Ortak Veri Sorumlusu (Joint Controller) nedir?
İki veya daha fazla veri sorumlusu, kişisel verilerin işlenme amaçlarını ve araçlarını birlikte belirlediğinde ortak veri sorumlusu olur (GDPR Madde 26). Ortak veri sorumluluğu belirli yükümlülükler doğurur: tarafların sorumluluklarını tanımlayan şeffaf bir düzenleme ve düzenlemenin özünün veri sahiplerine açıklanması. ABAD ortak veri sorumluluğunu geniş yorumlamıştır (Fashion ID, Wirtschaftsakademie, Yehova Şahitleri) — fan sayfası işletenler, eklenti gömenler, ortak markalı kampanyalar kapsama girebilir.
Ortak veri sorumluluğu ne zaman doğar?
- Amaçların ortak belirlenmesi: her iki taraf işlemenin neden gerçekleştiğine karar verir.
- Temel araçların ortak belirlenmesi: veri kategorileri, saklama süresi, alıcılar.
- Birleşen kararlar: ABAD C-25/17 — yazılı anlaşma olmasa bile fiili birleşme yeterlidir.
Madde 26 düzenleme gereksinimleri
- Aydınlatma yükümlülüklerini (Madde 13-14) tahsis et.
- Veri sahibi haklarının (Madde 15-22) ele alınmasını tahsis et.
- Tek bir temas noktası belirle (zorunlu değil ama tavsiye edilir).
- Düzenlemenin özünü veri sahiplerine erişilebilir kıl.
Ortak veri sorumlusu ve veri sorumlusu-işleyen ayrımı
- Veri sorumlusu-işleyen: veri işleyen yalnızca belgelenmiş talimatlarla hareket eder; ortak amaç yoktur.
- Ortak veri sorumluları: her iki taraf amaç ve temel araçları belirler; ikisi de veri sahibi taleplerini doğrudan karşılar.
Türk şirketleri için
KVKK Madde 3 “veri sorumlusu” tanımını açık bir “ortak veri sorumlusu” kategorisi olmadan yapar; ancak Kurul kararları ve akademik literatür ortak amaç-ve-araç kararını ortak veri sorumlusu eşdeğeri yükümlülük tetikleyici olarak ele alır. Türk-AB ortak pazarlama, grup şirketi düzenlemeleri veya çok-platform entegrasyonları için KVKK ve GDPR sorumlulukların belgelenmiş tahsisini gerektirir.
Yapın: ortak düzenlemeyi belgeleyin, aydınlatma yükümlülüklerini tahsis edin ve her iki ekibi veri sahibi talep yönlendirmesi konusunda bilgilendirin.
Yapmayın: bir vendor sözleşmesinin ortak veri sorumlusunu işleyene dönüştürdüğünü varsaymayın — etiketten çok fiili karar verme önemlidir.
İki taraf birlikte karar verdiğinde — ve bunun gerektirdikleri
Ortak veri sorumluluğu, iki veya daha fazla kuruluşun bir işleme faaliyetinin amaç ve vasıtalarını — yalnızca veri alışverişi yaptıklarında değil — birlikte belirlediğinde ortaya çıkar. Tipik örnekler arasında ortak markalı kampanyalar, paylaşılan platformlar ve ortakların işlemeyi birlikte tasarladığı araştırma konsorsiyumları yer alır. Hukuk, ortak veri sorumlularının şeffaf bir düzenlemeyle hangi yükümlülükten kimin sorumlu olduğunu — özellikle ilgili kişilere bilgi verilmesi ve başvurularının karşılanması bakımından — belirlemesini ister ve bu düzenlemenin özü ilgili kişilerin erişimine sunulmalıdır. En önemlisi, ortak veri sorumluluğu tarafların birbirinin arkasına saklanmasına izin vermez: bir ilgili kişi, iç paylaşımdan bağımsız olarak haklarını ortak veri sorumlularından herhangi birine karşı kullanabilir; bu yüzden hem düzenlemeyi hem de kamuya dönük bildirimi doğru kurmak pratikte önemlidir.