Ortak Veri Sorumlusu (Joint Controller) nedir?
İki veya daha fazla veri sorumlusu, kişisel verilerin işlenme amaçlarını ve araçlarını birlikte belirlediğinde ortak veri sorumlusu olur (GDPR Madde 26). Ortak veri sorumluluğu belirli yükümlülükler doğurur: tarafların sorumluluklarını tanımlayan şeffaf bir düzenleme ve düzenlemenin özünün veri sahiplerine açıklanması. ABAD ortak veri sorumluluğunu geniş yorumlamıştır (Fashion ID, Wirtschaftsakademie, Yehova Şahitleri) — fan sayfası işletenler, eklenti gömenler, ortak markalı kampanyalar kapsama girebilir.
Ortak veri sorumluluğu ne zaman doğar?
- Amaçların ortak belirlenmesi: her iki taraf işlemenin neden gerçekleştiğine karar verir.
- Temel araçların ortak belirlenmesi: veri kategorileri, saklama süresi, alıcılar.
- Birleşen kararlar: ABAD C-25/17 — yazılı anlaşma olmasa bile fiili birleşme yeterlidir.
Madde 26 düzenleme gereksinimleri
- Aydınlatma yükümlülüklerini (Madde 13-14) tahsis et.
- Veri sahibi haklarının (Madde 15-22) ele alınmasını tahsis et.
- Tek bir temas noktası belirle (zorunlu değil ama tavsiye edilir).
- Düzenlemenin özünü veri sahiplerine erişilebilir kıl.
Ortak veri sorumlusu ve veri sorumlusu-işleyen ayrımı
- Veri sorumlusu-işleyen: veri işleyen yalnızca belgelenmiş talimatlarla hareket eder; ortak amaç yoktur.
- Ortak veri sorumluları: her iki taraf amaç ve temel araçları belirler; ikisi de veri sahibi taleplerini doğrudan karşılar.
Türk şirketleri için
KVKK Madde 3 “veri sorumlusu” tanımını açık bir “ortak veri sorumlusu” kategorisi olmadan yapar; ancak Kurul kararları ve akademik literatür ortak amaç-ve-araç kararını ortak veri sorumlusu eşdeğeri yükümlülük tetikleyici olarak ele alır. Türk-AB ortak pazarlama, grup şirketi düzenlemeleri veya çok-platform entegrasyonları için KVKK ve GDPR sorumlulukların belgelenmiş tahsisini gerektirir.
Yapın: ortak düzenlemeyi belgeleyin, aydınlatma yükümlülüklerini tahsis edin ve her iki ekibi veri sahibi talep yönlendirmesi konusunda bilgilendirin.
Yapmayın: bir vendor sözleşmesinin ortak veri sorumlusunu işleyene dönüştürdüğünü varsaymayın — etiketten çok fiili karar verme önemlidir.