Madde Bilinmiyor — üzel kişiye ait olacaktır. Bu konuda
kamu hukuku tüzel kişileri ve özel hukuk tüzel kişi-
leri bakımından bir farklılık gözetilmemiştir.
Bir şirket bünyesinde yer alan birimlerin ayrı bi-
rer tüzel kişiliği bulunmadığından bu birimlerin
veri sorumlusu olması mümkün değildir. Bununla
-- 5 of 16 --
6 | VERİ SORUMLUSU VE VERİ İŞLEYEN
birlikte, bir şirketler topluluğunu oluşturan her bir
şirket tüzel kişiliğe sahip olduğundan, bu şirket-
lerin her birinin ayrı ayrı veri sorumlusu olması
mümkündür.
Veri işleyen ise; veri sorumlusunun verdiği yetki-
ye dayanarak onun adına kişisel verileri işleyen,
veri sorumlusunun organizasyonu dışındaki gerçek
veya tüzel kişiler olarak tanımlanmaktadır. Bu kişi-
ler, kişisel verileri kendisine verilen talimatlar çer-
çevesinde işleyen, veri sorumlusunun kişisel veri
işleme sözleşmesi yapmak suretiyle yetkilendirdi-
ği, veri sorumlusunun organizasyonu dışındaki ayrı
bir gerçek veya tüzel kişidir.
Herhangi bir gerçek veya tüzel kişi aynı zamanda
hem veri sorumlusu hem de veri işleyen olabilir.
Örneğin; bir muhasebe şirketi kendi personeliyle
ilgili işlediği kişisel verilere ilişkin olarak veri so-
rumlusu sayılırken, müşterisi olan şirketlerin iş ve
işlemlerine ilişkin işlediği kişisel veriler bakımın-
dan veri işleyen olarak kabul edilecektir.
-- 6 of 16 --
Madde Bilinmiyor — hem veri sorumlusu hem de veri işleyen olabilir.
Örneğin; bir muhasebe şirketi kendi personeliyle
ilgili işlediği kişisel verilere ilişkin olarak veri so-
rumlusu sayılırken, müşterisi olan şirketlerin iş ve
işlemlerine ilişkin işlediği kişisel veriler bakımın-
dan veri işleyen olarak kabul edilecektir.
-- 6 of 16 --
VERİ SORUMLUSU VE VERİ İŞLEYEN | 7
Veri işleyenin faaliyetleri kişisel veri işlemenin daha
çok teknik kısımları ile sınırlıdır. Kişisel verilerin iş-
lenmesine ilişkin kararların alınmasına yönelik yet-
ki ise veri sorumlusuna aittir. Veri sorumlusu, kişisel
verilerin işlenme amacını ve yöntemini belirleyen
kişidir. Yani kişisel veri işleme kapsamında kendi
adına karar alma yetkisi olan ve kişisel veri işleme
faaliyetinin “neden” ve “nasıl” yapılacağı soruları-
nın cevabını verecek olan kişidir.
Veri sorumlusunun tespiti için aşağıdaki hususlara
kimin karar verdiği dikkate alınmalıdır:
• Kişisel verilerin toplanması ve toplama yöntemi,
• Toplanacak kişisel veri türleri,
• Toplanan kişisel verilerin hangi amaçlarla kul-
lanılacağı,
• Hangi bireylerin kişisel verilerinin toplanacağı,
• Toplanan kişisel verilerin paylaşılıp paylaşılma-
yacağı, paylaşılacaksa kiminle paylaşılacağı,
• Kişisel verilerin ne kadar süreyle saklanacağı.
-- 7 of 16 --
Madde Bilinmiyor — • Toplanacak kişisel veri türleri,
• Toplanan kişisel verilerin hangi amaçlarla kul-
lanılacağı,
• Hangi bireylerin kişisel verilerinin toplanacağı,
• Toplanan kişisel verilerin paylaşılıp paylaşılma-
yacağı, paylaşılacaksa kiminle paylaşılacağı,
• Kişisel verilerin ne kadar süreyle saklanacağı.
