Adınızı, adresinizi ya da sağlık bilgilerinizi işleyen kurumlar sadece hizmet sunmuyor; aynı zamanda yasal olarak "veri sorumlusu" sıfatıyla sizi bilgilendirmek, verinizi korumak ve gerektiğinde silmekle yükümlü. Peki, Veri Sorumlusu kimdir? Veri Sorumlusu'nun görevleri nedir?
Veri Sorumlusu kimdir?
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulması ve yönetilmesinden doğrudan sorumlu olan gerçek veya tüzel kişidir.
Kanun nezdinde; ister kamu ister özel hukuk tüzel kişisi olsun, kişisel veri işleme faaliyeti yürüten her kurum, faaliyet kapsamında bizatihi veri sorumlusu sayılır. Dolayısıyla yükümlülükler ve hukuki sorumluluklar doğrudan tüzel kişilik üzerinde doğar.
Veri Sorumlusu Ne Yapar?
Veri sorumlusu, kişisel verilerin neden ve nasıl işleneceğine karar verir. Bu, veri işleme sürecinin stratejik çerçevesini çizerken aynı zamanda işin operasyonel boyutlarını da belirleme yetkisini kapsar.
Veri Sorumlusunun Temel Yükümlülükleri
1. Aydınlatma Yükümlülüğü
Veri sorumlusu, kişisel verileri işlenen bireyleri aşağıdaki konularda bilgilendirmekle yükümlüdür:
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin işlenme amaçları,
- Verilerin aktarılabileceği kişi veya gruplar,
- Verilerin hangi yöntem ve hukuki sebeplerle toplandığı,
- İlgili kişinin KVKK kapsamındaki hakları.
Bu yükümlülük, kişisel veri işleme faaliyetinin niteliğine bakılmaksızın yerine getirilmelidir. Ayrıca, bu bildirim anlaşılır, açık ve sade bir dil ile yapılmalıdır. Aydınlatma işlemi, açık rıza alma sürecinden tamamen ayrı yürütülmelidir.
2. Veri Güvenliği Yükümlülüğü
Veri sorumlusu, şu üç temel başlık altında veri güvenliğini sağlamakla yükümlüdür:
- Verilerin hukuka aykırı işlenmesini önlemek,
- Verilere hukuka aykırı erişimi engellemek,
- Verilerin güvenliğini ve bütünlüğünü sağlamak.
Bu kapsamda gerekli teknik ve idari önlemler alınmalı; kişisel veriler iş ortakları veya hizmet sağlayıcılar aracılığıyla işleniyorsa, bu taraflarla birlikte müşterek sorumluluk üstlenilmelidir.
3. Veri Sorumluları Siciline (VERBİS) Kayıt Zorunluluğu
VERBİS, veri sorumlularının veri işleme faaliyetlerine dair beyanlarını sundukları bir kayıt sistemidir. Kayıt esnasında aşağıdaki bilgiler talep edilir:
- Veri sorumlusu kimlik ve adres bilgileri,
- İşleme amaçları ve veri kategorileri,
- Alıcı grupları ve yurt dışı aktarım durumu,
- Güvenlik önlemleri ve saklama süresi.
İstisnai durumlar dışında tüm veri sorumluları bu sicile kayıt olmakla yükümlüdür. Eksik, yanıltıcı ya da geç bildirimlerde 20.000 TL’den 1.000.000 TL’ye kadar idari para cezası söz konusudur.
4. İlgili Kişi Başvurularına Zamanında Cevap Verme
İlgili kişiler, veri sorumlusuna başvurarak KVKK kapsamındaki haklarını kullanabilir. Bu başvurulara en geç 30 gün içinde yanıt verilmesi gereklidir. İşlem ek bir maliyet doğuruyorsa, Kurul tarafından belirlenen tarife üzerinden ücret talep edilebilir.
Cevap verilmemesi, eksik veya tatmin edici olmaması durumunda ilgili kişi, Kurul’a şikâyet hakkını kullanabilir.
5. Kurul Kararlarını Uygulama
Kişisel Verileri Koruma Kurulu tarafından tespit edilen ihlaller neticesinde veri sorumlusuna karar tebliğ edilir. Bu kararların en geç 30 gün içinde yerine getirilmesi yasal zorunluluktur. Aksi takdirde, ciddi yaptırımlar uygulanabilir.
6. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonimleştirilmesi
Veri işleme amaçlarının ortadan kalkması hâlinde veri sorumlusu, kişisel verileri:
- Silmek,
- Yok etmek, ya da
- Anonim hale getirmekle yükümlüdür. Bu işlem için bireyden talep gelmesi gerekmez. Ancak talep gelirse de derhal yerine getirilmelidir.
