KVKK Kapsamında Veri Sorumlusunun Yükümlülükleri
Kişisel verilerimizin gizliliği ve güvenliği, dijital çağda hiç olmadığı kadar önemli bir konu hâline geldi. Türkiye’de Kişisel Verilerin Korunması Kanunu (KVKK), bu alanda hem bireyleri hem de kurumları korumayı hedefliyor. Peki, KVKK’ya göre “veri sorumlusu” kimdir ve hangi yükümlülüklere sahiptir? Bu yazıda, veri sorumlularının sorumluluklarını, farklarını ve neden önemli olduklarını anlaşılır bir şekilde ele alacağız.
Veri Sorumlusu ile Veri İşleyen Arasındaki Fark
KVKK’nın 3. maddesinde veri sorumlusu, kişisel verilerin işlenme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin kurulmasından ve yönetiminden sorumlu gerçek veya tüzel kişi olarak tanımlanır. Peki, veri sorumlusu ile veri işleyen aynı şey mi?
- Veri Sorumlusu: Kişisel verilerin işlenme nedenini ve yöntemini belirler, KVKK kapsamında tüm yükümlülüklere sahiptir.
- Veri İşleyen: Veri sorumlusunun talimatıyla kişisel verileri işler, ancak kendi başına karar veremez.
Özetle, veri sorumlusu “oyunun kuralını belirler”, veri işleyen ise bu kurallara göre hareket eder.
Veri Sorumlusu Belirlemenin Önemi
Veri sorumlusunun doğru şekilde belirlenmesi, kurumların KVKK uyumunu sağlamak için kritik bir adımdır. Tüzel kişiler açısından, kişisel verilerin işlenmesinde sorumluluk tüzel kişinin şahsında doğar. Yani bir şirket, çalışanlarının veya müşterilerinin verilerini nasıl işlediğinden doğrudan sorumludur. Kamu ve özel hukuk tüzel kişileri arasında bu konuda bir fark bulunmamaktadır.
Doğru bir veri sorumlusunun belirlenmesi, veri güvenliği, şeffaflık ve ilgili kişilerin haklarının korunması açısından hayati önem taşır.
Veri Sorumlusunun Yükümlülükleri
1. Aydınlatma Yükümlülüğü
Veri sorumlusu, kişisel verilerinin hangi amaçla işlendiğini, kimlere aktarılabileceğini ve hangi hukuki gerekçelere dayandığını ilgili kişiye bildirmekle yükümlüdür. Bu kapsamda:
- Veri sorumlusunun kimliği ve varsa temsilcisi
- Kişisel verilerin işlenme amacı
- Kişisel verilerin kimlere aktarılabileceği
- Veri toplama yöntemi ve hukuki sebep
- İlgili kişilerin KVKK 11. madde kapsamındaki hakları
Aydınlatma yükümlülüğü, sözlü veya yazılı her ortamda yerine getirilebilir. Örneğin çağrı merkezi, e-posta veya fiziki formlar aracılığıyla yapılabilir.
2. Veri Güvenliğine İlişkin Yükümlülükler
Veri sorumlusu, kişisel verilerin hukuka aykırı işlenmesini veya erişilmesini engellemekle yükümlüdür. Bunu sağlamak için gerekli teknik ve idari tedbirleri almak zorundadır. Ayrıca, veri sorumlusunun verileri başka bir kişi veya kurum tarafından işleniyorsa, bu tedbirler birlikte sağlanır.
Kısa bir tablo ile özetleyelim:
| Yükümlülük | Açıklama |
|---|---|
| Aydınlatma | İlgili kişiyi veri işleme süreci hakkında bilgilendirme |
| Veri Güvenliği | Teknik ve idari tedbirlerle verilerin korunması |
| VERBİS Kaydı | Veri sorumlularının kayıt ve bildirim yükümlülüğü |
| Başvuru Cevaplama | İlgili kişilerin taleplerine 30 gün içinde yanıt verme |
| Kurul Kararlarını Uygulama | KVKK Kurulu’nun verdiği kararları zamanında yerine getirme |
| Verilerin Silinmesi/Yok Edilmesi | Gereksiz hâle gelen verileri silme, yok etme veya anonimleştirme |
3. Veri Sorumluları Siciline Kayıt
VERBİS, veri sorumlularının kayıt olduğu ve veri işleme faaliyetlerini beyan ettiği bir sistemdir. Sicile kayıt zorunlu olup, kayıt yapılmaması veya eksik yapılması durumunda ciddi idari para cezaları uygulanmaktadır.
4. Başvuruların Cevaplanması ve Kurul Kararlarına Uyma
İlgili kişiler, KVKK kapsamındaki haklarını kullanmak için başvuruda bulunabilirler. Veri sorumlusu, bu talepleri ücretsiz olarak ve en geç 30 gün içinde yanıtlamakla yükümlüdür. Kurul kararlarına uyulmaması hâlinde de yine yüksek cezalar söz konusudur.
5. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi
Veri sorumlusu, işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri silmek, yok etmek veya anonim hâle getirmekle yükümlüdür. Bu işlem, ilgili kişinin başvurusuna bağlı olmaksızın yapılmalıdır.
Sıkça Sorulan Sorular (SSS)
S: Veri sorumlusu kimdir?
C: Kişisel verilerin işlenme amacı ve yöntemini belirleyen gerçek veya tüzel kişidir.
S: Veri işleyen ile veri sorumlusu aynı şey mi?
C: Hayır. Veri işleyen, sorumlu tarafından belirlenen kurallar çerçevesinde verileri işler.
S: VERBİS kaydı zorunlu mu?
C: Evet, veri sorumluları çoğu durumda VERBİS’e kayıt olmak zorundadır.
S: Aydınlatma yükümlülüğü neden önemli?
C: İlgili kişilerin haklarını bilmesi ve kişisel verilerinin şeffaf bir şekilde işlenmesi için gereklidir.
Sosyal Medya Hesabımızı Takip Edebilirsiniz: Linkedin
