Bilişim & Yapay Zekâ Hukuku
Türkiye'de Veri Sorumlusu ve Veri İşleyen Ayrımı: Sözleşme Yükümlülükleri
Yayın tarihi 14 Temmuz 2026·5 dk okuma
Av. Mona Hukuk Editör Ekibi - Antalya · Antalya Barosu
Bir işletmenin müşteri verisini bir bulut sağlayıcısında barındırması, bordro işlemlerini dışarıya vermesi ya da bir yazılım firmasıyla çalışması, hukuki açıdan kimin "veri sorumlusu" kimin "veri işleyen" olduğu sorusunu gündeme getirir. Bu ayrım sadece teorik bir tanım tercihi değildir; kayıt yükümlülüğünü, güvenlik sorumluluğunu ve taraflar arasında imzalanması gereken sözleşmeyi doğrudan belirler. Bu yazıda, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde iki rolün ayrımını, güvenlik yükümlülüklerinin nasıl paylaşıldığını ve ticari pratikte veri işleme sözleşmesinin neden vazgeçilmez olduğunu ele alıyoruz.
KVKK m.3'te İki Rolün Tanımı
KVKK'nın 3. maddesi iki rolü net biçimde tanımlar. Veri sorumlusu, "kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir." Veri işleyen ise "veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir."
Ayrımın özü karar yetkisindedir. Verinin hangi amaçla ve hangi araçlarla işleneceğine karar veren taraf veri sorumlusudur. İşlemeyi yalnızca bu talimat doğrultusunda, sorumlunun adına yürüten taraf ise veri işleyendir. Örneğin bir otel, müşteri rezervasyon verisini kendi amaçları için toplar; bu veriyi barındıran bulut firması veya rezervasyon yazılımını sağlayan şirket, otelin talimatıyla hareket eden veri işleyendir. Bir tarafın "işleyen" sayılabilmesi için işlemeyi kendi amaçları için değil, sorumlunun belirlediği çerçevede yapması gerekir; kendi amacını belirlemeye başladığı anda o da veri sorumlusu hâline gelir.
Ayrım Neden Önemli: VERBİS ve Kayıt Yükümlülüğü
Rollerin ayrılması, öncelikle Veri Sorumluları Sicili (VERBİS) yükümlülüğü bakımından önem taşır. KVKK m.16 uyarınca kayıt yükümlülüğü kural olarak veri sorumlularına getirilmiştir; Kurul, işlenen verinin niteliği, sayısı, işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılması gibi objektif kriterlere göre istisnalar belirleyebilir. Dolayısıyla her işletme değil, yalnızca yükümlülük kapsamına giren veri sorumluları sicile kaydolur. Salt veri işleyen sıfatıyla hareket eden bir firma, bu sıfatı nedeniyle kaydolmaz; ancak kendi faaliyetleri bakımından veri sorumlusu ise o kapsamda yükümlü olur. VERBİS kaydının kapsamı, istisnaları ve süreci ayrı bir rehberimizde ayrıntılı biçimde ele alınmaktadır; burada yalnızca rollerin kayıt yükümlülüğünü belirlediğini vurgulamak yeterlidir.
Güvenlik Yükümlülükleri Her İki Tarafa Düşer (m.12)
KVKK m.12, veri güvenliğine ilişkin yükümlülükleri düzenler ve sorumluluğun tek tarafta kalmadığını açıkça gösterir. Veri sorumlusu; verilerin hukuka aykırı işlenmesini ve verilere hukuka aykırı erişilmesini önlemek ile muhafazayı sağlamak amacıyla uygun güvenlik düzeyini temin edecek her türlü teknik ve idari tedbiri almak zorundadır (m.12/1).
Kritik nokta ikinci fıkradadır: verilerin sorumlu adına başka bir kişi tarafından işlenmesi hâlinde, veri sorumlusu bu tedbirlerin alınması bakımından veri işleyenle müştereken sorumludur (m.12/2). Yani sorumlu, işleme faaliyetini dışarıya vererek yükümlülüğünden kurtulamaz. Ayrıca m.12/4, hem veri sorumlularının hem de veri işleyenlerin öğrendikleri kişisel verileri Kanuna aykırı biçimde açıklayamayacağını ve amaç dışı kullanamayacağını, bu yükümlülüğün görevden ayrılmadan sonra da süreceğini düzenler. İhlal hâlinde Kurula ve ilgili kişiye bildirim yükümlülüğü ise m.12/5 kapsamındadır. Kısacası gizlilik ve güvenlik yükü, zincirin her halkasına dağıtılmıştır.
Veri İşleme Sözleşmesi Neden Şart?
Burada Türk hukukuna özgü bir nokta öne çıkar: KVKK, AB Genel Veri Koruma Tüzüğü'nün (GDPR) 28. maddesi gibi sorumlu ile işleyen arasında belirli içerikte bir sözleşmeyi açıkça ve her hâlde zorunlu kılan bir düzenleme içermez. Bu, AB pratiğinden gerçek bir farktır ve dikkatle değerlendirilmelidir. Ancak bu farkın sözleşmeyi gereksiz kıldığı düşünülmemelidir. m.12/2'deki müşterek sorumluluk ve m.12/3'teki denetim yükümlülüğü göz önüne alındığında, veri sorumlusunun işleyen üzerindeki denetimini, talimat sınırlarını ve güvenlik standartlarını yazılı bir veri işleme sözleşmesiyle belgelemesi ticari pratikte fiilen zorunlu hâle gelir. Sözleşme, hem müşterek sorumlulukta tarafların iç ilişkisini düzenler hem de olası bir Kurul denetiminde uyumun kanıtı olur.
