Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir.
Birçok şirket gerek ticari nedenler gerekse de kanuni yaptırımlar sebebiyle kişisel verileri işlerken birçok sorumluluğu üzerinde taşıyor. KVKK ile birlikte kişisel verilerin işlenmesinde dikkat edilmesi gereken birçok konu da veri sorumlularının alanına giriyor. Kişisel verilerin işlenmesinde, en önemli noktaların veri sorumlusu sıfatı altında birleştiğini belirten Siberasist Genel Müdürü Serap Günal, kişisel verileri işlerken KVKK ile ilgili yaptırımlarla karşı karşıya kalmak istemeyen veri sorumlularının dikkat etmesi gereken 7 maddeyi paylaşıyor.
1. VERBİS’e kayıt yaptırmak. Veri Sorumluları siciline kayıt yaptırma zorunluluğu bulunan her gerçek ve tüzel kişinin VERBİS kaydını tamamlaması gerekiyor. Verbis kayıt yükümlüğü bulunmasına rağmen kayıt yaptırmayan gerçek ve tüzel kişiler 1 milyon TL’ye kadar para cezaları ile karşılaşabiliyorlar.
2. Aydınlatma yükümlülüğünü yerine getirmek. Kişisel veriler işlenmeden önce veri sahipleri aydınlatılmalıdır. Aydınlatma yükümlülüğünün kapsamında veri sahiplerine veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, verisi işlenen kişinin sahip olduğu haklar konusunda bilgilendirme yapılmak zorundadır. Aydınlatma yükümlülüğünün ihlali veri sorumlusunun ciddi yaptırımlara maruz kalmasına sebep olmaktadır.
3. Genel ilkelere dikkat etmek. Kişisel veriler üzerinde sınırsız yetkiye sahip olmayan veri sorumluları, veri işleme faaliyeti sırasında belirli ilkelere uygun davranmak zorundadır. Bu bağlamda veri sorumlusu hukuka, dürüstlük kurallarına uygun hareket etmek zorunda olup verileri belirli, açık ve yasal amaçlara uygun, işlendikleri amaçla bağlantılı, sınırlı, ölçülü olarak işlemesi ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmesi gerekiyor.
4. Veri işleme amacı kalktığında yükümlülükleri yerine getirmek. Bir kişisel verinin işleme amacı ya da sebebinin ortadan kalkması durumunda veri sorumlularının işledikleri veriyi silme, yok etme veya anonimleştirme yükümlülüğünü taşıdıklarını unutmamaları gerekiyor. Bu yükümlülüğün yerine getirilmemesi, veri sorumlusunun ciddi yaptırımlarla karşı karşıya kalmasına neden oluyor.
5. İdari tedbirleri almak. Veri sorumlusunun, hukuka uygun olarak elde ettiği kişisel verilerin idari açıdan güvenliğini sağlamakla yükümlü olduğu görülüyor. Gerekli idari tedbirlerin veri sorumlusu tarafından yeterince alınmaması veri sorumlusunun yaptırıma uğramasına neden olabiliyor.
6. Teknik tedbirleri almak. Veri sorumlusu kişisel verilerin güvenliğini sağlamak için gereken teknik tedbirleri de almak zorundadır. Teknik tedbirlerin hiç alınmamış olmasından veya yetersiz kalmasından ötürü ortaya çıkan veri ihlallerinde veri sorumluları ciddi yaptırımlarla karşılaşabilmektedir.
7. Veri sahibini bilgilendirmek. Veri sorumlularının, talep edilmesi halinde kişisel verisi ile alakalı veri sahiplerine bilgi vermesi gerekmektedir. Veri sorumlusu talep edilen isteklere karşı talepte bulunan veri sahibine en geç 30 gün içerisinde geri dönüş yapmakla sorumludur.