Veri Sorumlusu Nedir? KVKK Kapsamında Görev ve Sorumluluklar
Dijitalleşme hızlandıkça “kişisel veri” dediğimiz bilgiler hayatın her alanına yayıldı: bir e-ticaret siparişi, bir iş başvurusu, bir müşteri destek kaydı, bir güvenlik kamerası görüntüsü… Tüm bu süreçlerde veriler toplanıyor, saklanıyor, aktarılıyor ve bazen de siliniyor. Tam bu noktada KVKK’nın (6698 sayılı Kişisel Verilerin Korunması Kanunu) en kritik kavramlarından biri devreye giriyor: Veri Sorumlusu.
Çünkü KVKK açısından “veri işleniyor” demek, tek başına bir şey ifade etmez. Asıl önemli olan, bu işleme faaliyetinin kim tarafından ve hangi amaçla yürütüldüğüdür. İşte veri sorumlusu, kişisel verilerin işlenmesinde “direksiyonda olan” taraftır. Bu yazıda veri sorumlusunun ne olduğunu, veri işleyenle farkını, görev ve sorumluluklarını ve günlük hayatta nasıl örneklerle karşımıza çıktığını herkesin anlayacağı bir dille ele alacağız.
Tanım: Veri sorumlusu; kişisel verinin hangi amaçla ve hangi yöntemle işleneceğini belirleyen, süreçten birincil derecede sorumlu taraftır.
Fark: Veri işleyen ise veri sorumlusu adına, onun talimatıyla teknik/operasyonel işleme yapar.
Odak: Şeffaflık (aydınlatma), hukuki sebep, güvenlik (KVKK m.12), saklama-imha, aktarım ve ihlal yönetimi.
Kişisel Veri İşlemek Ne Demek?
Veri sorumlusu konusunu doğru anlamak için önce “kişisel veriyi işlemek” ifadesini netleştirmek gerekir. KVKK’ya göre kişisel veriyi işlemek; veriyi:
- elde etmek,
- kaydetmek,
- depolamak,
- değiştirmek,
- güncellemek,
- açıklamak/aktarmak,
- sınıflandırmak,
- kullanımını engellemek,
- silmek, yok etmek veya anonim hale getirmek
gibi her türlü işlemi kapsar.
Yani “biz sadece isim-soyisim alıyoruz” da bir işleme faaliyetidir; “kamera kaydı tutuyoruz” da. “E-posta bülteni gönderiyoruz” da veri işleme sayılır; “CRM’e müşteri notu giriyoruz” da.
Veri Sorumlusu Nedir?
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişidir.
Bunu en yalın haliyle şöyle düşünebilirsin:
- Ne için veri toplanacak? (Amaç)
- Hangi veri alınacak? (Kapsam)
- Nasıl toplanacak, nerede saklanacak? (Yöntem/vasıta)
- Kimler erişecek? (Yetki)
- Ne kadar süre tutulacak? (Saklama)
- Kime aktarılacak? (Aktarım)
Bu soruların cevabını kim belirliyorsa, o taraf veri sorumlusudur.
Örnek:
Bir e-ticaret sitesi, sipariş verebilmeniz için ad-soyad, adres ve telefon bilgisi alıyor. Bu verileri hangi amaçla aldığına, ne kadar süre saklayacağına, hangi kargo firmasıyla paylaşacağına e-ticaret firması karar verir. Dolayısıyla veri sorumlusu e-ticaret firmasıdır.
Veri Sorumlusu ile Veri İşleyen Arasındaki Fark
Uygulamada en çok karışan konu budur. KVKK’da iki temel rol vardır:
1) Veri Sorumlusu
- Amaç ve yöntemi belirler.
- “Bu veriyi şu nedenle toplayacağım ve şu sistemde tutacağım” der.
- Sonuçlardan ve uyumdan birincil derecede sorumludur.
2) Veri İşleyen
- Veri sorumlusu adına, onun talimatlarıyla veri işler.
- Genellikle bir hizmet sağlayıcıdır.
- Örn: bordro firması, çağrı merkezi hizmeti, bulut hizmet sağlayıcısı, ajans.
Basit benzetme:
- Veri sorumlusu: “Projeyi yöneten, işi tanımlayan taraf”
- Veri işleyen: “İşi veri sorumlusunun talimatıyla yapan tedarikçi”
Örnek:
Bir şirket, e-posta pazarlaması için dışarıdan bir e-posta gönderim platformu kullanıyorsa:
- Kampanyayı kim planlıyor? Şirket.
- Hangi listeye kimlere gidecek? Şirket belirliyor.
