Veri Koruma Hukuku Aktörleri Veri işleyen olduğunu düşünen kişinin Kanun karşısında esasen veri sorumlusu olması, hukuki yükümlülüğünü eksik yerine getirmesine neden olmaktadır. Zira, Kanun kapsamında veri işleyenin yükümlülüklerinin veri sorumlusuna kıyasla çok daha sınırlı olduğu açıktır. Veri Koruma Hukuku Aktörleri Çalışmamız Hakkında: Her ne kadar, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”), “Tanımlar” başlıklı 3.maddesinde veri koruma hukuku aktörleri tanımlanmışsa da, uygulamadaki kafa karışıklıklarını biraz olsun gidermek, yükümlülüklerin kapsamının belirlenmesi açısından faydalı olacaktır. Veri işleyen olduğunu düşünen kişinin Kanun karşısında esasen veri sorumlusu olması, hukuki yükümlülüğünü eksik yerine getirmesine neden olmaktadır. Zira, Kanun kapsamında veri işleyenin yükümlülüklerinin veri sorumlusuna kıyasla çok daha sınırlı olduğu açıktır. Hal böyleyken, işbu çalışmamızda veri koruma aktörlerinin ayrıntılı tanımı yapılacak, ayrımda esas alınması gereken kriterler biraz olsun aydınlatılmaya çalışılacaktır. Veri Sorumlusu Kimdir? Kanun, veri sorumlusunu; “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlamıştır. Esasen burada dikkate alınması gereken kriter; “veri işleme amaç ve vasıtalarını belirlemek yani “veri üzerindeki hakimiyet” olmalıdır. Aktör, kişisel veriyi bizzat “kendi amaçları” doğrultusunda işliyorsa ve veri hakimiyeti onun üzerindeyse, o zaman bu hakimiyet nedeniyle Kanun ona “veri sorumlusu” sıfatı yükleyecek ve Kanun’da veri sorumlusu için öngörülen yükümlülüklere tabi olacaktır. Veri İşleyen Kimdir? Kanun, veri işleyeni ise, “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi” olarak tanımlamıştır. Kanun maddesi, ilk okunduğunda her ne kadar akla hemen şirket adına veri işleyen çalışanlar gelse de; şirket çalışanları kural olarak veri işleyen sıfatını taşımazlar. Zira, bir aktörün veri işleyen sıfatından bahsedilebilmesi için; veri sorumlusu talimatları doğrultusunda veri sorumlusu adına veri işlemesi ve veri sorumlusundan “hukuki anlamda bağımsız” olması gerekmektedir. Yine, uygulamada sıkça karıştırılan başka bir durum avukat ve mali müşavirlerin Veri Koruma Hukuku kapsamındaki sorumluluğudur. Her ne kadar, Kanun maddesi ilk okunduğunda avukat ve mali müşavirlerin veri işleyen tanımına girdiği düşünülse de burada dikkat edilmesi gereken husus yine “veri üzerindeki hakimiyet” kriteridir. Avukat ya da mali müşavir müvekkili/mükellefi adına işlem yapıyor olsa da, elde edilen kişisel verilerin nasıl işleneceğini kendisi belirlediğinden, veri üzerinde hakimiyete sahiptir. Hal böyleyken, hem müvekkilin/mükellefin hem de avukatın/mali müşavirin ayrı ayrı veri sorumlusu sıfatını taşıdığı söylenebilir. Sonuç: Dikkat edilmesi gereken nokta, her bir veri işleme süreci bakımından ayrı bir değerlendirme yaparak veri üzerindeki hakimiyetin kimin üzerinde olduğunun belirlenmesidir. Kişinin çalışan, avukat, mali müşavir, işveren sıfatı değil; veri işleme sürecindeki etkisi ve hakimiyeti dikkate alınarak tanımlanması, yükümlülüklerinin bu sonuca göre belirlenmesi gerekmektedir. Aksi tutum eksik ve/veya yanlış hukuki değerlendirmeleri, dolayısıyla Kanun’a aykırılığı doğurabilir, idari ve cezai sorumlulukları gündeme getirebilir.