Kişisel verilerin işlenmesine dair süreçlerin tamamında, veri sorumluları hem hukuki hem de operasyonel anlamda büyük yükümlülükler taşıyor. Peki, Veri sorumlusu ne iş yapar? Veri sorumlusunun yükümlülükleri nedir?
Veri Sorumlusu kimdir?
Veri sorumlusu, kişisel verilerin hangi amaçlarla ve hangi yöntemlerle işleneceğine karar veren, bu verilerin yer aldığı veri kayıt sisteminin kurulması ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Türkiye'de bu tanım, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile yasal zemine oturtulmuştur.
Kurum ya da şirketlerde bu sorumluluk genellikle üst yönetimde yer alan birimlere ya da KVKK uyum sorumlularına verilir. Veri sorumlusu, sadece verileri işlemez; verilerin hukuka uygun şekilde toplanması, saklanması, güvenliğinin sağlanması ve silinmesi süreçlerinin tamamından sorumludur.
Veri sorumlusunun temel yükümlülükleri
1. Verilerin hukuka uygun işlenmesini sağlama
Veri sorumlusu, kişisel verilerin işlenmesinde KVKK’ya uygun hareket etmek zorundadır. Bu, verilerin açık rıza alınarak işlenmesi, işleme amacının belirli ve meşru olması, işlenen verilerin bu amaçla bağlantılı, sınırlı ve ölçülü olması gibi ilkeleri kapsar. Aksi halde veri sorumlusu ciddi idari para cezalarıyla karşılaşabilir.
2. Aydınlatma yükümlülüğü
Veri sorumlusu, verisi işlenen kişileri (ilgili kişileri), verilerin kim tarafından, hangi amaçla, hangi hukuki sebeple işlendiği ve kimlerle paylaşılabileceği gibi konularda açık ve anlaşılır biçimde bilgilendirmekle yükümlüdür. Bu yükümlülük, KVKK'nın 10. maddesinde açıkça belirtilmiştir.
3. Veri güvenliğini sağlamak
Kişisel verilerin yetkisiz erişime, ifşaya, kayba ya da kötüye kullanıma karşı korunması da veri sorumlusunun sorumluluğundadır. Bu doğrultuda gerekli teknik (şifreleme, antivirüs, erişim denetimi) ve idari (gizlilik politikaları, personel eğitimi) tedbirleri almak zorundadır. Veri güvenliği ihlallerinde sorumluluk doğrudan veri sorumlusuna aittir.
4. İlgili kişi taleplerini yanıtlamak
Veri sahibi kişiler, KVKK kapsamında kendilerine tanınan hakları kullanmak adına veri sorumlusuna başvurabilir. Bu talepler arasında veri işlenip işlenmediğini öğrenme, düzeltilmesini isteme, silinmesini ya da yok edilmesini talep etme gibi haklar yer alır. Veri sorumlusu, bu taleplere 30 gün içinde yazılı veya dijital yollarla cevap vermekle yükümlüdür.
5. VERBİS kayıt zorunluluğu
Veri Sorumluları Sicil Bilgi Sistemi (VERBİS), KVKK kapsamında belirli kriterleri sağlayan veri sorumlularının, veri işleme envanterlerini ve kategorilerini kamuya açıklamak üzere kayıt olmaları gereken bir sistemdir. Kayıt yükümlülüğü getirilmiş veri sorumluları, süresi içinde VERBİS’e kayıt yaptırmak ve bu bilgileri güncel tutmakla yükümlüdür.
6. Veri işleyenlerle sorumluluk paylaşımı
Veri sorumlusu, bazı durumlarda verileri üçüncü taraf hizmet sağlayıcılarla (örneğin dış kaynak IT firmalarıyla) paylaşabilir. Ancak bu durumda, veri sorumluluğu devredilmez; veri sorumlusu, bu üçüncü kişilerin KVKK’ya uygun hareket ettiğini denetlemek ve gerekli sözleşmelerle süreci güvence altına almak zorundadır.