- Platform sadece göndermeyi sağlıyor.
Bu durumda şirket veri sorumlusu, e-posta platformu ise çoğu senaryoda veri işleyen olur.
Veri Sorumlusu Kim Olabilir?
KVKK’ya göre veri sorumlusu:
- Gerçek kişi (örneğin muayenehane işleten bir doktor),
- Tüzel kişi (örneğin şirket, dernek, vakıf),
- Kamu kurumu olabilir.
Kurum içinde departmanlar veri sorumlusu değildir. Veri sorumlusu, şirketin kendisidir (tüzel kişilik). Ancak uygulamada yetkili kişiler (yönetim, İK, IT, hukuk vb.) veri sorumlusu adına süreçleri yürütür.
Veri Sorumlusunun KVKK Kapsamında Temel Yükümlülükleri
Veri sorumlusu olmanın anlamı şudur: Kişisel veri işliyorsanız, “uyum ve güvenlik” tarafında belirli sorumlulukları yönetmeniz gerekir. Bu yükümlülükleri pratik şekilde başlıklandırarak inceleyelim.
1) Aydınlatma Yükümlülüğü (Şeffaflık)
KVKK, veri sorumlusundan kişisel veriyi toplarken ilgili kişiyi bilgilendirmesini ister. Bu bilgilendirme genelde aydınlatma metni ile yapılır.
Aydınlatmada temelde şunlar yer alır:
- Veri sorumlusunun kimliği,
- Hangi amaçla veri işlendiği,
- Kime/hangi amaçla aktarılabileceği,
- Toplama yöntemi ve hukuki sebep,
- İlgili kişinin hakları.
Örnek: Web sitesindeki iletişim formunda, formu göndermeden önce kullanıcıyı aydınlatmak gerekir.
2) Hukuki Sebep ve Amaçla Sınırlılık (Gereklilik)
Veri sorumlusu “her ihtimale karşı” veri toplayamaz. Her veri için:
- bir işleme amacı
- ve hukuki sebep
olmalıdır.
Pratikte sık yapılan hata: “İleride lazım olur” yaklaşımıyla fazla veri toplamak. Bu, hem risk hem de uyumsuzluk doğurur.
Örnek: Bir kampanya katılım formunda T.C. kimlik no istemek çoğu zaman ölçüsüz olabilir.
3) Açık Rıza Yönetimi (Gerektiğinde)
Açık rıza, KVKK’da “her şeyin anahtarı” değildir. Ancak gerekli olduğu hallerde veri sorumlusu bunu doğru yönetmelidir:
- Belirli konuya ilişkin
- Bilgilendirmeye dayalı
- Özgür iradeyle verilmiş
Ayrıca rızanın geri alınması halinde süreç nasıl işleyecek, bu da planlanmalıdır.
Örnek: Ticari elektronik ileti gönderimi çoğu senaryoda ayrıca IYS boyutunu da doğurur; süreçler birlikte kurgulanmalıdır.
4) Veri Güvenliği Yükümlülüğü (KVKK m.12)
KVKK’nın en kritik maddelerinden biri m.12’dir. Veri sorumlusu:
- kişisel verilerin hukuka aykırı işlenmesini önlemek,
- hukuka aykırı erişimi önlemek,
- muhafazayı sağlamak
için teknik ve idari tedbirleri almak zorundadır.
Teknik tedbirlere örnek:
- erişim kontrolü (rol bazlı yetkilendirme),
- şifreleme,
- loglama,
- çok faktörlü kimlik doğrulama,
- zafiyet yönetimi, yama yönetimi,
- yedekleme ve felaket kurtarma.
İdari tedbirlere örnek:
- politika ve prosedürler,
- personel eğitimleri,
- gizlilik taahhütleri,
- tedarikçi sözleşmeleri,
- yetki matrisi.
5) Veri İhlali Yönetimi (Bildirim ve Müdahale)
Bir veri ihlali olduğunda (örneğin yetkisiz erişim, sızıntı, yanlış kişiye e-posta gönderimi), veri sorumlusu:
- olayı tespit etmeli,
- etkisini analiz etmeli,
- düzeltici önlemleri devreye almalı,
- gerekli hallerde Kurul’a ve ilgili kişilere bildirim süreçlerini yürütmelidir.
Burada kritik olan şey: “İhlal olmasın” kadar “ihlal olursa ne yapacağım” planıdır. Kurumların olay müdahale planı ve iletişim akışı net olmalıdır.
6) Saklama ve İmha Süreçleri
Kişisel veri, ihtiyaç bittiğinde “sistemde kalmaya devam etmemeli.” Veri sorumlusu:
- saklama sürelerini belirlemeli,
- süre dolunca silme/yok etme/anonimleştirme uygulamalı,
- bunu kayıt altına almalıdır.
Örnek: İş başvurusu yapan adayın verisi, süreç bittiğinde belirlenen süre sonunda imha edilmelidir.
7) Aktarım Yönetimi (Yurt İçi / Yurt Dışı)
Veri sorumlusu, veriyi üçüncü kişilere aktarıyorsa:
- aktarımın amacı ve hukuki sebebini belirlemeli,
- ilgili kişiyi aydınlatmalı,
- tedarikçi sözleşmeleriyle güvenliği garanti altına almalıdır.
Yurt dışı aktarım söz konusuysa, şartlar daha hassas hale gelir ve süreç tasarımı daha dikkatli yapılır.
8) VERBİS ve Envanter Yönetimi (Kurum Ölçeğine Göre)
Bazı veri sorumluları için VERBİS kaydı zorunluluğu doğabilir (istisnalar ve kriterler kurum ölçeğine göre değişir). Bunun yanında, iyi uygulama olarak her veri sorumlusu:
- veri envanteri,
- işleme amaçları,
- alıcı grupları,
- saklama süreleri,
- güvenlik tedbirleri
gibi bilgileri yönetebilir bir modelde tutmalıdır.
Günlük Hayattan Veri Sorumlusu Örnekleri
- Hastane / klinik: Hasta kayıtlarını tutuyorsa veri sorumlusudur.
- Okul: Öğrenci ve veli verilerini işliyorsa veri sorumlusudur.
- Site yönetimi: Kamera kayıtları tutuyor, ziyaretçi kayıt defteri yönetiyorsa veri sorumlusudur.
- İşveren: Çalışan özlük dosyaları, puantaj, bordro süreçlerinde veri sorumlusudur.
- E-ticaret firması: Sipariş, teslimat, fatura süreçlerinde veri sorumlusudur.
Veri Sorumlusu İçin Pratik Kontrol Listesi
Kurum içinde hızlı bir “neredeyiz?” fotoğrafı çekmek için aşağıdaki kontrol listesi iyi bir başlangıçtır:
- Veri işleme amaçlarımız ve hukuki sebeplerimiz net mi?
- Aydınlatma metinlerimiz süreçlerin tamamını kapsıyor mu?
- Açık rıza gerektiren süreçleri ayırdık mı? (pazarlama vb.)
- Yetki matrisi var mı? Kim hangi veriye erişebiliyor?
- Loglar tutuluyor mu ve düzenli kontrol ediliyor mu?
- Tedarikçilerle KVKK ve güvenlik hükümleri içeren sözleşmeler var mı?
- Saklama süreleri belirli mi, imha gerçekten uygulanıyor mu?
- Veri ihlali müdahale prosedürümüz ve iletişim zinciri hazır mı?
- Personel farkındalık eğitimleri düzenli mi?
- Envanter/VERBİS gibi kayıtlar güncel mi?
Sık Sorulan Sorular
1) “Veri sorumlusu” olmak için mutlaka büyük bir şirket mi olmak gerekir?
Cevap: Hayır. Kişisel veri işleyen herkes—ölçeğine göre—veri sorumlusu olabilir. Küçük işletmeler de KVKK kapsamındadır.
2) Bir kurum hem veri sorumlusu hem veri işleyen olabilir mi?
Cevap: Evet. Kurum bir süreçte veri sorumlusu iken, başka bir süreçte başka bir kurum adına veri işleyebilir. Rol, sürece göre değişir.
3) “Biz sadece veriyi saklıyoruz, işlemiyoruz” demek doğru mu?
Cevap: Genellikle hayır. Saklamak da “işleme” kapsamındadır. Ayrıca erişim, yedekleme, silme gibi işlemler de veri işleme faaliyetidir.
Sonuç: Veri Sorumlusu Olmak Ne Anlama Gelir?
KVKK’da veri sorumlusu, kişisel verinin yaşam döngüsünü yöneten taraftır. Bu rol; sadece “hukuki metin yayınlamak” değil, aynı zamanda süreç ve güvenlik yönetimi demektir. İyi kurgulanmış bir veri sorumlusu modeli, kurumun:
- uyum risklerini azaltır,
- itibarını korur,
- operasyonel verimliliğini artırır,
- veri güvenliği olgunluğunu yükseltir.
En kritik yaklaşım şudur: Gereksiz veriyi toplama, topluyorsan güvenli yönet, ihtiyaç bittiğinde imha et. Bu üç adım, veri sorumluluğunun özüdür.
