VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ NELERDİR?

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir. Yani; işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişi veri sorumlusudur. Bu kapsamda tüzel kişiler, kişisel veri işleme faaliyetleri kapsamında bizatihi kendileri “veri sorumlusu” olup, bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından da bir farklılık bulunmamaktadır.

Peki, 6698 sayılı Kişisel Verileri Koruma Kanunu kapsamında veri sorumlusunun yükümlülükleri nelerdir?

 1-Aydınlatma Yükümlülüğü

Kanun, kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi edinme hakkı tanımakla bu hususları, veri sorumlusunun aydınlatma yükümlülüğü kapsamında ele almaktadır. Bu çerçevede veri işleme faaliyetinin ilgili kişinin açık rızasına bağlı olduğu veya faaliyetin Kanundaki diğer bir şart kapsamında yürütüldüğü durumlarda dahi veri sorumlusunun ilgili kişiyi bilgilendirme yükümlülüğü devam etmektedir.

Buna göre veri sorumlusu, Kanunun 10. maddesi çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla aşağıdaki bilgileri ilgili kişiye sağlamakla yükümlüdür:

• Veri sorumlusunun ve varsa temsilcisinin kimliği,
• Kişisel verilerin hangi amaçla işleneceği,
• Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
• Kişisel veri toplamanın yöntemi ve hukuki sebebi,
• maddede sayılan diğer hakları.

2- Veri Güvenliğine İlişkin Yükümlülükler

Kanunun veri güvenliğine ilişkin 12. maddesine göre veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak ile yükümlüdür. Veri sorumlusu bu yükümlülüklerini yerine getirmek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Öte yandan; veri işleyenler de veri güvenliğinin sağlanması adına gerekli her türlü teknik ve idari tedbiri alma yükümlülüğü altındadırlar.

Kanunda, veri güvenliğine ilişkin olarak ayrıca veri sorumlusuna denetim yükümlülüğü getirilmekle, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorunda olduğu vurgulanmıştır.

Öte yandan, veri sorumluları ile veri işleyenler, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklamayacak ve işleme amacı dışında kullanmayacaktır.  Ayrıca; işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirecektir.

3- Veri Sorumluları Siciline Kayıt Yükümlülüğü

Veri Sorumluları Sicili (VERBİS), veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. Veri Sorumluları Siciline kayıt olmak için başvuru, aşağıdaki bilgileri içeren bir bildirim ile yapılacaktır. Bildirime konu bilgilerde herhangi bir değişiklik olması halinde ise söz konusu değişikliklerin derhal Kuruma bildirilmesi gerekmektedir.

Söz konusu bilgiler şunlardır:

• Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,
• Kişisel verilerin hangi amaçla işleneceği,
• Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
• Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
• Yabancı ülkelere aktarımı öngörülen kişisel veriler,
• Kişisel veri güvenliğine ilişkin alınan tedbirler,
• Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

4- İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü

Veri sorumluları, ilgili kişiler tarafından yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle kendisine iletilen Kanunun uygulanmasıyla ilgili talepleri, niteliklerine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmakla yükümlüdür. Bu kapsamda veri sorumlusu, talebi kabul edebilir veya gerekçesini açıklayarak reddedebilir. Başvuruda yer alan talebin kabul edilmesi hâlinde ise veri sorumlusu tarafından bu talebin gereği ivedilikle yerine getirilmelidir.

Öte yandan; başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilecektir.