Veri sorumlusu, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmıştır. Kısaca kişisel verilerin neden ve nasıl işlendiğini belirleyen kişi, veri sorumlusudur. Veri sorumlusu gerçek kişi olabileceği gibi tüzel kişi de olabilir. Kişisel Verilerin Korunması Kanunu (KVKK) ile getirilen yükümlülüklerin veri sorumlusunun şahsında doğduğu görülmektedir. Bu yükümlülükler şöyle sınıflandırılabilir:
⦁ Aydınlatma Yükümlülüğü
⦁ Veri Güvenliğine İlişkin Yükümlülükler
⦁ Veri Sorumluları Siciline (VERBİS) Kayıt Yükümlülüğü
⦁ İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü
⦁ Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü
KVKK’nın amacı kişisel verisi işlenen gerçek kişilerin (KVKK’daki tanımına göre ilgili kişilerin) kişisel verileri üzerinde hakimiyet sahibi olmasıdır. Kişilerin bu hakimiyetini sağlayabilmek için de hangi kişisel verilerinin neden işlendiği, kimlere aktarıldığı, nerede ne süre saklandığı gibi bilgilere sahip olması gerekmektedir. İşte bu noktada veri sorumlularının aydınlatma yükümlülüğü karşımıza çıkmaktadır. KVKK’nın 10. maddesinde düzenlenen aydınlatma yükümlülüğü kapsamında veri sorumlusu ilgili kişileri şu konularda aydınlatmalıdır:
⦁ Veri sorumlusunun ve varsa temsilcisinin kimliği,
⦁ Kişisel verilerin hangi amaçla işleneceği,
⦁ Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
⦁ Kişisel veri toplamanın yöntemi ve hukuki sebebi,
⦁ 11. maddede sayılan diğer hakları.
Aydınlatma yükümlülüğü ilgili kişinin talebine bağlı değildir, ilgili kişinin kişisel verileri açık rızasına veya KVKK’da yer alan diğer veri işleme şartlarından birine dayalı olarak da işlenmiş olsa veri sorumlusu aydınlatma yükümlülüğünü yerine getirmelidir.
KVKK’nın veri güvenliğine ilişkin 12. maddesine göre veri sorumluları kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak ile yükümlüdür. Veri sorumluları bu yükümlülüğü yerine getirebilmek için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almaktadır. Burada veri sorumlusu hem hukuk hem bilişim alanında bir uyum süreci geçirmeli, risk ve tehditler belirlenerek KVKK’ya uyum sağlamalıdır.
Veri Sorumluları Sicili’ne Kayıt Yükümlülüğü
Veri Sorumluları Sicili (VERBİS), Kişisel Verileri Koruma Kurumu’nun gözetiminde tutulan kamuya açık bir sicildir. Veri sorumluları, veri işleme faaliyetine başlamadan evvel VERBİS’e kayıt olmakla yükümlüdür. VERBİS’e ilişkin detaylı açıklamamızı bir sonraki yazımızda bulabilirsiniz.
İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü
Veri sorumluları, ilgili kişilerin 11. maddede sayılan haklarını kullanmak üzere kendilerine yaptıkları başvuruları en kısa sürede ve en geç 30 gün içinde cevaplandırmakla yükümlüdür.
Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü
Kişisel Verilerin Korunması Kurulu kendiliğinden (re’sen) veya şikayet üzerine yaptığı incelemede bir ihlal tespit ederse bu ihlalin giderilmesi için yapılması gerekenleri içeren kararını veri sorumlusuna tebliğ eder. Veri sorumlusu bu kararın kendisine tebliğinden itibaren gecikmeksizin ve en geç 30 gün içinde kararın gereğini yerine getirmekle yükümlüdür.
Peki veri sorumlusu KVKK ile getirilen bu yükümlülüklerini yerine getirmemesi halinde hangi durumlarla karşı karşıya kalır? Öncelikle dünyanın dinamiğinin kişisel veriye bağlı olduğu günümüzde yükümlülüklerini yerine getirmeyen veri sorumluları ciddi bir repütasyon (ün) problemi yaşarlar. Bilişim çağında veri güvenliğini sağlamaya yönelik aksiyonları almayan veri sorumlularının marka değerleri azalır, ticari itibarları zedelenir. Ancak veri sorumlularının karşılaştığı tek sonuç bu değildir. Türk Ceza Kanunu’ndan kaynaklanan gerçek kişiler için hapis, tüzel kişiler için güvenlik tedbirleri uygulanırken; KVKK, yükümlülüklere uymamanın yaptırımı olarak idari para cezaları öngörmüştür: