Veri sorumlusu kimdir? Yükümlülükleri nedir?
VERİ SORUMLUSU KİMDİR?
6698 sayılı Kişisel Verilerin Korunması Kanunu’na göre veri sorumlusu, kişisel verilerin hangi amaçlarla ve hangi yöntemlerle işleneceğine karar veren, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri sorumlusu, kişisel veri işleme faaliyetinin “neden” ve “nasıl” yapılacağına karar veren taraftır.
VERİ SORUMLUSU HANGİ KONULARDA KARAR VERİR?
Veri sorumlusu; kişisel verilerin toplanıp toplanmayacağına, hangi kişilerden hangi tür verilerin elde edileceğine, bu verilerin hangi amaçlarla kullanılacağına, üçüncü kişilerle paylaşılıp paylaşılmayacağına, paylaşılacaksa kimlerle paylaşılacağına ve kişisel verilerin ne kadar süreyle saklanacağına karar verir. Bu karar yetkisi, veri sorumlusunun temel ayırt edici unsurudur.
TÜZEL KİŞİLERDE VERİ SORUMLULUĞU
Tüzel kişiler, kendi faaliyetleri kapsamında kişisel veri işledikleri ölçüde bizzat veri sorumlusu sayılır ve hukuki sorumluluk doğrudan tüzel kişinin kendisine aittir. Kamu hukuku tüzel kişileri ile özel hukuk tüzel kişileri arasında bu açıdan bir fark bulunmamaktadır. Ancak şirket bünyesindeki birimler veya departmanlar ayrı bir tüzel kişiliğe sahip olmadığından, bunların ayrı birer veri sorumlusu olması mümkün değildir. Buna karşılık şirketler topluluğu içinde yer alan her bir şirket, ayrı tüzel kişiliği bulunduğu için kendi faaliyetleri bakımından ayrı ayrı veri sorumlusu kabul edilir.
VERİ İŞLEYEN KİMDİR?
Veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak ve onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışında kalan gerçek veya tüzel kişidir. Veri işleyenler, kişisel verileri yalnızca kendilerine verilen talimatlar doğrultusunda ve veri sorumlusu ile imzalanan kişisel veri işleme sözleşmesi kapsamında işler. Kişisel verilerin işlenmesine ilişkin temel kararları alma yetkisi veri işleyene ait değildir.
VERİ SORUMLUSU İLE VERİ İŞLEYEN ARASINDAKİ FARK
Veri sorumlusu, kişisel verilerin işlenme amacını ve yöntemini belirleyen taraftır. Veri işleyen ise bu kararları uygulayan ve teknik süreçleri yürüten konumdadır. Veri sorumlusu “neden ve nasıl” sorularının cevabını verirken, veri işleyen “nasıl uygulanacağı” kısmıyla ilgilenir. Hukuki sorumluluk esas olarak veri sorumlusuna aittir.
AYNI KİŞİ HEM VERİ SORUMLUSU HEM VERİ İŞLEYEN OLABİLİR Mİ?
Bazı durumlarda bir gerçek veya tüzel kişi aynı anda hem veri sorumlusu hem de veri işleyen olabilir. Örneğin bir muhasebe şirketi, kendi çalışanlarına ait kişisel veriler bakımından veri sorumlusu sayılırken, müşterisi olan şirketlerin personeline ait kişisel verileri işlemesi halinde veri işleyen konumundadır.
VERİ İŞLEYENİN FAALİYET ALANI
Veri işleyenin faaliyetleri genellikle kişisel veri işlemenin teknik ve operasyonel boyutlarıyla sınırlıdır. Kullanılacak bilgi teknolojileri sistemleri, kişisel verilerin saklanma yöntemi, güvenlik önlemlerinin teknik detayları, veri aktarım yöntemleri ile silme, yok etme veya anonimleştirme süreçleri bu kapsamda değerlendirilir. Ancak bu alanlarda dahi nihai karar yetkisi veri sorumlusuna aittir.
VERİ SORUMLUSUNUN YETKİ DEVRİ VE SORUMLULUĞU
Veri sorumlusu, kişisel veri işleme sözleşmesi aracılığıyla bazı teknik kararları veri işleyene bırakabilir. Buna rağmen kişisel verilerin hukuka uygun şekilde işlenmesinden, veri güvenliğinin sağlanmasından ve gerekli idari ve teknik tedbirlerin alınmasından doğan sorumluluk esasen veri sorumlusuna aittir.
VERİ SORUMLUSUNUN TEMEL YÜKÜMLÜLÜKLERİ
Veri sorumlusu; kişisel verileri hukuka ve dürüstlük kurallarına uygun şekilde işlemek, aydınlatma yükümlülüğünü yerine getirmek, kişisel verilerin güvenliğini sağlamak, gerekli hallerde VERBİS’e kayıt olmak ve kişisel verileri amaçla sınırlı şekilde kullanmakla yükümlüdür.
