Bilgi Teknolojileri Şirketlerinin Veri İşleyenliği
Veri İşleyen-Veri Sorumlusu
6098 sayılı Kişisel Verilerin Korunması Kanunu’nda yer alan tanımına göre veri işleme faaliyeti, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir. Söz konusu veri işleme faaliyetini veri sorumlusu yerine getirebileceği gibi veri sorumlusunun yetkilendirdiği gerçek veya tüzel kişi de gerçekleştirebilir.
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler olarak tanımlanmaktadır.
Kişisel Verileri Koruma Kurulu’nun ''Veri sorumlusu ve veri işleyenin tespitinde göz önünde bulundurulması gereken hususlar ile aydınlatma yükümlülüğünün kim tarafından yerine getirileceği”ne ilişkin Kişisel Verileri Koruma Kurulunun 30/01/2020 tarihli ve 2020/71 sayılı Kararı uyarınca aşağıda yer alan hususlarda kimin karar verdiği belirleyici olmakta ve bu hususların çoğunda söz sahibi olan taraf veya taraflar veri sorumlusu olarak nitelendirilmektedir.
Kişisel verilerin toplanması ve toplama yöntemi,
Toplanacak kişisel veri türleri,
Hangi bireylerin kişisel verilerinin toplanacağı,
Kişisel verinin işlenmesine ve kimin işleyeceğine karar verme,
İşleme faaliyetinin temel unsurlarına karar verme (hangi kişisel verilerin toplanacağı, toplanan verilerin hangi amaçlarla kullanılacağı ve ne şekilde işleneceği, verilerin ne kadar süreyle saklanacağı, veri saklama politikasının ne şekilde olacağı, verilere kimlerin erişme yetkisi olacağı, alıcıların kim olacağı gibi hususlar işlemenin temel unsurlarına örnek olarak gösterilebilir)
Toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı,
Kişisel verilerin işlenmesinde üst düzeyde, herhangi bir emir ve talimat almadan karar verebilme,
İlgili kişilerle doğrudan muhatap olma,
Kendi adına veri işleme faaliyetini yürütecek bir veri işleyen atama,
İşleme faaliyetinden menfaat sağlama.
Veri işleyenler çoğunlukla veri işleme faaliyetinin teknik kısımlarında rol oynamaktadır. Veri işleme faaliyetine ilişkin kararlar veri sorumlusu tarafından alınmakla birlikte karar verme yetkisi veri işleyene de bırakılabilmektedir. Veri işleyen, veri sorumlusunun belirlemiş olduğu temel amaç, araçlar ve veri sorumlusunun verdiği yetki doğrultusunda veri işleme faaliyetini gerçekleştirir. Yukarıda anılan karar uyarınca veri işleyenin belirlenmesi noktasında aşağıdaki hususlar belirleyici olmakta ve çoğunun bulunması halinde veri işleyen olarak nitelendirme yapılmaktadır.
Kişisel veri işlemek için başkasından talimat alınması,
Kişisel verilerin kişilerden toplanması sürecinde karar verme yetkisine sahip olmamak,
Kişisel verilerin kullanım amaçlarının belirlenmemesi,
Verilerin ne şekilde ifşa olabileceğine, kimlerin bu verilere erişebileceğine karar verme yetkisine sahip olmamak,
Veri saklama sürecine karar verme yetkisine sahip olmamak,
Veri işlemenin sonuçlarından sorumlu olmaması,
Veri sorumlusu ile yapılacak sözleşme gibi yasal bağlayıcılığı olan anlaşmalar çerçevesinde veri sorumlusunun verdiği yetkiler çerçevesinde kişisel verilerin işlenmesine yönelik birtakım karar verme mekanizmalarının söz konusu olup olmadığı
Bilgi Teknolojileri Şirketleri Açısından Değerlendirme
Bilgi Teknolojileri Şirketleri, müşterilerine yazılım, program ve uygulama geliştirme, çözümlerde bulunma, ağ sunucularını yönetme gibi hizmetler sunmaktadır. Yukarıda bahsedilenler ışığında bu hizmetlerin yerine getirilmesi süreçlerinde kendilerine aktarılan verilerin toplanması, işlenmesi ve saklanması hakkında karar verme yetkileri bulunmaması, bu hususlarda talimat almaları, kendilerine aktarılan verileri kendi ad ve amaçları için kullanamamaları göz önünde bulundurulduğunda veri işleyen olarak nitelendirilecektir.
Sonuç
Bilgi Teknolojileri Şirketleri, Kişisel Verileri Koruma Kurulu’nun ''Veri sorumlusu ve veri işleyenin tespitinde göz önünde bulundurulması gereken hususlar ile aydınlatma yükümlülüğünün kim tarafından yerine getirileceği”ne ilişkin Kişisel Verileri Koruma Kurulunun 30/01/2020 tarihli ve 2020/71 sayılı Kararı’nda yer alan hususlar dikkate alındığında hizmet süreçlerinde veri sorumlusundan talimat almaları, kişisel verilerin toplanması sürecinde söz hakları bulunmaması, kişisel verilerin kullanım amaçlarını belirleyememeleri, veri saklama sürelerine ve şekline karar verme yetkisine sahip olmamaları, veri işlemenin sonuçlarından sorumlu olmamaları gibi nedenlerden dolayı veri işleyen olarak nitelendirilecektir.