Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir. Veri sorumlusu, işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.
Veri sorumlusunun tespiti için kişisel verilerin işlenmesi ve işlenme amacı, işlenecek kişisel veri türleri, işlenen kişisel verilerin hangi amaçlarla kullanılacağı, hangi kişilerin kişisel verilerinin işleneceği, kişisel verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kimlerle paylaşılacağı, ne kadar süreyle saklanacağı, ilgili kişilerin erişim hakkı ve diğer haklarının uygulanıp uygulanmayacağı gibi hususlara kimin karar verdiği dikkate alınır.
Veri sorumlusu İrtibat kişisi,
Veri sorumlusu ile ilgili kişi veya Kişisel Verileri Koruma Kurumu arasındaki iletişimin sağlanmasından sorumludur. İrtibat kişisi olarak yapılan görevlendirme, Kanun hükümleri uyarınca veri sorumlusunun sorumluluğunu ortadan kaldırmaz.
Veri sorumlusu temsilcisi olduğuna dair yapılan görevlendirme, Kanun hükümleri uyarınca yurtdışında yerleşik sorumlunun sorumluluğunu ortadan kaldırmaz.
Kayıt yükümlülüğü altında bulunmayan, sonradan kayıt yükümlüsü haline gelen veri sorumluları, yükümlülük altına girmelerini müteakip otuz gün içerisinde Sicile kaydolurlar.
Veri sorumlusunun tespiti için;
hususlarında kimin karar verdiği dikkate alınır.
Bununla birlikte veri sorumlusu, yapacağı kişisel veri işleme sözleşmesi ile;
hususlarında karar verme yetkisini veri işleyene bırakabilir.
6698 sayılı Kanunda veri sorumlusu, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmıştır . Veri sorumluları, veri işleme faaliyetini bizzat yapabileceği gibi, bunu gerçekleştirmesi üçüncü bir kişiyi yani veri işleyeni yetkilendirmek suretiyle de yapabilir. Veri işleyen, veri sorumlusundan aldığı yetkiyle, veri sorumlusu adına verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişidir .
6698 sayılı Kanun la veri sorumlusuna kişisel verileri işlerken yukarıda belirtilen genel ilkelerin yanında birtakım yükümlülükler de getirilmiştir. Bu yükümlülükler başlıca; aydınlatma yükümlüğü, veri güvenliğine ilişkin yükümlükler, ilgili kişiler tarafından yapılan başvuruların cevaplanması, Kurul kararlarının yerine getirilmesi yükümlülüğü, Veri Sorumluları Siciline kaydolma yükümlüğü ve veri ihlali durumunda Kurula bildirim yapma yükümlüğüdür.
KVKK’nın 3. maddesine göre veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
Kanun koyucu, kişisel veri güvenliğinin sağlanmasını Kanun’un amaçlarından biri olarak görmüş ve veri sorumlusu için kişisel verilerin hukuka aykırı olacak şekilde işlenmesini önleme, bu verilere hukuka aykırı olacak şekilde erişilmesini önleme ve kişisel verilerin hukuka uygun olacak şekilde muhafazasını sağlama yükümlülüklerinin tamamını kapsayan veri güvenliğini sağlama yükümlülüğünü öngörmüştür.
Bu kapsamda KVKK’nın 12. Maddesi uyarınca veri sorumlusu; (i) kişisel verilerin hukuka aykırı olarak işlenmesini önleme, (ii) kişisel verilere hukuka aykırı olarak erişilmesini önleme, (iii) kişisel verilerin muhafazasını sağlama amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türkü teknik ve idari tedbiri almak zorundadır. Bununla birlikte, kişisel veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi durumlarında KVKK kapsamında 15.000 TL ile 1.000.000 TL arasında idari para cezası öngörülmüştür.
Bu kapsamda örnek bir karar olarak bir sigorta şirketinin internet sayfasının bulunduğu test sunucusunun siber saldırıya uğraması ve yetkisiz erişim sonucunda, uygulamanın bulunduğu veri tabanı silinerek, yerine fidye taleplerinin yer aldığı yeni bir veri tabanının sisteme yüklenmesi suretiyle, veri ihlali gerçekleşmiştir. Veri sorumlusu tarafından gerçekleştiği gün tespit edilen bu veri ihlalinden 311 kişi etkilenmiş; ihlalden etkilenen kişisel veri türlerinin, TC Kimlik Numarası, isim-soy isim, e-posta ve plaka bilgisi olduğu belirtilmiştir. 6698 sayılı Kişisel Verilerin Korunması Kanunu’ nun (‘KVKK’) 12/1 fıkrası uyarınca, veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusuna, 300.000 TL idari para cezası uygulanmasına karar verilmiştir.
Bu konu hakkında benzer makaleler için tıklayın