Veri Sorumlusu Kimdir? Kimler Veri İşleyen Sayılır? (Örnekli ve Açıklamalı KVKK Rehberi)
“KVKK veri sorumlusu kimdir?”, “veri işleyen ne demek?”, “ben veri sorumlusu muyum?”,
“ajans veri sorumlusu mu?”, “site yönetimi veri sorumlusu sayılır mı?” gibi sorular,
KVKK uygulamasında en çok aranan ve en çok hata yapılan konuların başında gelir.
Bu rehberde kavramları en basit hâliyle, gerçek hayattan örneklerle ve sektöre göre açıklamalarla
anlatıyoruz.
📌 Veri Sorumlusu Kimdir? (KVKK’ya Göre Basit Tanım)
Veri sorumlusu, kişisel verilerin:
- Neden işlendiğine
- Hangi amaçla toplandığına
- Ne kadar süre saklanacağına
- Kiminle paylaşılacağına
karar veren kişi veya kurumdur.
Kişisel verilerle ilgili “karar veren” taraf, KVKK’ya göre veri sorumlusudur.
🧪 Kendinize Şu Soruyu Sorun (Hızlı Test)
Aşağıdaki sorulardan en az biri “evet” ise, büyük ihtimalle veri sorumlususunuz:
- Bu verileri neden topluyorum?
- Bu verilerle ne yapacağım?
- Ne zaman sileceğime ben mi karar veriyorum?
- Üçüncü kişilere aktarım kararını ben mi veriyorum?
✅ Veri Sorumlusu Kimdir? (Net ve Tanımlayıcı Örnekler)
🔹 1) Şirketler (En Sık Aranan Senaryo)
Örnek: Bir şirket, müşterilerinin ad-soyad, telefon, e-posta ve fatura bilgilerini topluyor ve CRM sistemine kaydediyor.
Neden? Çünkü hangi verinin alınacağına, hangi amaçla kullanılacağına ve ne kadar saklanacağına şirket karar verir.
Anahtar kelimeler: şirket veri sorumlusu mu, işveren veri sorumlusu, firma kvkk sorumluluğu
🔹 2) E-Ticaret Siteleri ve Mobil Uygulamalar
Örnek: Bir e-ticaret sitesi üyelik alıyor, sipariş oluşturuyor, kargo bilgisi paylaşıyor ve pazarlama e-postası gönderiyor.
Not: “Altyapıyı başkası sağlıyor” demek, sorumluluğu kaldırmaz.
🔹 3) Apartman ve Site Yönetimleri (Çok Aranan)
Örnek: Site yönetimi kamera kaydı alıyor, daire sakinlerinin iletişim bilgilerini tutuyor ve aidat listesi oluşturuyor.
Sık hata: “Yönetici gönüllü, KVKK uygulanmaz.” Yanlış. Gönüllü olmak sorumluluğu kaldırmaz.
🔹 4) Doktorlar, Klinikler, Hastaneler
Örnek: Bir klinik hasta kayıt formu alıyor, muayene notları tutuyor ve randevu sistemi kullanıyor.
Hasta verileri yüksek hassasiyetli olduğundan süreçlerin doğru kurgulanması kritik önemdedir.
Anahtar kelimeler: hastane veri sorumlusu mu, doktor kvkk sorumluluğu
🔹 5) Avukatlar ve Mali Müşavirler
Örnek: Avukat müvekkil bilgilerini saklıyor ve dava dosyası oluşturuyor.
Meslek sırrı ve özel düzenlemeler bulunsa da KVKK uygulaması kapsam dışı değildir.
📌 Veri İşleyen Kimdir? (Basit Tanım)
Veri işleyen, kişisel verileri:
- Kendi adına değil,
- Veri sorumlusunun talimatıyla,
- Onun adına
işleyen kişi veya kurumdur.
Karar vermeyen, sadece verilen talimatı uygulayan taraf veri işleyendir.
✅ Veri İşleyen Kimlerdir? (Somut ve Günlük Hayattan Örnekler)
🔹 1) Yazılım Firması / Bulut Hizmeti
Örnek: Bir şirket CRM yazılımı kullanıyor. Yazılım firması veriyi barındırıyor, yedekliyor ve teknik destek veriyor.
Anahtar kelime: yazılım firması veri işleyen mi
🔹 2) Dijital Pazarlama Ajansı
Örnek: Ajans şirket adına e-posta gönderiyor, SMS kampanyası yapıyor veya reklam paneli yönetiyor.
⚠️ İstisna: Ajans “kime, ne zaman, nasıl” konusunda bağımsız karar veriyorsa, rol değişebilir.
🔹 3) Çağrı Merkezi Firmaları
Örnek: Bir banka çağrı merkezi hizmetini dışarıdan alıyor.
🔹 4) Bordro ve İK Firmaları
Örnek: Dış kaynak bordro firması maaş hesaplıyor ve SGK bildirimi yapıyor.
📊 Veri Sorumlusu – Veri İşleyen Arasındaki Fark (SEO Dostu Tablo)
| Soru | Veri Sorumlusu | Veri İşleyen |
|---|---|---|
| İşleme amacını kim belirler? | ✅ | ❌ |
| Talimatı kim verir? | ✅ | ❌ |
| Talimatla kim çalışır? | ❌ | ✅ |
| KVKK cezası kime kesilir? | ✅ | ⚠️ (yetki aşımı / güvenlik ihlali varsa) |
| VERBİS’e kim kayıt olur? | ✅ | ❌ |
❓ En Çok Aranan Sorular (FAQ – Trafik Odaklı)
Ajans veri sorumlusu mu?
Çoğu senaryoda hayır; amaç ve kapsamı şirket belirliyorsa ajans genellikle veri işleyen rolündedir.
Site yönetimi veri sorumlusu mu?
Evet. Kamera kaydı, iletişim bilgileri ve aidat süreçleri nedeniyle çoğu durumda veri sorumlusu sayılır.
Yazılım firması KVKK’dan sorumlu mu?
Talimat dışına çıkarsa veya güvenlik yükümlülüklerini ihlal ederse sorumluluk doğabilir. Talimatla sınırlı ise çoğunlukla veri işleyen rolündedir.
Veri işleyen hiç ceza almaz mı?
Alabilir. Özellikle yetki aşımı, güvenlik ihlali ve talimat dışı işleme gibi durumlarda sorumluluk gündeme gelir.
❌ En Sık Yapılan Hatalar
- “Ajans sorumlu, ben değilim” yaklaşımı
- Veri işleyen ile yazılı sözleşme ve talimat seti kurmamak
- Herkesi veri sorumlusu sanmak / rolleri karıştırmak
- VERBİS kaydını yanlış yapmak
✅ Sonuç: Karar Veren Sizseniz, Veri Sorumlususunuz
Karar = Veri sorumlusu
Talimat = Veri işleyen
Bu ayrım yanlış yapılırsa KVKK cezaları doğrudan size yönelir ve “bilmiyordum” savunması çoğu durumda uyum riskini ortadan kaldırmaz.
