Giriş

Dijitalleşmenin hızının ve teknolojik gelişmelerin, kişisel verilerin işlenmesiyle ilgili süreçleri her geçen gün daha karmaşık hale getirdiği çağımızda, veri koruma hukuku dinamik olarak evrilmektedir. Eskiden, kişisel verilerin işlenmesiyle ilgili tüm yükümlülüklerin ve sorumluluğun tek bir veri sorumlusu üzerinde toplandığı geleneksel model geçerli iken günümüzde birden fazla aktörün dahil olduğu, ortak platformların, otomasyonun ve karmaşık veri yönetimi süreçlerinin ön plana çıktığı ekosistemlerde, temel bir hukuki ihtiyaç olarak “ortak veri sorumluluğu” kavramı doğmuştur.

Ortak Veri Sorumluluğu Kavramının Gelişimi

Ortak veri sorumluluğunun tarihsel arka planı 1995 tarihli 95/46/EC sayılı Avrupa Birliği Direktifi’ne (“Direktif”) dayanmaktadır. Direktif’in 2. maddesinde, veri sorumlularının kişisel verilerin işlenme amaç ve araçlarını “tek başına veya birlikte” belirleyebileceklerinden söz edilerek, ortak veri sorumluluğu modeline hukuki bir dayanak sağlanmıştır. Hatta bu madde temel alınarak hazırlanan kimi ulusal düzenlemelerde, örneğin Birleşik Krallık Veri Koruma Kanunu’nda, “yakın veri sorumluluğu” gibi farklılaşan kavramlara da yer verilmiştir.[1]

Direktif, üye devletler bakımından bağlayıcı olmadığından, Fransa gibi bazı ülkelerde ortak veri sorumluluğu açıkça mevzuatta tanımlanmamış; Polonya gibi ülkelerde ise yasal dayanak olmasa dahi, uygulamada veri koruma otoritelerinin kararlarıyla fiili olarak hayata geçirilmiştir.[2]

Daha sonra, 2016/680 sayılı Avrupa Birliği Direktifi’nin 21. Maddesi ile kamu otorite ve yetkililer arasındaki ilişkilerde ortak veri sorumluluğuna dair temel esaslar belirlenmiştir. Bunu takiben, Avrupa Konseyi’nin 108 sayılı Sözleşmesi'nde doğrudan ortak veri sorumluluğu kavramı yer almazken, modernize edilen 108+ Sözleşmesi’nin gerekçesinde artık bir veri işleme faaliyetinin birden çok sorumlu tarafından, farklı aşamalarda müştereken yürütülebileceği kabul edilmiştir.

Genel Veri Koruma Tüzüğü’nün (“GDPR”) yürürlüğe girişine kadar ortak veri sorumluluğu çoğunlukla teori ve doktrinde tartışılmış; uygulamada ise daha çok “bir veri sorumlusunun veri işleme faaliyetini bir veri işleyene devretmesi” olarak anlaşılmıştır.[3] Ancak teknolojik gelişmeler neticesinde veri ekosisteminin karmaşıklaşması, birden çok aktörün işin içine girmesi ve kimin hangi yükümlülükten sorumlu olduğu sorusunu yanıtlamanın güçleşmesi, yeni ve açık kurallara duyulan ihtiyacı artırmıştır. Bu ihtiyaç doğrultusunda, 2018’de yürürlüğe giren GDPR’ın 26. maddesinde ortak veri sorumluluğu ayrıntılı biçimde düzenlemiş, kavramın usul ve esasları, yükümlülüklerin paylaşımı ve ilgili kişilerin hakları güvence altına alınmıştır.

Avrupa Birliği’nde koordinasyon ve yeknesak uygulama sağlama amacıyla kurulan Madde 29 Çalışma Grubu ve onu takiben Avrupa Veri Koruma Kurulu (EDPB) tarafından yayımlanan bağlayıcı rehberler ise veri sorumlusu ve veri işleyenin sistemdeki rollerinin netleşmesi için önemli referans noktaları haline gelmiştir.

GDPR Kapsamında Ortak Veri Sorumluluğu

• Ortak Veri Sorumluluğunun Tanımı ve Şartları

GDPR'ın 26. maddesi, ortak veri sorumluluğunu açık bir şekilde tanımlamaktadır. Bu maddeye göre, iki veya daha fazla veri sorumlusunun veri işleme faaliyetlerinin amaçlarını ve araçlarını birlikte kararlaştırdıkları durumda ortak veri sorumlusu kabul edilirler. Ortak veri sorumluluğunun tek başına veri sorumlusu olmaktan farkı: Kişisel verilerin korunması kurallarının uygulanması ve ilgili kişinin haklarının kullanımına ilişkin yükümlülüklerin ortak veri sorumluları arasında dağıtılması gerekliliğidir.

