Beyaz Şapka Beyazsapka Kasım 2017 - Page 41

Sayı: 36 [ Kasım 2017 ] Alıcı grubu Yönetmeliğin “Tanımlar” başlıklı 4. maddenin 1. fıkrasının (a) bendinde alıcı grubu terimi tanımlanmıştır. Buna göre alıcı grubu; “Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi” olarak belirtilmiştir. Bu tanım da Yönetmelikle oluşturulan yeni bir kavramdır. Yö- netmelik gereğince kişisel veri envanteri oluşturulurken alıcı grubunun da belirtilmesi gerekir. Dolayısıyla bir değil, birden fazla alıcı grubunun bulun- ması söz konusu olacaktır. Alıcı grubunun doğru belirlenmesi, envanterin doğru oluşturulmasındaki en önemli adımlardan biridir. Örneğin, alıcı gru- bunun belli bir devlet kurumu olması ve yasadan kaynaklanan bir istisna- nın olması halinde silme, yok etme veya anonimleştirme süresi ve şekli bu yasaya göre belirlenecektir. Söz konusu verilerin de bu alıcı grubuna bağlı olarak envanterde bu şekilde gösterilmesi gerekir. İlgili kullanıcı Yönetmelikte “ilgili kullanıcı” kavramı tanımlanmıştır. Buna göre; ilgili kul- lanıcı “Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyo- nu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler” olarak tanımlanmaktadır. İlk olarak belirtilmesi gereken husus ilgili kişi, verisi işlene gerçek kişi iken; ilgili kullanıcının söz konusu kişisel veriyi veri sorumlusu adına işleyen kişi olduğudur. Bu tanımda bazı hususlara dikkat çekmek gerekir. Öncelikle veri sorumlu- su ile ilgili kullanıcı birbirinden farklıdır. Zira ilgili kişi, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan kişi değildir. Yönetmelikte açıkça belirtildi- ği üzere ilgili kullanıcı, ya veri sorumlusunun organizasyonu içerisinde yer alarak (Örneğin, şirket çalışanı.) kişisel verileri işleyen ya da veri sorumlu- sundan aldığı yetki ve talimat ile (Örneğin, bu alanda hizmet üreten üçün- cü kişiler, danışmanlık şirketleri gibi.) kişisel verileri işleyen kişilerdir. 41