Veri Sorumlusu Kimdir? (Who is Data Controller?)

Veri sorumlusu, 6698 sayılı Kişisel Verileri Koruma Kanunu ile getirilen yenilikler ışığında kişisel verileri işleme süreçlerinde hukuki uygun amaçları belirleyen, veri işleme araç ve yöntemlerini tespit eden ve veri kayıt sisteminin kurulmasından, işleyişinden ve yönetilmesinden sorumlu olan tüzel veya gerçek kişidir.

Başka bir ifade ile, veri sorumluları, işlemiş oldukları kişisel verilerin hangi amaçlar doğrultusunda, hangi hukuki sebebe dayanarak ve hangi şekilde verilerin işleneceğini belirleyen otoritedir.

Veri sorumlusu, 6698 sayılı Kişisel Verileri Koruma Kanunu ile getirilen yenilikler ışığında kişisel verileri işleme süreçlerinde hukuki uygun amaçları belirleyen, veri işleme araç ve yöntemlerini tespit eden ve veri kayıt sisteminin kurulmasından, işleyişinden ve yönetilmesinden sorumlu olan tüzel veya gerçek kişidir.

Kişisel verilerin işlenmesinde, alanı ve iş konusu ne olursa olsun bütün tüzel ve gerçek kişiler "Veri Sorumlusu (Data Controller)" olup hem KVKK kapsamında hem de işletmeleri ile ilgili mevzuatlarda belirtilen bütün hukuki sorumluluk bu kişilere aittir. Kanun koyucu kişisel verileri işleme çerçevesindeki sorumluluklarda kamu veya özel hukuk tüzel kişisi gibi bir ayrım yapmamıştır. Hem kamu hukuku tüzel kişiliği hem de özel hukuk tüzel kişiliği KVKK’ya göre aynı yükümlülüklere sahiptir.

Veri Sorumlusunun Yükümlülükleri Nelerdir?

Kişisel Verileri Koruma Kanunu’nda kişisel verileri işlemek için birtakım temel ilkeler öngörülmüştür. Veri sorumlularının veri işleme faaliyetlerinde bu ilkelere riayet etmesi zorunludur.

Bu ilkeler;

•    İşlenen verilerin hukuka ve ahlaka uygun olması
•    Bu verilerin doğru ve güncel olması
•    Veri işleme amaçlarının belirli, meşru ve açık olması
•    Verilerin işlenen amaç doğrultusunda sınırlı ve orantılı olması
•    İlgili mevzuatlarda öngörülen süreler ve veri işleme amacı nispetinde gerekli süreler boyunca saklanabilmesidir.

Bu ilkeler ile birlikte, kanun koyucu veri sorumlularına yönelik ilgili kişilerin haklarını korumak, hukuki sınırı belirlemek ve veri işleme faaliyetlerini denetleyebilmek için çeşitli yükümlülükler öngörmüştür.

Bu yükümlülüklerden birincisi aydınlatma yükümlülüğüdür(Obligation to Inform). Bu kapsamda veri sorumluları ilgili kişileri bilgilendirmek zorundadır. Kişisel verilerin işlendiği her durumda bu yükümlülük yerine getirilmelidir.

İkinci yükümlülük işlenen verilerin hukuka uygun bir şekilde silinmesi, imha edilmesi veya anonimleştirilmesidir. Bu yükümlülük veri işleme faaliyetinin kanuni süreyi aştığı durumlarda ve veri işleme amacının artık bulunmadığı durumlarda gerçekleştirilmesi gereken veri yok etme faaliyetidir.

Üçüncü yükümlülük ise işlenen verilerin güvenliğinin sağlanmasıdır. Bu yükümlülüğün kapsamı günümüzün teknolojik koşulları sebebiyle çok geniştir. Veri sorumluları, veri işleme, verileri saklama ve verilerin imhası faaliyetlerinde gereken teknik(siber güvenlik) ve güvenlik önlemleri almak ile yükümlüdür.

Diğer bir yükümlülük ise Veri Sorumluları Sicili’ne (VERBİS) kayıt yükümlülüğüdür. Kanun koyucu VERBİS sistemine kayıt için zorunlu olan şirketleri mali bilançolarına göre ve ana faaliyet alanlarına göre sınırlandırmıştır. Bu sisteme girilen verilerin şirket bünyesinde oluşturulan “Veri Envanteri(Data Inventory)”’ne uyumlu olması gerekmektedir.

Son olarak veri sorumluları ilgili kişiler tarafından yapılan verileri ile ilgili olan talepleri en geç 30 gün içerisinde yanıtlamak zorundadır.

Bu yükümlülüklere ek olarak, veri sorumluları Kişisel Verileri Koruma Kurulu tarafından verilen kararlara riayet etmek zorundadır.