6698 Sayılı Kişisel Verilerin Korunması Kanununda Veri Sorumlusu Kimdir?
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında en çok merak edilen kavramlardan biri veri sorumlusudur. Veri sorumlusu, kişisel verilerin hangi amaçlarla işleneceğine ve bu verilerin işlenmesine ilişkin süreçlerin nasıl yönetileceğine karar veren kişi veya kurumu ifade eder.
Bu rehberde; veri sorumlusunun kim olduğu, veri işleyen kavramı, başvuru yapılabilecek veri sorumlusu ve veri sorumlusunun KVKK kapsamındaki temel yükümlülüklerini pratik ve anlaşılır şekilde özetliyoruz.
Veri sorumlusu: Kişisel verilerin hangi amaçlarla, hangi hukuki sebeplere dayanılarak işleneceğine karar veren; veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişidir.
Veri işleyen ise, veri sorumlusunun talimatları doğrultusunda onun adına veri işleme faaliyeti yürüten kişi veya kurumlardır. Sorumluluk ekseninde veri sorumlusu her zaman merkezde yer alır.
1. 6698 Sayılı KVKK’da Veri Sorumlusu Kimdir?
Kişisel Verilerin Korunması Kanunu dahilinde, en çok ilgi çeken unsurlardan biri veri sorumlusudur. Veri sorumlusu; kişisel verilerin hangi amaçlarla toplanacağını ve işleneceğini belirleyen, bu amaçla oluşturulan veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu kişi veya kurumu ifade eder.
Veri sorumlusu; gerçek kişi olabileceği gibi, şirket, dernek, vakıf gibi tüzel kişiler de olabilir. Veri sorumlusunun tespitinde önemli olan; fiilen “veriler üzerinde tasarruf eden, işleme amaç ve vasıtalarını belirleyen” taraftır.
Özetle;
- Kişisel verileri toplayan ve işleyen,
- Hangi tür kişisel verilerin işleneceğine karar veren,
- Verilerin kimlerle paylaşılacağını ve hangi hukuki sebeplere dayanacağını belirleyen
taraf kim ise, KVKK anlamında veri sorumlusu da odur.
2. Kanun Kapsamında Başvuru Yapabileceğiniz Veri Sorumlusu
Veri sorumluları için geliştirilen programlar, süreçler ve hukuki çerçeve, ilgili kişilerin başvurularına cevap verebilecek şekilde kurgulanmalıdır. Tüzel kişilerin veri sorumlusu olması halinde, örneğin bir alışveriş web sitesinde veri sorumlusu, o siteyi işleten şirket/tüzel kişiliktir.
Tüzel kişiler bünyesinde veri işleme faaliyetlerinden sorumlu bir yetkili veya ekip atanabilir. Ancak:
- Veri işleme operasyonunu fiilen yürüten kişi(ler) bulunsa da,
- Mali, ticari ve cezai sorumluluk tüzel kişiliğe (yani şirketin kendisine) aittir.
İlgili kişiler; KVKK kapsamındaki haklarını kullanmak için, verilerini işleyen kurum veya işletmeye, yani veri sorumlusuna başvuru yapar. Başvuru yolları (posta, e-posta, KEP vb.) veri sorumlusu tarafından açık ve erişilebilir şekilde belirtilmelidir.
3. Veri İşleyen Kimdir?
KVKK’da veri işleyen; veri sorumlusunu temsilen, onun adına kişisel verileri işleme faaliyeti yürüten gerçek veya tüzel kişidir. Veri işleyen; veri sorumlusunun talimatları, sözleşmeleri ve yönergeleri çerçevesinde hareket eder.
Örneğin:
- Bir e-ticaret sitesinin çağrı merkezi hizmetini dışarıdan alan şirket,
- Bulut yedekleme hizmeti veren servis sağlayıcı,
- CRM altyapısını işleten dış kaynak hizmeti
veri sorumlusunun belirlediği amaçlar doğrultusunda veri işleyebilir ve bu kapsamda “veri işleyen” sıfatını kazanır. Bu kişilerin faaliyetleri mutlaka sözleşme ve yetkilendirme ile sınırlandırılmalıdır.
Aynı gerçek veya tüzel kişi, somut duruma göre hem veri sorumlusu hem veri işleyen olabilir. Örneğin kendi internet sitesinde müşteri verilerini alan bir şirket, bu verileri kendi sistemlerinde tuttuğu ölçüde hem veri sorumlusu hem de veri işleyen rolünü üstlenebilir.
