Kişisel Verilerin Korunması Kanunu kapsamında veri sorumlusu ve veri işleyen kavramlarını doğru anlamak, hukuki yükümlülüklerin belirlenmesi ve veri güvenliğinin sağlanması açısından önemlidir. Peki, bu iki kavram arasındaki temel farklar nelerdir? Hangi durumlarda aynı gerçek veya tüzel kişi her iki sıfatı da taşıyabilir?

Veri sorumlusu, kişisel verilerin “işleme amaçlarını ve vasıtalarını belirleyen”, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişidir. Tüzel kişiler adına doğan hukuki sorumluluk, ilgili tüzel kişinin şahsında gerçekleşir. Bir şirket bünyesindeki departmanların ayrı bir tüzel kişiliği olmadığından, departmanlar veri sorumlusu olamaz; ancak bir şirketler topluluğunu oluşturan her bir şirket tüzel kişiliğe sahip olduğundan, bu şirketlerin her birinin ayrı veri sorumlusu olması mümkündür.

Veri işleyen ise, veri sorumlusunun talimatları doğrultusunda, “onun adına kişisel verileri işleyen”, veri sorumlusunun organizasyonu dışında kalan ve kişisel veri işleme sözleşmesi ile yetkilendirilen gerçek veya tüzel kişidir.

Bu kapsamda aşağıdaki konularda karar yetkisi kimdeyse, o taraf veri sorumlusu sayılır:

• Hangi kişisel veriler toplanacak?
• Veriler kimlerden toplanacak?
• Hangi yöntemle toplanacak?
• Hangi amaçla işlenecek?
• Kimlerle paylaşılacak?
• Ne kadar süreyle saklanacak?

Veri işleyen ise bu kararlara müdahil olmaz; yalnızca veri sorumlusunun talimatları çerçevesinde, daha çok teknik işlemleri yerine getirir.

Bununla birlikte bir gerçek veya tüzel kişi, farklı faaliyetleri kapsamında aynı anda hem veri sorumlusu hem de veri işleyen statüsünde olabilmektedir:

• Örneğin bir muhasebe şirketi, kendi personeline ilişkin verilerde “veri sorumlusu”; müşterilerine ait mali kayıtları işlerken ise “veri işleyen” konumunda hareket eder.
• Bir bulut hizmeti sağlayıcısı, kendi çalışan verileri bakımından veri sorumlusu; müşterilerinin verilerini saklarken ise veri işleyen statüsündedir.

Sonuç olarak, veri sorumlusu ve veri işleyenin kim olduğunun tespiti, kişisel veri işleme faaliyetlerinin yasal çerçevede yürütülmesi ve tarafların sorumluluklarının netleştirilmesi açısından büyük önem taşımaktadır.