KVKK'ya göre 'veri sorumlusu' ile 'veri işleyen' arasındaki temel ayrım nedir? Bir mobil uygulama geliştiricisinin, uygulama sağlayıcısı adına teknik bir rol üstlenerek ve kişisel verileri kendi amaçları doğrultusunda kullanmadan işlemesi durumunda hukuki statüsü ne olur? Bu statünün belirlenmesinin pratik önemi nedir?

Temel ayrım, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleme yetkisidir. 'Veri sorumlusu', kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Kısacası, 'neden' ve 'nasıl' sorularının cevabını veren taraftır. 'Veri işleyen' ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Veri işleyen, veri sorumlusunun talimatları dışına çıkamaz ve verileri kendi amaçları için kullanamaz. Rehberde verilen örnekte olduğu gibi, bir mobil uygulama geliştiricisi, uygulama sağlayıcısı ile yaptığı sözleşme gereği sadece teknik bir rol üstleniyor ve verileri sağlayıcının talimatları doğrultusunda işliyorsa, bu geliştirici 'veri işleyen' sıfatını haiz olur. Uygulama sağlayıcısı ise 'veri sorumlusu'dur. Bu statünün belirlenmesi pratikte çok önemlidir çünkü KVKK kapsamındaki temel yükümlülükler (aydınlatma yükümlülüğü, Veri Sorumluları Siciline kayıt, ilgili kişi başvurularını yanıtlama, veri güvenliğine ilişkin nihai sorumluluk vb.) veri sorumlusuna aittir. Veri işleyen ise, veri sorumlusunun talimatlarına uymak ve veri güvenliği tedbirlerini almakla yükümlüdür. (Kaynak: sen.av.tr/tr/makale/mobil-uygulamalarda-mahremiyetin-korunmasina-yonelik-tavsiyeler)