4. KVKK Kapsamında Veri Sorumlusunun Yükümlülükleri
Kişisel verilerin işlenmesi süreçlerinde asıl sorumluluk, veri sorumlusuna aittir. KVKK’ya göre veri sorumlusu; verileri işlerken Kanun’da belirtilen temel ilkelere ve ilgili mevzuata uymakla yükümlüdür.
Temel yükümlülüklerden bazıları:
- Hukuka ve dürüstlük kurallarına uygun işlem: Veriler, Anayasa, KVKK ve ilgili ikincil düzenlemelere uygun biçimde işlenmelidir.
- Doğru ve güncel olma: Verilerin gerçek durumu yansıtması gerekir. Veri sahibinin düzeltme talebi olması halinde, bu talebe uygun işlem yapılmalıdır.
- Belirli, açık ve meşru amaçlar: İşleme amaçları net olmalı; “günü geldiğinde lazım olur” mantığıyla veri toplanmamalıdır.
- Veri minimizasyonu: İşlenen veriler, amaçla bağlantılı, sınırlı ve ölçülü olmalıdır.
Ayrıca veri sorumlusu; veri güvenliğini sağlamak için uygun teknik ve idari tedbirleri almakla, kişisel veri işleme faaliyetlerini belgelendirmek ve gerektiğinde ispat edebilmekle yükümlüdür.
5. Amaçla Sınırlı ve Ölçülü Veri İşleme
KVKK’nın temel ilkelerinden biri, kişisel verilerin belirli, açık ve meşru amaçlar için işlenmesi ve bu amaçlarla sınırlı kalınmasıdır. Bu nedenle veri sorumlusu, hangi süreçte hangi veriye gerçekten ihtiyaç duyduğunu net olarak belirlemelidir.
Örneğin bir alışveriş sitesinde:
- Kimlik ve iletişim bilgileri,
- Adres ve ödeme bilgileri
siparişin oluşturulması, faturalandırma ve teslimat için işlenebilir. Ancak:
- Kan grubu,
- Din/inanç bilgisi gibi özel nitelikli veriler
bu süreçle amaç bağlantısı olmayan veriler olduğundan, talep edilmesi ölçülülük ilkesine aykırı olacaktır.
Amaçla bağlantısız veri toplamak, yalnızca KVKK ihlali riskini artırmakla kalmaz; aynı zamanda veri sahiplerinin güvenini de zedeler.
6. Sık Sorulan Sorular
6.1 Veri sorumlusu ile veri işleyen arasındaki fark nedir?
Veri sorumlusu; kişisel verilerin işlenme amaç ve vasıtalarını belirleyen taraftır. Veri işleyen ise veri sorumlusunun talimatları doğrultusunda onun adına veri işleme faaliyeti yürütür. Stratejik kararlar ve hukuki sorumluluk ekseninde merkezde veri sorumlusu yer alır.
6.2 Aynı kişi hem veri sorumlusu hem veri işleyen olabilir mi?
Evet. Aynı gerçek veya tüzel kişi, bazı süreçlerde veri sorumlusu, bazı süreçlerde veri işleyen, hatta aynı anda her iki sıfatı da taşıyabilir. Önemli olan somut süreçte kimin adına, hangi kararların alındığıdır.
6.3 Veri sorumlusuna nasıl başvuru yapabilirim?
KVKK m.11 kapsamındaki haklarınız için veri sorumlusuna; yazılı olarak, kayıtlı elektronik posta (KEP), güvenli elektronik imza veya veri sorumlusunun ilan ettiği diğer kanallar üzerinden başvuru yapabilirsiniz.
6.4 Yanlış veya eksik kaydedilen verilerimin düzeltilmesini isteyebilir miyim?
Evet. Veri sorumlusu, verilerin doğru ve güncel tutulmasından sorumludur. İlgili kişi olarak yanlış/ eksik verilerin düzeltilmesini veya güncellenmesini talep etme hakkına sahipsiniz.
6.5 Her istenen bilgi kişisel veri sayılır mı?
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi, kişisel veridir. Ancak veri sorumlusunun her durumda “her türlü bilgiyi” talep etme hakkı yoktur; talep edilen verinin amaçla bağlantılı, sınırlı ve ölçülü olması gerekir.
6.6 Amaçla ilgisiz veri isterse veri sorumlusuna ne yapmalıyım?
İlgili kişilerin, amaçla ilgisiz veya ölçüsüz veri taleplerine karşı itiraz etme, açıklama isteme ve gerekirse Kurul’a şikâyet yoluna başvurma hakları vardır. Veri sorumlusu, gerekçesini şeffaf biçimde açıklamak zorundadır.
