca açıklamaktadır. Kişisel veri ihlalinin bildirilmesi ve etki değerlendirmelerinin yapılması gibi belirli faaliyetlerden, veri işleyen bu faaliyetler ile ilgili hizmet sağlıyor olsa dahi, veri sorumlusunun sorumlu olması gerektiği vurgulanmaktadır. Bu doğrultuda, veri işleyenin, “gerektiğinde ve talep üzerine” veri sorumlusuna yardımcı olması gerektiği düzenlenmiştir. Bunların yanı sıra, veri sorumlusu ve veri işleyen arasında bir sözleşme veya diğer yasal belgelerin bulunması da rollerin belirlenmesi için önemli bir gereklilik olarak belirlenmiştir. Bu doğrultuda, ortak veri sorumlularının da “kim ne yapıyor” belirlemesini yapmaları ve sorumlulukları net bir şekilde dağıtmaları gerektiği belirtilmiştir.
Veri sorumlusu, işleyen ve ortak veri sorumlusu kavramlarının pratikte uygulanmasına yönelik bir akış şeması da Kılavuzlara ek olarak sunulmaktadır.
Sonuç
Kılavuzlar, farklı rollerin atfedilmesine ilişkin sonuçlara da değinerek ve belirli rollerin belirlenmesi için bir akış şeması ortaya koyarak veri sorumlusu, veri işleyen ve ortak veri sorumluluğu kavramlarına açıklık getirmektedir. Bu doğrultuda Kılavuzlar, ilgili terimlerin kesin anlamlarının belirlenmesi yönünden Avrupa Ekonomik Alanı’nda bir yeknesaklık oluşturulmasına katkıda bulunacak ve buna bağlı olarak GDPR’a dayalı veri işleme faaliyetlerine ilişkin sorumlulukların belirlenmesini kolaylaştıracaktır. Kılavuzlar, Kişisel Verilerin Korunması Kanunu No. 6698 kapsamında ilgili terimlerin yorumlanması için bir örnek oluştururken, ayrıca GDPR’a tabi olan veya Avrupa Ekonomik Alanı’ndaki veri sorumluları veya veri işleyenler ile faaliyette bulunan Türkiye’deki veri sorumluları veya veri işleyenler için de göz önünde bulundurulması gereken yorum kuralları ortaya koymaktadır.