Ortak veri sorumluluğunun oluşabilmesi için, kişisel verilerin işlenme amacı ve bu amaca ulaşmakta kullanılacak araçların birlikte belirlenmesi gerekir. "Birlikte belirleme" ifadesi ise, somut olayda veri sorumlularının ya birlikte hareket ettiklerini ya da karar alma sürecinde tek başlarına hareket etmediklerini gösterir. Tarafların işleme amacı ve araçları üzerinde birlikte karar verdiği durumlar kadar, bu unsurların diğer tarafın katkısı olmadan belirlenemediği durumlar da ortak veri sorumluluğu kapsamına girer. Ortak veri sorumluluğunun kabul edilebilmesi için tarafların mutlak eşit sorumluluğa sahip olması zorunlu değildir.

• Ortak Veri Sorumluluğunu Şekillendiren Avrupa Birliği Adalet Divanı Kararları

Ortak veri sorumluluğu kavramının şekillenmesinde, Avrupa Birliği Adalet Divanı'nın (“ABAD”) verdiği kararlar kritik rol oynamıştır.[4] Bu kararlar arasında en önemlileri Wirtschaftsakademie, Yehova'nın Şahitleri ve Fashion ID kararlarıdır:

Wirtschaftsakademie Kararı: ABAD, ilgili kararında Facebook hayran sayfası yöneten bir kuruluşun, Facebook ile birlikte ortak veri sorumlusu olduğuna karar vererek, tarafların verilerin tamamına erişmesinin veya sorumluluğu eşit paylaşmasının ortak sorumluluk için gerekli olmadığını ortaya koymuştur.[5]

Yehova'nın Şahitleri Kararı: ABAD, ilgili kararında Yehova’nın Şahitleri topluluğunun üyelerinin Finlandiya’da kapı kapı dolaşarak kişisel veri topladığı bir olayda, verilerin nasıl ve ne amaçla işleneceğine hem topluluğun hem üyelerinin birlikte karar verdiğini belirterek ortak veri sorumluluğu ilişkisi bulunduğuna hükmetmiştir. Ayrıca, ortak veri sorumlularının mutlaka eşit sorumluluk taşıması ya da verilere eşit erişimi olması gerekmediğini vurgulamıştır.[6]

Fashion ID Kararı: ABAD, ilgili kararında, bir web sitesine yerleştirilen Facebook eklentisinin veri toplama sürecine katkı sağladığını belirterek, site sahibi ile Facebook arasında ortak veri sorumluluğu bulunduğuna hükmetmiştir. Taraflardan birinin doğrudan veri işlemese bile amaç ve araçlara katkı sunması ortak sorumluluk için yeterli görülmüştür.[7]

• Ortak Veri Sorumlularının Yükümlülükleri

GDPR madde 26, ortak veri sorumlularının, aralarındaki sorumluluk paylaşımını yazılı bir anlaşma ile açıkça belirlemesini zorunlu kılmaktadır. Bu anlaşmanın temel amacı, kişisel verilerin işlenmesinin hukuka uygun şekilde yürütülmesini sağlamak ve ilgili kişilerin haklarını korumaktır. Özellikle, ilgili kişilerin haklarını kullanmaları ile GDPR’ın 13. ve 14. maddelerinde yer alan aydınlatma yükümlülüklerinin hangi veri sorumlusu tarafından yerine getirileceği açıkça belirlenmelidir. Ancak bu belirleme, yalnızca veri sorumluları arasındaki iç ilişki açısından bağlayıcıdır; ilgili kişiler, haklarını ortak veri sorumlularından herhangi birine karşı ileri sürebilir. Bu düzenleme, taraflar açısından bağlayıcı olmalı ve içeriği ilgili kişilere şeffaf bir şekilde sunulmalıdır. Böylece ortak veri sorumlularının rol ve sorumlulukları, ilgili kişiler nezdinde açık biçimde anlaşılabilir hale gelir.

