KVKK ve GDPR Uyarınca Ortak Veri Sorumlusu
Giriş
6698 sayılı Kişisel Verileri Koruma Kanunu (“KVKK”) ile kişisel veri, veri sorumlusu, veri işleyen ve ilgili kişi gibi birçok kavrama ilişkin tanımlar getirilir. Bu kavramların anlaşılması ve yorumlanması bakımından ikincil mevzuat, Kişisel Verileri Koruma Kurumu rehberleri ile Kişisel Verileri Koruma Kurulu (“Kurul”) kararları önemli rol oynar. Diğer yandan, kişisel veri işleme faaliyetleri bakımından sıklıkla gündeme gelen fakat KVKK kapsamına alınmamış olan “ortak veri sorumlusu” kavramına ilk defa 23/12/2021 tarihli ve 2021/1303 sayılı Kurul kararı[1] ile yer verilmiştir. Her ne kadar KVKK’nın veri sorumlusuna ilişkin tanımı, ortak veri sorumlusu olasılığını dışlamasa da ilk defa bu kavramı ele alan bu karar dikkate değerdir. Bu Hukuk Postası makalesinde ortak veri sorumlusu kavramı Avrupa Birliği hukukuyla mukayeseli olarak ele alınacak ve anılan Kurul kararı etrafında yorumlanacaktır.
Avrupa Birliği Mevzuatında Ortak Veri Sorumlusu
KVKK’nın hazırlık sürecine kaynaklık eden ve KVKK ile birçok benzerliği bulunan 95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Bu Verilerin Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Yönergesi (“Yönerge”) ile veri sorumlusu, tek başına veya başkalarıyla müştereken veri işleme amaç ve vasıtalarını belirleyen kişi olarak tanımlanır. Bu tanım ile veri sorumlusunun tek başına veya başkaları ile beraber veri işleme amaç ve vasıtalarını belirleyebileceği açıkça düzenlenirken, KVKK uyarınca veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanır. KVKK’nın veri sorumlusu tanımına bakıldığında, birden fazla kişinin birlikte veri sorumlusu olup olamayacağı açıkça engellenmese de bu konuya bir açıklık da getirmemektedir.[2]
Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ise anılan Yönerge ile getirilen düzenlemeyi detaylandırmaktadır. GDPR madde 26/1, benzer olarak, veri işleme amaç ve araçlarını müştereken belirleyen kişileri ortak veri sorumlusu olarak kabul eder. Başka bir deyişle veri işleme faaliyeti amaç ve araçlarının belirlenmesine müştereken katılan taraflar ortak veri sorumlusudur. Bu katılım, ortak karar alınması şeklinde gerçekleşebileceği gibi alınan kararların birbirini tamamlaması ve işleme amaçlarının ve araçlarının belirlenmesi konusunda somut bir etkiye sahip olması şeklinde de gerçekleşebilir. Ortak veri sorumlularının belirlenmesinde önemli başka bir kriter ise, işlemenin her iki tarafın da katılımı olmadan mümkün olmaması, tarafların katılımı birbirlerine ayrılmaz şekilde bağlı olmasıdır.[3] Diğer yandan ortak veri sorumluları arasındaki ilişki farklı şekillerde hayat bulabilir; veri işleme faaliyetlerini eşit bir şekilde üstlenmeyebilirler. Ortak veri sorumluları arasında tüm işleme amaç ve araçlarını birlikte belirleyerek yakın bir ilişki tesis edebilecekleri gibi, aksi bir yapı öngörülerek amaç veya araçları paylaşabilirler.[4]
GDPR madde 26/1 ayrıca Avrupa Birliği hukuku veya ortak veri sorumlularının tabi olduğu hukuk öngörmedikçe, ilgili kişilerin haklarının kullanılması, aydınlatma yükümlülüğü örnek olmak üzere, GDPR’dan doğan tüm yükümlülüklerini şeffaf bir şekilde belirlemeleri gerektiğini düzenler. Aynı maddenin ikinci fıkrasında ise, ortak veri sorumluları arasında bir anlaşma yapılması ve ilgili kişiler nezdindeki rollerinin ve ilişkilerinin bu anlaşmaya doğru bir şekilde aktarılması gerektiği düzenlenir. Böylelikle birden fazla veri sorumlusunun olduğu, veri işleme amaç ve vasıtalarının taraflarca beraber belirlendiği veri işleme faaliyetleri bakımından sorumluluğun tespit edilmesinde kolaylık sağlanır.[5] Fakat ortak veri sorumluları arasında yapılacak düzenleme, GDPR madde 26/2’ye uygun olarak, aralarındaki ilişkiyi tam olarak yansıtmadığı takdirde ise, mevcut durum esas alınmalıdır.[6] Anılan maddenin son fıkrasında ise, ilgili kişilerin, ortak veri sorumluları arasındaki düzenlemeye bakılmaksızın, her birine karşı haklarını ileri sürebileceği ifade edilir ve böylelikle ilgili kişilere sağlanan koruma pekiştirilir. Böylelikle GDPR kapsamında ilgili kişiler için tesis edilen asgari koruma düzeyi korunur ve yürütülen veri işleme faaliyetleri bakımından en azından bir veri sorumlusu yükümlü kılınmış olur.[7]
Direktif madde 29 uyarınca kurulan Çalışma Grubu, veri sorumlusu ve veri işleyen kavramlarına ilişkin 1/2010 sayılı görüşünde, ortak veri sorumlularına ilişkin bazı senaryolara yer verir. Örnek olarak yer verilen bir durumda bir seyahat acentesi, seyahat rezervasyonu yapmak üzere müşterilerinin kişisel verilerini havayolu şirketlerine ve bir oteller zincirine gönderir. Muhatap havayolu ve otel tarafından talep edilen koltuk ve odaların uygunluğu teyit edilir; seyahat acentesi ise müşterileri için seyahat belge ve faturalarını düzenler. Bu senaryoda, seyahat acentesi, havayolu şirketi ve otel, ayrı ayrı veri sorumlusudur.[8] Ortak amaç ve vasıtalarla veri işlenmesi söz konusu değildir, farklı veri sorumluları arasında veri aktarımı gerçekleştirilmektedir. Bir başka senaryoda ise, seyahat acentesi, otel zinciri ve havayolu şirketi, rezervasyon yönetimi için iş birliği tesis etmek üzere ortak bir platform kurar. Hangi verilerin depolanacağı, rezervasyonların nasıl alınacağı ve onaylanacağı, bu bilgilere kimin erişebileceği gibi konularda anlaşır; entegre pazarlama faaliyetleri yürütmek üzere müşteri verilerini paylaşırlar. Bu durumda, seyahat acentesi, havayolu ve otel zinciri, ilgili müşterilerinin kişisel verilerinin nasıl işleneceği konusunda ortak kontrole sahip olacak ve kurulacak platformda yürütülecek veri işleme faaliyetleri bakımından ortak veri sorumlusu olarak değerlendirilecektir.[9]
Kurul’un Araç Kiralama Sektöründe Kara Liste Uygulamasına İlişkin Bir İlke Kararı
20.01.2022 tarih ve 31725 sayılı Resmî Gazete’de yayımlanan 23.12.2021 tarih ve 2021/1304 sayılı Kurul kararı, KVKK’da düzenlenmemiş olan ortak veri sorumlusu kavramına ilk defa yer vermiştir.[10] Anılan kararda Kurum’a ulaşan ihbarlar uyarınca araç kiralama sektöründe kara liste uygulamalarının tespit edildiği ifade edilir. Söz konusu kara liste uygulamaları ise, araç kiralama firmalarının araç kiralayan müşterilerine ait kişisel verileri ile araç kullanımları sırasında ortaya çıkan olumsuzlukları derlemektedir ve aynı yazılımı kullanan araç kiralama firmaları arasında veri paylaşımına imkân tanıyan bir sistem kurgulandığı ifade edilir. Söz konusu yazılımın yönetimi ile veri tabanı, yazılım şirketindedir ve araç kiralama şirketlerinin yazılım kodlarına müdahalesi mümkün değildir, sadece içerik sağlamaktadırlar. Sonuç olarak araç kiralayan gerçek kişilerin araç kiralayabilmek üzere firmalara sağladığı kişisel verilerin kara liste özelliği olan yazılımlara aktarıldığı ve söz konusu verilerin yazılımı kullanan birçok kullanıcı ile paylaşıldığı tespit edilmiştir.
Kurul anılan kararında, KVKK m. 5 ile düzenlenen veri işleme şartları ile KVKK m. 8 ile düzenlenen veri aktarım şartlarını tekrarlarken; KVKK m. 12 uyarınca kişisel verilerin hukuka aykırı olarak işlenmesini önlemek üzere veri sorumlularının her türlü idari ve teknik tedbiri alması gerektiğini ifade eder. Ayrıca araç kiralama firmalarının 1774 sayılı Kimlik Bildirme Kanunu uyarınca araç kiralayanların kimlik bilgileri ve kira sözleşmesi kayıtlarını tutma ve bu kapsamda mevcut bilgi, belge ve kayıtları genel kolluk kuvvetlerinin incelemesine hazır bulundurma zorunluluğuna yer verir. Bu doğrultuda firmaların, Kiralık Araç Bildirim Sistemi’ne bildirimde bulunma yükümlülükleri bulunmaktadır ve firmalar sisteme veri girişi yapmak üzere kişisel veri işlemektedir. Bu açıklamalar ışığında araç kiralama firmalarının kişisel veri işleme faaliyetlerinin KVKK m. 5/2 uyarınca, “kanunlarda açıkça görülmesi”, “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” işleme şartlarının mevcut olduğu; ayrıca şirket ile müşteriler arasındaki sözleşmenin kurulması ve ifası için zorunlu olması nedeniyle kişisel veri işlenebilmesinin mümkün olduğu ifade edilir. Diğer yandan, kara liste gibi uygulamalar ile toplanan kişisel verilerin diğer araç kiralama şirketleriyle paylaşılması bakımından yapılan değerlendirmede, ilgili kişilerin temel hak ve özgürlükleri ile veri sorumlusunun meşru menfaati karşılaştırıldığında ilgili kişinin temel hak ve özgürlüklerinin öne çıktığı değerlendirilir. Bu nedenle, KVKK m. 5/2/f bendinle düzenlenen “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” şartı somut olayda mevcut değildir. Ayrıca Kurul, bir firma tarafından işlenen kişisel verilerin aynı yazılımı kullanan taraflarca erişilebilir kılınmasını, hukuka ve dürüstlük kurallarına uygun olma; belirli, açık ve meşru amaçlar için işlenme; amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerine aykırı bulur.
Yapılan değerlendirmeler ışığında Kurul, araç kiralama firmalarını veri sorumlusu olarak değerlendirir. Kararda öne çıkan değerlendirme ise, yazılımda bulunan kara liste kaydını kendi menfaatleri uyarınca kullanabilen araç kiralama firmaları ile yazılım şirketlerinin ortak veri sorumlusu olduğu kabulüdür. Ortak veri sorumluları bakımından sorumluluk ve kusur tespitinin ise, veri işleme süreçleri gözetilerek mümkün olacağı ifade edilir. Bu doğrultuda esas alınan kriterler örneklendirilir; (i) işlenen verinin ilk ve son kullanıcısının kim olduğu, (ii) veri girişinin kim tarafından yapıldığı, (iii) hangi amaçla veri girişinin yapıldığı, (iv) verinin değiştirilmesi, silinmesi veya aktarılması konusunda kimin karar verdiği, (v) veri toplayanlar hariç veri sorumlularının işlenen veriler ile hangi faaliyetleri yürüttükleri. Son olarak Kurul, işlenen kişisel verilerin aynı yazılımı kullanan birçok araç kiralama şirketi ile paylaşıldığı somut olayda, paylaşım yapılan taraflarının tespit edilmesi oldukça güç olduğundan, ilgili kişilerin KVKK m. 11’de düzenlenen haklarını veri sorumlularına karşı kullanmasının zorlaşabileceğine dikkat çekilir.
