KVKK & Veri Sorumluluğu Rehberi
KVKK kapsamında en çok karıştırılan kavramlardan biri “veri sorumlusu” ve “veri işleyen” rolleridir. Özellikle ajanslar, CRM sağlayıcıları ve üçüncü taraf hizmet sağlayıcılar, veri zincirinde farklı konumlarda yer alır. Bu ayrımın doğru yapılmaması, ciddi sorumluluk ve idari para cezalarına yol açabilir.
1. Temel Tanımlar (KVKK Madde 3)
| Rol | Tanım | Örnek |
|---|---|---|
| Veri Sorumlusu | Kişisel verilerin işlenme amaç ve vasıtalarını belirleyen kişi veya kurumdur. | Marka veya veri sahibi şirket |
| Veri İşleyen | Veri sorumlusunun talimatıyla onun adına veri işleyen gerçek veya tüzel kişidir. | Ajans, CRM sağlayıcısı, barındırma firması |
“Karar veren sorumludur; uygulayan hesap verir.”
2. Ajanslar ve CRM Sağlayıcılarında Rol Belirleme
- Dijital Ajans: Kampanya stratejisini belirlemiyorsa, sadece platform entegrasyonu yapıyorsa “veri işleyen”dir.
- CRM Sağlayıcısı: Müşteri verilerini barındırıyor ve sistem sağlıyorsa veri işleyen; ancak kendi analitik amaçları için kullanıyorsa veri sorumlusuna dönüşür.
- Influencer Yönetimi: İçerik paylaşımıyla veri toplanıyorsa, marka veri sorumlusu; ajans ise veri işleyen konumundadır.
3. Üçüncü Taraf Hizmetlerde Sorumluluk Zinciri
- Her veri aktarımı, bir “ortak sorumluluk ilişkisi” yaratır.
- DPA (Data Processing Agreement) veya “Veri İşleme Sözleşmesi” yapılması zorunludur.
- Veri işleyen, KVKK 12. madde kapsamında veri güvenliğini sağlamakla yükümlüdür.
- Yurt dışı aktarım varsa, açık rıza veya Kurul izni gereklidir.
“Veri zincirinde zayıf halka, tüm sistemi riske sokar.”
4. Yargı Kararlarından Örnekler
- Kurum Kararı (2022/1023): E-posta altyapısı sağlayıcısının log saklama ihlali nedeniyle veri işleyen statüsünde ceza uygulanmıştır.
- Kurum Kararı (2023/331): CRM hizmet sağlayıcısının, müşteri verisini analiz amaçlı kullanması veri sorumlusu kabul edilmesine neden olmuştur.
- Yargı Kararı (2024/215): Ajans ile marka arasında veri aktarım protokolü bulunmaması “ortak sorumluluk” gerekçesiyle çift taraflı ceza sonucunu doğurmuştur.
5. Riskleri Azaltmak İçin Kontrol Listesi
- Rol belirlemesi her proje başlangıcında yazılı olarak yapılmalı,
- DPA (Veri İşleme Sözleşmesi) imzalanmalı,
- Veri akış diyagramı çıkarılmalı,
- Veri işleyenin üçüncü tarafla paylaşımı yasaklanmalı,
- İhlal bildirimi prosedürü belirlenmeli.
Ajansınızın veri rolünü netleştirin.
B10 Digital Agency, KVKK uyum danışmanlığı kapsamında veri sorumluluğu & işleyen ayrımı, DPA sözleşmeleri ve denetim süreçlerinde rehberlik sağlar.
Ajansım sadece reklam yönetimi yapıyor, veri sorumlusu sayılır mı?
Hayır. Ajans, veriyi toplama veya işleme amacı belirlemiyorsa genellikle “veri işleyen” kabul edilir. Ancak veriyi kendi analizlerinde kullanıyorsa sorumluluk değişir.
CRM sağlayıcısı ile veri sorumlusu arasındaki fark nasıl belirlenir?
CRM sistemi yalnızca saklama ve erişim sağlıyorsa “işleyen”, ancak veriyi anlamlandırma, segmentasyon veya ticari amaçla analiz ediyorsa “sorumlu” statüsüne geçer.
Ortak sorumluluk ne anlama geliyor?
Birden fazla tarafın veri işleme kararını birlikte alması durumunda, ihlal veya ceza halinde tarafların tamamı müteselsilen sorumlu olur.