Sözleşmede Bulunması Gereken Unsurlar ve Sınır Ötesi Kullanım
İyi hazırlanmış bir veri işleme sözleşmesi tipik olarak şu hususları düzenler:
- İşlemenin kapsamı ve amacı — işleyenin yalnızca sorumlunun talimatıyla ve belirlenen amaçla işlem yapabileceği,
- Güvenlik tedbirleri — m.12 kapsamında alınacak teknik ve idari önlemlerin asgari standardı,
- Alt işleyen (sub-processor) onayı — işleyenin başka bir tedarikçiye devir yapabilmesi için sorumlunun önceden onayı,
- Sözleşme sonunda verinin iadesi veya imhası — ilişki bittiğinde verinin geri verilmesi ya da silinmesi/yok edilmesi,
- Denetim hakları — sorumlunun işleyeni denetleme veya denetlettirme yetkisi,
- İhlal bildirim zinciri — işleyenin bir ihlali sorumluya hangi sürede ve nasıl bildireceği.
Türk tedarikçilere veri işleme faaliyeti veren yabancı şirketler için ek bir katman vardır: verinin yurt dışına aktarımı KVKK m.9 rejimine tabidir ve sözleşmenin bu aktarım şartlarını da kapsaması gerekir. Aynı şekilde, işlemeyi yurt dışındaki bir sağlayıcıya veren Türk şirketler de hem aktarım kurallarını hem de karşı tarafın hukukunu birlikte değerlendirmelidir. Bu nedenle sınır ötesi düzenlemelerde sözleşme, yalnızca rolleri değil, aktarım hukuki dayanağını da açıkça belirtmelidir.
Sıkça Sorulan Sorular
Bir şirket aynı anda hem veri sorumlusu hem veri işleyen olabilir mi? Evet. Örneğin bir muhasebe firması, kendi çalışan verileri bakımından veri sorumlusu; müşterisi adına bordro işlerken veri işleyendir. Rol, her işleme faaliyeti bazında ayrı değerlendirilir.
Veri işleyenler VERBİS'e kaydolmak zorunda mıdır? Kayıt yükümlülüğü kural olarak veri sorumlularına ilişkindir. Bir firma yalnızca işleyen sıfatıyla hareket ediyorsa bu sıfat nedeniyle kaydolmaz; ancak kendi faaliyetleri bakımından sorumlu ise o kapsamda yükümlü olabilir.
KVKK veri işleme sözleşmesini zorunlu kılıyor mu? KVKK, GDPR m.28 gibi belirli bir sözleşme biçimini her hâlde açıkça zorunlu kılmaz. Ancak m.12'deki müşterek sorumluluk ve denetim yükümlülüğü nedeniyle yazılı sözleşme ticari pratikte fiilen kaçınılmazdır.
İşleyenin kusuru nedeniyle veri sorumlusu ceza alabilir mi? Evet. m.12/2 uyarınca güvenlik tedbirlerinin alınmasında sorumlu ile işleyen müştereken sorumludur; sorumlu, işlemeyi dışarıya vererek yükümlülüğünden kurtulamaz.
Mona Hukuk Nasıl Yardımcı Olabilir?
Mona Hukuk olarak işletmelere rol tespiti (sorumlu/işleyen ayrımı), veri işleme sözleşmelerinin hazırlanması ve müzakeresi, VERBİS kayıt sürecinin yönetimi ve sınır ötesi veri aktarımına ilişkin sözleşme yapılandırması konularında destek veriyoruz. Hem Türk tedarikçiyle çalışan yabancı şirketlere hem de yurt dışı sağlayıcı kullanan Türk işletmelerine uçtan uca danışmanlık sunuyoruz.
Antalya'da danışmanlık için contact@monahukuk.com adresinden yazabilir ya da +90 (242) 606 14 32 numarasını arayabilirsiniz.
Türk Hukuku'ndaki gelişmeleri haftalık özet olarak almak ister misiniz?
Resmî Gazete duyuruları, yargı kararları ve mevzuat değişikliklerini haftalık olarak e-postanıza gönderiyoruz. Ücretsiz; istediğiniz an iptal edebilirsiniz.
İlgili Makaleler
Bilişim & Yapay Zekâ Hukuku
Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi
14 Tem 2026 · 4 dk okuma
Makaleyi okuBilişim & Yapay Zekâ Hukuku
Siber Güvenlik İhlallerinde Şirketlerin Hukuki Sorumluluğu
14 Tem 2026 · 5 dk okuma
Makaleyi okuBilişim & Yapay Zekâ Hukuku
Türkiye'de Elektronik İmza Hukuken Ne Zaman Geçerlidir?
13 Tem 2026 · 4 dk okuma
Makaleyi oku