KVKK'ya göre 'veri sorumlusu' ile 'veri işleyen' arasındaki temel fark nedir? Veri güvenliğine ilişkin yükümlülükler (m.12) açısından bu iki aktörün sorumlulukları nasıl düzenlenmiştir?

KVKK m.3'e göre 'veri sorumlusu', kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Kısacası, 'ne, neden, nasıl' sorularının cevabını veren, işleme faaliyetinin arkasındaki karar verici güçtür. 'Veri işleyen' ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Veri işleyen, veri sorumlusunun talimatları doğrultusunda hareket eder (örn: bir şirketin maaş bordrolarını hazırlayan muhasebe firması). Veri güvenliği açısından temel sorumluluk veri sorumlusuna aittir. KVKK m.12/1, veri sorumlusunun kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek ve muhafazasını sağlamak için gerekli her türlü teknik ve idari tedbiri almak zorunda olduğunu belirtir. Ancak m.12/2'ye göre, veri sorumlusu, verilerin kendi adına bir veri işleyen tarafından işlenmesi halinde, bu tedbirlerin alınması hususunda veri işleyenle birlikte 'müştereken sorumludur'. Yani, veri işleyenin bir ihlali durumunda, veri sorumlusu da sorumlu tutulabilir.