• GDPR Kapsamında Müteselsil Sorumluluk

GDPR madde 82'de "Tazminat Hakkı ve Sorumluluk" başlığı altında, GDPR hükümlerinin ihlali sonucu maddi veya manevi zarara uğrayan herhangi bir kişinin veri sorumlusundan ve veri işleyenden tazminat talep etme hakkı olduğu düzenlenmektedir. GDPR madde 82/4 uyarınca birden fazla veri sorumlusu veya veri işleyen aynı hukuka aykırı işleme faaliyetine dahil olduğunda, her bir veri sorumlusu ve veri işleyen söz konusu zararın tamamından sorumlu olur.

Bu hüküm ile ortak veri sorumluları, hukuki sorumluluk bakımından müteselsil sorumlu kabul edilmiştir. İlgili kişiler, ortak veri sorumlularından herhangi birine başvurabilir ve her ortak veri sorumlusu zararın tamamından sorumludur. Zararın tamamını karşılayan veri sorumlusu veya veri işleyenin, diğerlerine rücu etme hakkı saklı tutulmuştur.

KVKK Kapsamında Ortak Veri Sorumluluğu

• Türk Hukukunda Ortak Veri Sorumluluğunun Durumu

Kişisel Verileri Koruma Kanunu’nun (“KVKK”) 3. maddesinde, veri sorumlusu; kişisel verilerin işleme amaç ve vasıtalarını belirleyen gerçek veya tüzel kişi olarak tanımlanmıştır. Ancak bu tanımda, birden fazla veri sorumlusunun birlikte hareket edebileceği yani “ortak veri sorumluluğu” kavramına açıkça yer verilmemiştir. Buna karşılık, GDPR’ın 4. maddesinde veri sorumlusu; kişisel verilerin işlenme amaç ve araçlarına “tek başına veya birlikte” karar veren kişi olarak tanımlanmakta ve böylece ortak veri sorumluluğu açıkça düzenlenmektedir. KVKK’de ise bu ayrım bulunmamaktadır; dolayısıyla birden fazla veri sorumlusunun birlikte karar alma hâli, mevcut yasal çerçevede açık bir şekilde tanımlanmamıştır.

• Türk Hukuku Uygulamalarına “Ortak Veri Sorumlusu” Kavramınını Katan KVKK Kararı

Her ne kadar KVKK’de ortak veri sorumlusu kavramına açıkça yer verilmemiş olsa da Kişisel Verileri Koruma Kurulu (“Kurul”) 23.12.2021 tarihli ve 2021/1304 sayılı kararında bu kavrama değinmiş ve Türk hukuku bakımından uygulanabilir olduğunu ortaya koymuştur. Kararda, araç kiralama yazılımı üreticileri ile araç kiralama şirketlerinin, kişisel verilerin işlenme amacı ile bu amaca ulaşmaya elverişli araçları birlikte belirledikleri durumlarda, ortak veri sorumlusu sayılması gerektiği ifade edilmiştir.

Kurul ayrıca, ortak veri sorumlularının kişisel veri işleme faaliyetlerine ilişkin esasları belirleyen bir sözleşme yapmaları gerektiğini; aksi halde, meydana gelecek bir ihlalde her bir veri sorumlusunun kendi kusuru oranında sorumlu tutulacağını belirtmiştir. Bu karar, Türk hukukunda ortak veri sorumluluğu kavramının zımnen kabul edildiğini ve uygulamada dikkate alınması gerektiğini göstermektedir.

• Hukuki Sorumluluk Mekanizmaları

KVKK, kişisel verilerin hukuka aykırı işlenmesi halinde idari ve cezai yaptırımların yanı sıra hukuki yaptırımlar öngörmektedir. KVKK madde 14/3'te kişilik hakları ihlal edilenlerin genel hükümlere göre tazminat hakkının saklı olduğu düzenlenmektedir. KVKK madde 11/1(ğ) bendinde ise, ilgili kişilerin haklarından birinin de kişisel verilerin kanuna aykırı işlenmesi sebebiyle zarara uğraması halinde bu zararın giderilmesini talep etme hakkı olduğu belirtilmiştir.

Bu hükümler birlikte değerlendirildiğinde, kişisel verilerin hukuka aykırı işlenmesinden zarar görenlerin taleplerinin Türk Medeni Kanunu'nda düzenlenen kişiliğin korunmasına dair hükümler uyarınca karşılanacağı düşünülmektedir. Kişisel veriler, kişilik hakkı değerlerinden olup kişisel verilerin korunması hakkı da kişilik hakkının içerisinde yer almaktadır.