Sonuç
Kurul tarafından yapılan değerlendirmede kara liste uygulamaları bakımından kişisel veri işleyen araç kiralama firmaları ile yazılım şirketlerinin ortak veri sorumlusu olduğu değerlendirilmiş; gerekli idari ve teknik tedbirlerin veri sorumlularınca alınması gerektiği belirtilmiştir. Anılan karar, ortak veri sorumlusu kavramına ilk defa yer vermesi sebebiyle önemlidir. Kararda dikkat çeken bir konu ise, ortak veri sorumlularının tespitine uygulanacak kriterlere yer verilmemiş olması ve ortak veri sorumluları bakımından kusurluluk tespitine esas teşkil edecek kriterlerin örneklendirilmiş olmasıdır.
- Karar özeti için lütfen bakınız. https://www.kvkk.gov.tr/Icerik/7288/2021-1303 (Erişim Tarihi: 06.02.2023)
- Dülger, Murat Volkan: Kişisel Verilerin Korunması Hukuku, İstanbul, Hukuk Akademisi, 3. Bası, 2020, s. 196-197.
- Avrupa Veri Koruma Otoritesi, “Avrupa Birliği Genel Veri Koruma Tüzüğü kapsamında veri sorumlusu ve veri işleyen kavramlarına ilişkin 07/2020 Kılavuzu”, 02.09.2020, s. 3.
- Madde 29 Çalışma Grubu; “Veri Sorumlusu ve Veri İşleyen Kavramlarına İlişkin 1/2010 Sayılı Görüş”, 16.02.2010, s. 19.
- Dülger, s. 197.
- ÇG29; s. 18 ve 24.
- Dülger, s. 199., Develioğlu, Hüseyin Murat: 6698 Sayılı Kişisel Verilerin Korunması Kanunu ile Karşılaştırmalı Olarak Avrupa Birliği Genel Veri Koruma Tüzüğü uyarınca Kişisel Verilerin Korunması Hukuku, İstanbul, On İki Levha Yayıncılık, 2017. GDPR Türkçe metin için lütfen bakınız.
- ÇG29, s. 18
- ÇG29, s. 19.
Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.
Diğer İçerikler
Tüm zamanların ilk “Yapay Zekâ Yasası” olarak nitelendirilen ve özellikle ChatGPT, Bard ve Midjourney gibi araçları doğrudan etkileyen kural ve düzenlemeler içeren yasa Avrupa Parlamentosu tarafından 14 Haziran 2023 tarihinde gerçekleşen nihai oylamada oyçokluğuyla kabul edildi. Böylece Avrupa Parlamentosu...
Avrupa Birliği Adalet Divanı ("Adalet Divanı"), Case-300/21 sayılı ve 4 Mayıs 2023 tarihli kararında[i], GDPR'ın 82. maddesinde düzenlenen Avrupa Birliği Genel Veri Koruma Tüzüğü'nün ("GDPR") ihlaline ilişkin tazminat hakkını değerlendirdi. Adalet Divanı, GDPR'ın tek başına ihlal edilmesinin manevi zararın tazminini...
ChatGPT, OpenAI tarafından geliştirilen büyük dil modelidir. İnsan diline yakın seviyede metin üretmek için derin öğrenme teknikleri ve yapay sinir ağlarına dayanan bir yapay zeka sistemidir. Uzun metinler hazırlayıp sohbet havasında sorulan soruları cevaplayabilen ChatGPT kimi hallerde verdiği cevaplardaki...
Covid-19 pandemisi ve son dönemde yaşanan teknolojik gelişmeler tüm sektörlerin dijital dönüşümünü önemli ölçüde hızlandırdı. Ancak özellikle finans sektöründeki hızlı değişim (mobil bankacılık, e-ticaret, temassız ödemeler vb.) müşteriler için hayatı son derece kolaylaştırmakla birlikte bazı riskleri de...
Akıllı saatler özellikle son on yılda hayatımızı değiştirdi. Kol saati olarak paketlenen bu giyilebilir bilgisayarlar, en temel özelliklerinden olan zamanı göstermenin yanında gelen çağrıların cevaplanmasını, mesajlara dönüş yapabilmeyi ve sosyal medya bildirimlerine saniyeler içinde göz atmayı sağlar...
Kişisel Verileri Koruma Kurumu (“Kurum”), 16.06.2022 tarihinde Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı’nı (“Rehber Taslağı”) yayınladı. Rehber Taslağı henüz bağlayıcı değildir. 16.07.2022’ye kadar kamuoyu tarafından iletilmiş görüşlerin...
Almanya Federal Kartel Ofisi (“Bundeskartellamt”) Meta’yı (eski adıyla Facebook) daha önce kullanıcıların kişisel verilerini toplamak ve işlemek suretiyle sosyal ağ pazarındaki hâkim durumunu kötüye kullandığı gerekçesiyle sorumlu tutmuş, Meta ve bağlı şirketlerine tedbir uygulayarak söz konusu davranışlardan...
Günlük hayatın önemli bir parçası olan bankalar yürüttükleri faaliyetler gereği, yoğun olarak kişisel veri işleme faaliyetleri gerçekleştirmektedir. Bu kapsamda, Kişisel Verileri Koruma Kurumu, Türkiye Bankalar Birliği iş birliğinde, Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi...
Avrupa Birliği (“AB”) Üye Devletleri’nde toplu davalara ilişkin usul kuralları yeknesak değildir. Avrupa Parlamentosu tüketici haklarını iyileştirmek ve bu alanda Üye Devlet uygulamalarını yakınlaştırmak için, Toplu Tazminat Direktifi'ni (“Direktif”) kabul etmiştir. Direktif’in etkisiyle, veri koruma da...
Şubat 2020'de Avrupa Komisyonu (“Komisyon”), dijital dönüşüm ve politikasına ilişkin daha geniş bir girişimin parçası olarak “Avrupa Veri Stratejisi”ni yayımladı. Kendisini veri ekonomisinde lider rolünde tanımlayan Avrupa Birliği (“AB”), bu tebliğ ile Avrupa'nın küresel rekabet gücünü ve veri egemenliğini...
Amacı Sosyal Güvenlik Kurumu’nca (“SGK”) görev ve yetkileri kapsamında elde edilen verilerin işlenmesinde uyulacak usul ve esasları belirlemek olan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”) 19.02.2022 tarihli ve...
Çin Halk Cumhuriyeti Kişisel Verilerin Korunması Kanunu (“ÇKVK”) 20 Ağustos 2021 tarihinde 13. Ulusal Halk Kongresi Daimî Komitesi 30. Toplantısı’nda kabul edilmiş olup; ÇKVK Madde 74 uyarınca, 1 Kasım 2021 tarihinde yürürlüğe girmiştir...
Günümüzde, verinin bazı şirketler için en değerli malvarlığı unsurlarından ve en önemli kaynaklardan biri haline geldiği konusunda şüphe yoktur. Nitekim büyük ölçekte veri toplama, işleme ve analiz etme yetisi iş dünyasının...