-- 7 of 16 --
8 | VERİ SORUMLUSU VE VERİ İŞLEYEN
Bununla birlikte, veri sorumlusu yapacağı kişisel
veri işleme sözleşmesiyle, aşağıda örnek olarak
belirtilen hususlarda karar verme yetkisini veri iş-
leyene bırakabilir:
• Kişisel verilerin toplanması için hangi bilgi tek-
nolojileri sistemlerinin veya diğer metotların
kullanılacağı,
• Kişisel verilerin hangi yöntemle saklanacağı,
• Kişisel verilerin korunması için alınacak güvenlik
önlemlerinin detayları,
• Kişisel verilerin aktarımının hangi yöntemle ya-
pılacağı,
• Kişisel verilerin saklanmasına ilişkin sürelerin
doğru uygulanabilmesi için kullanılacak metot,
• Kişisel verilerin silinmesi, yok edilmesi ve ano-
nim hale getirilmesi yöntemi.
Bu noktada, veri sorumlusuyla veri işleyen arasın-
daki bazı ortak noktaların belirtilmesi gerekmek-
tedir:
-- 8 of 16 --
Madde Bilinmiyor — ılacağı,
• Kişisel verilerin saklanmasına ilişkin sürelerin
doğru uygulanabilmesi için kullanılacak metot,
• Kişisel verilerin silinmesi, yok edilmesi ve ano-
nim hale getirilmesi yöntemi.
Bu noktada, veri sorumlusuyla veri işleyen arasın-
daki bazı ortak noktaların belirtilmesi gerekmek-
tedir:
-- 8 of 16 --
VERİ SORUMLUSU VE VERİ İŞLEYEN | 9
İlk olarak belirtmek gerekir ki; veri sorumlusu ifa-
desiyle, bir şirket içerisinde kişisel veri işleme faa-
liyetlerinden sorumlu bir şahıs kastedilmemekte-
dir. Veri sorumlusu bizzat tüzel kişiliğin kendisidir.
Veri sorumlusu (aynı şekilde veri işleyen de) olmak,
6698 sayılı Kanun’un hukuki yükümlülükleri tayin
etmek amacıyla belirlediği bir statüdür ve 6698 sa-
yılı Kanun’da bulunan tanımda belirtilen özellikleri
karşılaması durumunda, şirket tüzel kişiliğinin biz-
zat kendisi bu statüde yer alacaktır. Örneğin; kişi-
sel veri işleme faaliyetinin bir parçası olarak bir
şirkette belge teslim alan ve kaydeden kişi değil,
şirket tüzel kişiliğinin bizzat kendisi “veri sorumlu-
su” sıfatına sahiptir.
İkinci olarak ifade edilmesi gereken husus; her
iki kavramın da hem gerçek hem de tüzel kişiler
için geçerli olduğudur. Örneğin; serbest çalışan bir
mali müşavir de mali müşavirlik şirketi de hem veri
sorumlusu hem de veri işleyen olabilir. Bir şirket
bünyesinde yer alan birimlerin tüzel kişiliği bulun-
madığından, bu birimlerin veri sorumlusu veya veri
-- 9 of 16 --
Madde Bilinmiyor — çek hem de tüzel kişiler
için geçerli olduğudur. Örneğin; serbest çalışan bir
mali müşavir de mali müşavirlik şirketi de hem veri
sorumlusu hem de veri işleyen olabilir. Bir şirket
bünyesinde yer alan birimlerin tüzel kişiliği bulun-
madığından, bu birimlerin veri sorumlusu veya veri
-- 9 of 16 --
10 | VERİ SORUMLUSU VE VERİ İŞLEYEN
işleyen olması mümkün değildir. Bununla birlikte,
bir şirketler topluluğunu oluşturan her bir şirket
tüzel kişiliğe sahip olduğundan, veri sorumlusu
tanımındaki diğer unsurları da taşıyorsa, bu şir-
ketlerin her biri ayrı iki statüde de yer alabilir.