• Türk Hukukunda Müteselsil Sorumluluk

Türk hukukunda müteselsil sorumluluk, Türk Borçlar Kanunu’nun 61. maddesinde düzenlenmiştir. Bu maddeye göre, birden fazla kişinin birlikte zarara sebep olması veya aynı zarardan farklı nedenlerle sorumlu olması durumunda, bu kişiler müteselsil (birlikte) sorumlu tutulabilir. Müteselsil sorumluluğun amacı, zarar gören kişiyi korumak ve zararını daha kolay bir şekilde tazmin etmesini sağlamaktır.

Ortak veri sorumluluğu kapsamında da müteselsil sorumluluk önemli bir işlev görür. Zarar gören kişi, verilerinin hukuka aykırı şekilde işlenmesi sonucu uğradığı zararın giderilmesi için ortak veri sorumlularından herhangi birine başvurabilir. Bu durumda, zararın tamamı tazmin edilinceye kadar her bir veri sorumlusunun sorumluluğu devam eder. Böylece zarar görenin, zararın karşılanması açısından elini güçlendiren bir koruma mekanizması oluşturulmuş olur.

Sonuç

Ortak veri sorumluluğu, dijital çağda kişisel verilerin korunmasına yönelik önemli bir hukuki mekanizmadır. Avrupa Birliği’nde GDPR ile ayrıntılı düzenlemeler yapılmış, Türkiye’de ise Kurul’un 2021/1304 sayılı kararı bu kavramın benimsenmesi açısından önemli bir adım teşkil etmiştir. İşletmeler açısından ortak veri sorumluluğu hem iş birliği imkânı sunmakta hem de hukuki riskler barındırmaktadır. Müteselsil sorumluluk ilkesi, veri sahiplerine etkin bir koruma sağlamakta ve zarar halinde ilgili tüm sorumlulara başvurma hakkı tanımaktadır. Teknolojik gelişmelerin hızla devam etmesi sebebiyle, bu alandaki düzenlemelerin güncellenmesi ve geliştirilmesi zorunludur. 

Makaleye katkıları için Seray Çakır'a teşekkür ederiz.

Kaynakça

Avrupa Birliği Adalet Divanı, Fashion ID GmbH & Co. KG davası, C-40/17. (2019, 07 29). InfoCuria: https://curia.europa.eu/juris/liste.jsf?num=C-40/17 adresinden alındı

Avrupa Birliği Adalet Divanı, Jehovah’s Witnesses davası, C-25/17. (2018, 07 10). InfoCuria: https://curia.europa.eu/juris/document/document.jsf?docid=203822&doclang=EN adresinden alındı

Avrupa Birliği Adalet Divanı, Wirtschaftsakademie Schleswig-Holstein GmbH davası, C-210/16. (2018, 06 5). InfoCuria: https://curia.europa.eu/juris/document/document.jsf?text=&docid=202543&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=20355 adresinden alındı

Dülger, M. (2021, 02). GDPR’da Bulunan Ancak KVKK’da Yer Verilmeyen Bir Kavram: Ortak Veri Sorumlusu Kavramı ve Güncel Kararlar Işığında Değerlendirilmesi . ResearchGate:  https://www.researchgate.net/publication/349552755_GDPR'da_Bulunan_Ancak_KVKK'da_Yer_Verilmeyen_

Bir_Kavram_Ortak_Veri_Sorumlusu_Kavrami_ve_Guncel_Kararlar_Isiginda_Degerlendirilmesi adresinden alındı

Kaya, İ. (2023, 09). KVKK ve GDPR Kapsamında Ortak Veri Sorumluluğu (1 b.). On İki Levha Yayıncılık. LexPera: https://www.lexpera.com.tr/literatur/kitaplar/kvkk-ve-gdpr-kapsaminda-ortak-veri-sorumlulugu-9786254325939 adresinden alındı

Kuner, C. (2007). European Data Protection Law Corporate Compliance and Regulation. Oxford University Press. adresinden alındı

Kuner, C., Bygrave , L. A., Docksey, C., Millard , C., &  Kamarinou, D. (2020). “Article 26. Joint controllers”, The EU General Data Protection Regulation (GDPR) A Commentary. Oxford University Press. adresinden alındı

Voigt, P., & Bussche, A. v. (2017). The EU General Data Protection Regulation (GDPR) A Practical Guide. Springer. adresinden alındı