KVKK ile ilgili bir şeyler okuduysan, belki de şu iki terimi duydun: Veri sorumlusu ve Veri işleyen. Ama ne yazık ki bu iki kavram çoğu zaman birbirine karıştırılıyor. İnsanlar “veri sorumlusu” dediklerinde, birileri hemen “Aaa ama ben de verileri işliyorum, o zaman ben de sorumluyum!” diye düşünüyor. Durum öyle değil aslında. Hadi gel, bunları netleştirelim.

Veri Sorumlusu Kimdir?

Veri sorumlusu, kişisel verilerin işlenmesiyle ilgili son kararı veren kişidir. Yani veri neden toplanacak, ne için kullanılacak, kimlerle paylaşılacak gibi kritik kararlara o karar verir.

Bir şirket düşün. Bu şirket, müşterilerinin bilgilerini topluyor. İşte bu bilgileri ne zaman, nasıl ve kimlere vereceklerine karar veren kişi veri sorumlusu olur. Yani bu kişi, veri sürecinin kontrolünü elinde tutar.

Örnek:

• Bir sağlık merkezi, hastaların kişisel bilgilerini topluyor.
• Hastane veri sorumlusudur çünkü o verilerin hangi amaçla toplanıp, nasıl kullanılacağına karar veriyor.

Veri İşleyen Kimdir?

Veri işleyen, veri sorumlusunun belirlediği kurallar doğrultusunda veri işlemi yapan kişidir. Yani veri işleyen kişi, sadece verilen talimatlarla hareket eder ve ne yapması gerektiğine başka birisi karar verir. Veri işleyen, sadece sorumluluğu olan görevleri yerine getirir.

Örnek:

• Diyelim ki bir çağrı merkezi, bir şirketin müşteri verilerini kullanarak hizmet veriyor.
• Çağrı merkezi burada veri işleyendir, çünkü şirket (yani veri sorumlusu) müşteri verilerinin nasıl kullanılacağına karar vermiştir, çağrı merkezi sadece bunları işler.

Günlük Hayattan Basit Örnekler

1. Hastane ve Laboratuvar İlişkisi

• Hastane, hastalarının kan örneklerini bir laboratuvara gönderiyor.
• Hastane, hangi bilgilerin alınacağına ve ne amaçla kullanılacağına karar veriyor.
  → Hastane veri sorumlusudur.
• Laboratuvar sadece testleri yapıyor.
  → Laboratuvar veri işleyendir.

2. E-Ticaret ve Kargo Firması

• Bir e-ticaret sitesi, sipariş bilgilerini kargo şirketine gönderiyor.
• E-Ticaret sitesi veri sorumlusudur çünkü veri neden ve nasıl toplanacağına karar verir.
• Kargo firması sadece siparişi teslim eder.
  → Kargo firması veri işleyendir.

“Hangisiyim?” Diye Düşünüyorsan…

Veri sorumlusu ve veri işleyenin farkını anlamak çok basit aslında. Kendi işinde kim karar veriyorsa, o kişi veri sorumlusudur. Eğer sadece birinin talimatıyla hareket ediyorsan, o zaman sen veri işleyensin.

Birkaç soru ile karar verebilirsin:

• Ben bu verileri niye topluyorum?
• Bu verileri nasıl kullanacağım?
• Kimlerle paylaşacağım?

Eğer bu sorulara cevabı sen veriyorsan → veri sorumlususun.
Eğer bunlara bir başkası karar veriyorsa ve sen sadece uyguluyorsan → veri işleyensin.

Sonuç

Veri sorumlusu ve veri işleyen arasındaki farkı anlamak çok önemli. Çünkü hangi role sahip olduğunun farkında olmak, hem sana hem de şirketine büyük avantaj sağlar. Eğer veri işleme sürecinde sorumluluğu senin elinde tutuyorsan, her şey senin kontrolünde olur.