Veri Sorumlusu Kimdir? Yükümlülükleri Nelerdir?

Veri Sorumlusu Kimdir? Yükümlülükleri Nelerdir?

Veri sorumlusu ve veri sorumlusunun yükümlülükleri gibi hususlar kişisel verilerin korunması kanununun yürürlüğe girmesinden sonra oldukça önemli hale gelmiştir. Çeşitli sebeplerle kişisel veri işleyen veri sorumlarının kanuni yükümlülüklerine aykırı davranması halinde yaptırımlarla karşı karşıya kalmaları söz konusu olmaktadır. Uygulanacak yaptırımlarda sorumluluğun yüklenmesi açısından veri sorumlusunun tespitinin doğru şekilde yapılması gerekmektedir.

Veri Sorumlusu Kimdir?

Veri sorumlusu; bireylere ilişkin kişisel verilerin nasıl ve hangi amaçla işleneceğine karar veren, veri kayıt sisteminin korunmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

Bu noktada, bir gerçek kişi veri sorumlusu sıfatını alabileceği gibi, şirket dernek vakıf yahut kamu kurumları gibi tüzel kişileri de veri sorumlusu olabilir.

Bir gerçek ya da tüzel kişinin veri sorumlusu olarak değerlendirilmesi için şu hususlara karar verir yapıda olması gerekmektedir:

  • Kişisel verileri işlenecek kişi grupları, 
  • Bu bu gruptaki kişilerin işlenecek verilerinin türleri, 
  • Verilerin hangi amaçla işleneceği, 
  • İşlenen verilerin üçüncü kişilerle paylaşılıp paylaşılamayacağı, 
  • Üçüncü kişilerle paylaşılacak olan verilerin kimlerle paylaşılacağı,
  • Ne kadar süreyle muhafaza edileceğine dikkat edilmelidir.

DİKKAT: Kişisel veriler bir şirket bünyesinde faaliyet gösteren çalışanlar tarafından işlense dahi, veri sorumlusu, tüzel kişi olan şirket dernek vakıf yahut kamu kurumudur.

Veri Sorumlusunun Yükümlülükleri Nelerdir?

Veri sorumlusunun yükümlülükleri; Kişisel Verilerin Korunması Kanununda düzenlenen ve yerine getirilmemesi halinde veri sorumlusunun yaptırımla karşı karşıya kalacağı yükümlülüklerdir. Bu yükümlülükler şunlardır: 

  • Aydınlatma yükümlülüğü,
  • Veri güvenliğine ilişkin yükümlülükler,
  • VERBİS kayıt yükümlülüğü,
  • İlgili kişiler tarafından başvurulara yanıt verilmesi yükümlülüğü,
  • Kurul kararlarının yerine getirilmesi yükümlülüğü,
  • Veri işleme sebebi ortadan kalkan verilerin imhası yükümlülüğü.

Aydınlatma Yükümlülüğü

Veri sorumlusunun kanundan doğan ilk yükümlülüğü aydınlatma yükümlülüğüdür. İlgili kişinin sahip olduğu bilgi edinme hakkının yansıması olarak ele alınır. 

Veri sorumlusu aydınlatma yükümlülüğü altında, ilgili kişiyi veri işleme faaliyetleri hakkında bilgilendirmektedir. Yapılan bilgilendirmede şu hususlar asgari olarak bulunmak zorundadır: 

  • Veri sorumlusunun ve veri sorumlusu temsilcisinin kimlik bilgileri 
  • Kişisel verilerin hangi amaçla işlendiği 
  • Kişisel verilerin üçüncü kişilere aktarılıp aktarılmadığı, 
  • Üçüncü kişilere aktarımın olması halinde hangi amaçla aktarılacağı, 
  • Kişisel verilerin toplanmasında tercih edilen yöntem ve hukuki dayanak, 
  • İlgili kişinin kanuni haklarını kullanması halinde, bunları yerine getirmek.

Aydınlatma yükümlülüğü, ilgili Kanun ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerinde düzenlenmektedir. Aydınlatma yükümlülüğünün yerine getirilmesinde dikkat edilmesi gereken detaylar, “KVKK Aydınlatma Yükümlülüğü Nedir?” başlıklı makalede açıklanmaktadır.

Veri Güvenliğine İlişkin Yükümlülükler

Veri sorumlusunun Kişisel Verilerin Korunması Kanunundan doğan bir diğer yükümlülüğü, veri güvenliğine ilişkin yükümlülüklerdir. Bu yükümlülüğün kapsamını şu hususlar oluşturur:

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, 
  • işlenen kişisel verilere bir başkasının hukuka aykırı olarak erişmesini önlemek, 
  • Kişisel verilerin muhafazasını sağlamak amacıyla her türlü teknik ve idari tedbirleri almak.