Son olarak ise; bir tüzel ya da gerçek kişinin aynı
anda hem veri sorumlusu hem de veri işleyen ola-
bileceğini söylemek mümkündür. Örneğin; bir bulut
bilişim hizmeti sunan şirket, kendi çalışanlarının
kişisel verileri bakımından “veri sorumlusu” iken
müşterileri konumunda bulunan şirketlerin iş ve
işlemleri kapsamında işlediği kişisel veriler bakı-
mından “veri işleyen” sıfatıyla hareket etmektedir.
b. Örnekler1
i. Pazar Araştırması Şirketleri
Bir ilaç firması ile yaptığı sözleşme uyarınca bir
araştırma şirketi, ilaç firması için çalışan mem-
nuniyeti anketi düzenlemeyi üstlenmiştir. Firma,
1 Bu bölümde anlatılanlar sadece örnek mahiyetinde olup
söz konusu aktörler açısından genel bir değerlendirme ni-
teliğinde değildir.
-- 10 of 16 --
Madde Bilinmiyor — ir ilaç firması ile yaptığı sözleşme uyarınca bir
araştırma şirketi, ilaç firması için çalışan mem-
nuniyeti anketi düzenlemeyi üstlenmiştir. Firma,
1 Bu bölümde anlatılanlar sadece örnek mahiyetinde olup
söz konusu aktörler açısından genel bir değerlendirme ni-
teliğinde değildir.
-- 10 of 16 --
VERİ SORUMLUSU VE VERİ İŞLEYEN | 11
anket yapılacak çalışan listesinin belirlenmesini,
anket metodunun seçimini ve anket sonuçlarının
sunumunu araştırma şirketine bırakmıştır.
Bu durumda araştırma şirketi, her ne kadar firma
adına anketi yapıyor ve kişisel verileri işliyor olsa
da ilaç firması ile birlikte veri sorumlusu statüsün-
dedir. Zira hangi çalışanlarla anket yapılacağı, han-
gi kişisel verilerin toplanacağı vb. konularda karar
verme yetkisine sahip olan araştırma şirketidir.
ii. Ödeme Servisleri
İnternet üzerinden satış gerçekleştiren bir kişinin bir
ödeme hizmeti şirketi ile anlaşması suretiyle müşte-
rilerinin kişisel verilerinin işlenmesi durumda; öde-
me hizmeti şirketi, satıcının veri işleyeni konumunda
olmayıp bu kişisel verilerin işlenmesi bakımından
veri sorumlusu statüsündedir. Zira ödeme hizmeti
şirketi;
(1) Ödemelerin doğru yapılabilmesi için müşteri-
lerden hangi verilerin toplanması gerektiğine
karar vermektedir.
-- 11 of 16 --
Madde Bilinmiyor — ; öde-
me hizmeti şirketi, satıcının veri işleyeni konumunda
olmayıp bu kişisel verilerin işlenmesi bakımından
veri sorumlusu statüsündedir. Zira ödeme hizmeti
şirketi;
(1) Ödemelerin doğru yapılabilmesi için müşteri-
lerden hangi verilerin toplanması gerektiğine
karar vermektedir.
-- 11 of 16 --
12 | VERİ SORUMLUSU VE VERİ İŞLEYEN
(2) Toplanan kişisel verilerin hangi amaçla kullanı-
lacağı konusunda kontrol sahibidir.
(3) Satıcıdan bağımsız olarak doğrudan kişisel veri-
leri işlenen müşterilere uyguladığı kendi hüküm
ve şartları bulunmaktadır.
(4) Satıcıdan bağımsız olarak kendi tabi olduğu
hukuki yükümlülükler bulunmaktadır. Örneğin;
kredi kartı bilgilerinin silinmesi.
iii. Avukatlar
Bir şirketin işten ayrılan çalışanlarından birinin
şirketin müşteri listesini çaldığı ve buna karşılık
şirketin listeyi nasıl geri alabileceği ile ilgili bir
avukata başvurmuş olduğu bir örnekte; şirketin
eski çalışanıyla ilgili kişisel verileri avukata tes-
lim etmesiyle avukat da veri sorumlusu statüsüne
sahip olur. Bu durumda avukatın şirketin adına
işlem yapıyor olması bunu değiştirmez. Zira avu-
kat, elde edilen kişisel verilerin nasıl işleneceğini
kendisi belirleyecektir. Dolayısıyla, sağlanan kişisel
veriler bakımından hem şirket hem de avukat veri
-- 12 of 16 --
Madde Bilinmiyor — avukat da veri sorumlusu statüsüne
sahip olur. Bu durumda avukatın şirketin adına
işlem yapıyor olması bunu değiştirmez. Zira avu-
kat, elde edilen kişisel verilerin nasıl işleneceğini
kendisi belirleyecektir. Dolayısıyla, sağlanan kişisel
veriler bakımından hem şirket hem de avukat veri
-- 12 of 16 --
VERİ SORUMLUSU VE VERİ İŞLEYEN | 13
sorumlusu statüsündedir. Bu anlamda her birinin
uyması gereken kendi yükümlülükleri bulunmak-
tadır (örneğin; ilgili kişinin kişisel veriye erişim ta-
lebinin yerine getirilmesi bakımından ikisi de ayrı
ayrı sorumludur).
iv. Mali Müşavirler
Mali müşavirler, müşterilerinin hesaplarıyla ilgili
kayıtları tutarken bu kayıtlardaki kişisel verilerin
işlenmesi bakımından veri sorumlusudurlar. Zira
mali müşavirlerin işledikleri kişisel verilerle ilgili
sorumluluk almasını zorunlu kılan birçok mesleki
yasal yükümlülükleri bulunmaktadır. Örneğin; bir
şirketin hesaplarını incelerken yolsuzluğa rastla-
maları durumunda mali müşavirlerin adli ve idari
birimler veya diğer yetkili kurumlara bildirimde
bulunma zorunluluğu bulunmakta olup mali mü-
şavirin bu bildirimi yaparken müşterisinin talimat-
ları doğrultusunda hareket etmeyeceği açıktır.
Dolayısıyla bunun gibi uzman hizmet sağlayıcıları,
kendi mesleki yasal yükümlülüklerine tabi olduk-
-- 13 of 16 --
Madde Bilinmiyor — birimler veya diğer yetkili kurumlara bildirimde
bulunma zorunluluğu bulunmakta olup mali mü-
şavirin bu bildirimi yaparken müşterisinin talimat-
ları doğrultusunda hareket etmeyeceği açıktır.
Dolayısıyla bunun gibi uzman hizmet sağlayıcıları,
kendi mesleki yasal yükümlülüklerine tabi olduk-
-- 13 of 16 --
14 | VERİ SORUMLUSU VE VERİ İŞLEYEN
ları sürece veri sorumlusu statüsünde bulunacak-
lardır ve veri sorumlusu olmaktan kaynaklanan
yükümlülüklerini anlaşmayla/sözleşmeyle müşte-
rilerine kısmen veya tamamen devretmeleri müm-
kün olmayacaktır.
v. Bulut Hizmeti Sağlayıcıları
Bir kamu kuruluşunun, topladığı kişisel verilerin
saklanması için bir bulut hizmeti sağlayıcısıy-
la sözleşme yapması durumunda, bulut hizmeti
sağlayıcısı veri işleyen statüsündedir. Zira taraf-
lar arasındaki sözleşme gereğince bulut hizmeti
sağlayıcısının kişisel verileri kendi amaçları için
kullanması mümkün değildir. Ayrıca bulut hizmeti
sağlayıcısı, verdiği hizmet kapsamında kendisi adı-
na kişisel veri işlememektedir. Tek faaliyeti kamu
kuruluşundan gelen kişisel verileri yine kamu ku-
ruluşunun talimatlarına uygun olarak saklamaktır.
-- 14 of 16 --
VERİ SORUMLUSU VE VERİ İŞLEYEN | 15
-- 15 of 16 --
Adres: Nasuh Akar Mahallesi
1407. Sokak No: 4
Çankaya/ANKARA
Telefon: 0 312 216 50 00
Web: www.kvkk.gov.tr
kvkkurumu
-- 16 of 16 --