Bu itibarla veri güvenliğinin sağlanması için alınması gereken teknik ve idari tedbirler kısaca şunlardır:

  • Mevcut Risk ve tehditlerin belirlenmesi, 
  • Çalışanların eğitilmesi ve farkındalık çalışmalarının yapılması, 
  • Kişisel veri güvenliği politikalarının ve prosedürlerinin belirlenmesi, 
  • Kişisel verilerin mümkün olduğunca az işlenmesi için gerekli işlemlerin yapılması, 
  • Veri işleyen ile ilişkilerin yönetimi, 
  • Siber güvenliğinin sağlanması için teknik tedbirlerin alınması.

Veri sorumlusu tarafından alınması gereken, veri güvenliği yükümlülüklerine ilişkin detaylı bilgi “KVKK idari ve teknik tedbirler” başlıklı makalede yer almaktadır.

VERBİS Kayıt Yükümlülüğü

Veri sorumlusu sıfatındaki gerçek ve tüzel kişiler veri işleme faaliyetlerine başlamadan önce Veri Sorumluları Siciline kayıt yaptırmak yükümlülüğü altındadır.

Veri Sorumluları Sicili; sorumlularının işledikleri verileri ilişkin bilgileri kayıt altına tuttukları kamuya açık, online bir sistemdir. VERBİS başvurusu yapılırken şu hususların sisteme bildirilmesi gerekmektedir: 

  • Veri sorumlusu ve veri sorumlusu temsilcisinin kimlik ve adres bilgisi, 
  • Veri işleme amacı, 
  • Verisi işlenen kişi grupları ve bu gruplar altında işlenen kişisel veri türleri, 
  • Üçüncü kişilere aktarım varsa, işler verilerin aktarılabileceği gruplar, 
  • Yurt dışına aktarım yapılacak kişisel veriler, 
  • Kişisel veri güvenliğine ilişkin olarak alınan teknik ve idari tedbirler, 
  • Kişisel verilerin işleneceği azami süre.

Sistemde yer alan başvuru formunda ilgili bilgiler girildikten sonra Kişisel Verileri Koruma Kurumu tarafından bir inceleme yapılmaktadır. Yapılan incelemenin olumlu olması halinde yine veri sorumlusu tarafından bir irtibat kişisi atanıp süreç tamamlanmaktadır.

VERBİS kaydına ilişkin adımlar, olması gerekenler, gerekli belgeler ve konu hakkındaki tüm detaylar “verbis kaydı” başlıklı makalede açıklanmaktadır.

İlgili Kişi Başvurularını Cevaplandırma Yükümlülüğü

İlgili kişiler, işlenen kişisel verilerine ilişkin olarak veri sorumlusuna başvurma hakkına sahiptir. Veri sorumlusu ise ilgili kişiler tarafından yapılan bu başvurulara cevap verme yükümlülüğü altındadır.

İlgili kişiler tarafından yapılan başvurularda talep edilebilecek hususlar şunlardır:

  • İlgili kişiye ait kişisel verilerin işlenip işlenmediği hakkında bilgi alma,
  • İşlenmiş kişisel verilerin detaylarını öğrenme,
  • Kişisel verilerin işlenme amaçlarını ve işleme faaliyetinin amaca uygunluğunu öğrenme,
  • Kişisel verilerin aktarıldığı üçüncü kişileri öğrenme,
  • Kişisel verilerin işlenmesi faaliyetlerinde hata yahut eksiklik bulunması halinde, bu eksiklik ve hatanın giderilmesini ve üçüncü kişilere bildirilmesini talep etme,
  • İmha şartlarını sağlayan kişisel verilerin silinmesini veya yok edilmesini isteme ve imha edilen kişisel verilerin üçüncü kişilere bildirilmesini talep etme,
  • Otomatik sistemler uygulanarak yürütülen veri analizi süreçlerinde ortaya çıkan aleyhe sonuçlara itiraz etme,
  • Kanuna aykırı yürütülen veri işleme faaliyetleri sonucu ortaya çıkan zararın giderilmesini isteme.

Bu itibarla, ilgili kişi tarafından yapılan başvuruların en geç 30 gün içinde ücretsiz olarak yanıtlanması gerekmektedir. Veri sorumlusu, ilgili kişinin talebini kabul edebileceği gibi gerekçesini açıklayarak reddedebilir. Karar yazılı şekilde ilgili kişiye iletilmektedir.

Veri sorumlusunun, ilgili kişinin başvurularını yanıtlama yükümlülüğünü yerine getirmemesi halinde, ilgili kişi Kişisel Verilerin Korunması Kurumuna şikayette bulunabilmektedir.

Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü

Kişisel Verileri Koruma Kurumu, ilgili kişiler tarafından yapılan şikayet ve ihlal bildirimleri sonucunda, veri sorumlusunun ortaya çıkan hukuka aykırılıkları gidermesine karar verebilir. Veri sorumlusu KVVK tarafından yapılan tebliğ tarihinden itibaren en kısa sürede ve en geç 30 gün içinde bildirilen hukuka aykırılıkları gidermek yükümlülüğü altındadır.

Bildirim Yükümlülüğü

Veri sorumlusunun kişisel verilerin korunması kanunundan doğan yükümlülüklerinden bir diğeri bildirim yükümlülüğüdür. Bildirim yükümlülüğü ile bir sorumlusu işlediği verilerin bir başkası tarafından ele geçirilmesi halinde bu duruma en kısa sürede ilgili kişiye ve kişisel verilerin korunması kurumuna bildirmek yükümlülüğündedir.

Veri İşleme Amacı Sona Eren Verilerin İmhası Yükümlülüğü

Veri sorumlusu, kanunda sayılan veri işleme amaçlarına uygun olarak gerçekleştirdiği veri işleme süreçlerinin sona ermesi halinde ilgili verileri imha etmekle yükümlüdür. 

İmha süreci kişisel verilerin silinmesi, yok edilmesi yahut anonim hale getirilmesi işlemleri sonucu mümkün olmaktadır. Verilerin hangi yolla imha edileceği, niteliğine göre değişiklik arz etmektedir. Hususun tespiti, veri sorumlusunun takdirine bırakılmıştır.

Bunun yanında veri sorumlusunun, imha yöntemlerini, hangi verinin nasıl imha edileceğini ya da periyodik imha sürelerini açıkladığı veri saklama ve imha politikası hazırlaması da gerekmektedir. Politika hazırlanırken kanuni unsurlara yer verilmesine dikkat edilmelidir. Bu itibarla, politika hazırlanırken alanında uzman bir KVKK avukatından danışmanlık almak fayda sağlamaktadır.

Kişisel verilerin silinmesi yok edilmesi yahut anonimleştirilmesi kavramlarına ilişkin detaylı bilgi “kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi” başlıklı makalede açıklanmaktadır.

Veri Sorumlusu Kimdir? Yükümlülükleri Nelerdir?

Veri Sorumlusu ile Veri İşleyenin Farkı Nedir?

Veri işleyen; bir veri sorumlusunun talimatıyla, veri sorumlusunun yükümlülüğü altındaki verilerin hangi metotlarla işleneceği hususlarını yöneten gerçek ya da tüzel kişidir. Veri sorumlusu ise hangi verilerin, hangi amaçlarla, ne kadar süreyle saklanacağı gibi genel veri işleme politikalarına karar veren gerçek ya da tüzel kişidir.

Veri i̇şleyen, veri sorumlusunun organizasyonu dışında çalışıp veri sorumlusuna hizmet sunan ayrı bir güzel yahut gerçek kişidir.

Veri işleyen, veri işleyenin yükümlülükleri, sorumluluğu gibi hususlar ” veri işleyen kimdir” başlıklı makalede detaylıca açıklanmaktadır.

Veri Sorumlusu ile İrtibat Kişisinin Farkı Nedir?

Veri sorumlusu; hangi verilerin, hangi amaçla, ne kadar süreyle işleneceği, nerede saklanacağı gibi hususlara karar veren gerçek veya tüzel kişidir. İrtibat kişisi ise veri sorumlusunun, ilgili kişiler yahut Kurumla olan iletişimini sağlayan, VERBİS kaydında bilgileri girilen gerçek kişidir.

İrtibat kişisi, veri işleme süreçlerine ilişkin herhangi bir prosedür ve yönteme karar vermemekle beraber yalnızca taraflar arasındaki irtibattan sorumludur.

Yükümlülüklerin Yerine Getirilmemesi Halinde Hangi Yaptırımlar Uygulanır?

Kişisel verileri Koruma Kanunu hükümlerinde yer alan yükümlülüklerin yerine getirilmemesi halinde çeşitli suçlar ve kabahatler gündeme gelebilir. 

Şartların sağlanması halinde, Türk Ceza Kanunu’nda yer alan kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme, verileri yok etme suçları oluşabilir. Bu durumda veri sorumlusunun sorumlusu hakkında yürütülecek ceza soruşturma ve kovuşturması gündeme gelmektedir.

Kanunda sayılan yükümlülüklerin yerine getirilmemesi halinde söz konusu olabilecek, 2024 yılı idari para cezaları tutarları aşağıdaki tabloda yer almaktadır.


İHLAL EDİLEN YÜKÜMLÜLÜK
2024 YILI İDARİ PARA CEZASI TUTARI
EN DÜŞÜKEN YÜKSEK
Aydınlatma yükümlülüğünü yerine getirmeme47.303946.308
Veri güvenliğine ilişkin yükümlülükleri yerine getirmeme141.9349.463.213
Kurul kararlarını yerine getirmeme236.5579.463.213
Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğünü yerine getirmeme189.2459.463.213

Kişisel Verileri Koruma Kurumu tarafından verilen idari para cezalarına karşı itiraz yolu açıktır. İtirazlar Ankara İdare Mahkemelerine sunulan dilekçe ile yapılmaktadır.

Sonuç

Kişisel Verilerin Korunması Kanununda sayılan veri sorumlusu yükümlülüklerinin ihlal edilmesi halinde çeşitli yaptırımlar ve idari para cezaları gündeme gelmektedir. Bu gibi durumlarla karşı karşıya kalmamak adına yükümlülüklere tam uyumun devamlı olarak sağlanması gerekir. Bu noktada alanında uzman bir veri koruma avukatından danışmanlık almak oldukça önemlidir.