KVKK

Veri sorumlusu ne demektir?

Veri sorumlusu, kişisel verilerin korunması konusuyla ilgili en önemli kavramlardan birisidir. Hem kanun metninde hem de uygulamada sık karşılaşılan veri sorumlusu nedir ve kim olabilir?

Kişisel Verilerin Korunması Kanunu

2016’da hayatımıza giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verileri işleyenler için önemli yükümlülükleri de beraberinde getirdi.

Kişisel verilerin adeta sorumsuzca ve sınırsızca işlenmesinin önüne geçmeyi hedefleyen 6698 sayılı Kanun, bunu gerçekleştirmek için VERBİS kaydı başta olmak üzere veri sorumluları için bazı zorunluluklar ihdas etti: https://mustafabaysal.com/verbis-kaydi-nasil-yapilir/

Kişisel veri kavramı

Veri sorumlusu kavramını açıklamadan önce haliyle kişisel veri kavramını izah etmek gerekir. Kişisel veri, kişiyi belirleyen veya belirlenebilir kılan verileri ifade eder.

Anlaşılabilir bir örnek vermek gerekirse; kişinin TC kimlik numarası onu belirleyen bir bilgi iken ayakkabı numarası, başkaca bilgilerle bir araya geldiğinde onu belirlenebilir kılan bir bilgidir. Bu durumda iki bilgi de kişisel veri olacaktır.

Kişisel veriler o kadar çok örneklendirilebilir ki; bunları tek tek saymak mümkün olmaz. Kişisel verilerle ilgili bilinmesi gereken son şey, 6698 sayılı Kanun’un koruduğu ve kanun kapsamında yer alan kişisel verilerin SADECE gerçek kişilere ait veriler olduğudur.

Yani kanun kapsamında, tüzel kişilerin kişisel verileri girmez (Yalnızca, tüzel kişisinin kişisel verisi olmakla birlikte bir gerçek kişiyi belirlenebilir kılma niteliğine sahip bir bilgi varsa, bu kişisel veri kanun kapsamına girecektir).

veri sorumlusu

Veri sorumlusu nedir?

Tanımını yapmak gerekirse veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

Veri sorumlusu kim olabilir?

Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir. Veri sorumlusu, işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.

kvkk veri sorumlusu

Veri sorumlusu nasıl tespit edilir?

Veri sorumlusunun tespiti için aşağıdaki hususlara kimin karar verdiği dikkate alınır:

  • Kişisel verilerin işlenmesi ve işlenme amacı
  • İşlenecek kişisel veri türleri
  • İşlenen kişisel verilerin hangi amaçlarla kullanılacağı
  • Hangi kişilerin kişisel verilerinin işleneceği
  • Kişisel verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kimlerle paylaşılacağı
  • Ne kadar süreyle saklanacağı
  • İlgili kişilerin erişim hakkı ve diğer haklarının uygulanıp uygulanmayacağı

Tüzel kişilerde veri sorumlusu

Burada belirtilmesi gereken diğer bir husus ise, eğer veri işleme faaliyeti bir tüzel kişilik tarafından gerçekleştiriliyorsa, burada veri sorumlusunun tüzel kişinin kendisi olduğudur.

Tüzel kişiliğin içerisinde veri işleme faaliyetlerinden sorumlu olan gerçek kişiler Kanunun uygulanması bakımından veri sorumlusu sayılmazlar. Veri sorumlusunun tüzel kişi olması halinde, veri sorumlusu yükümlülüğü ilgili tüzel kişilik üze-rinde doğacaktır.

Bu yükümlülük tüzel kişiliği temsil ve ilzama yetkili organlar veya kişiler eliyle yerine getirilecektir. Tüzel kişiliği temsil ve ilzama yetkili olan organ veya kişiler tüzel kişilik içerisinde tüzel kişiliğin sahip olduğu veri sorumlusu yükümlülüklerini yerine getirmek üzere kişi veya kişileri görevlendirebilirler.

Bu görevlendirme tüzel kişiliğin veri sorumlusu yükümlülüğünü ortadan kaldırmaz ve ilgili gerçek kişilerin de veri sorumlusu olarak tanımlanmasını sağlamaz. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından da Kanunda bir farklılık gözetilmemiştir.

veri sorumlusu yükümlülükleri

Veri sorumlusunun yükümlülükleri

Veri sorumlusunun yükümlülükleri kanun metninde özel bir başlıkla sayılmamıştır; fakat kanunun genel hükümlerinden bunların çıkarılması mümkündür.

Veri sorumlusu her şeyden önce, yukarıda veri sorumlusunun tespiti için tek tek sayılan görevlerin yerine getirilmesinden sorumludur. Ayrıca şunlar da veri sorumlusunun yükümlülükleridir:

  • Kişisel verilerin resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hale getirilmesi
  • Aydınlatma yükümlülüğünün yerine getirilmesi
  • İlgili kişilerin başvurularının cevaplandırılması ve taleplerinin yerine getirilmesi
  • Kişisel verilerin muhafazası için her türlü teknik ve idari tedbirlerin alınması
  • Bir veri ihlalinin yaşanması durumunda, bunun makul süre içinde Kişisel Verileri Koruma Kuruluna bildirilmesi
  • Şikâyet ve inceleme gibi nedenlerle Kurulun talep ettiği evrakların ve bilgilerin iletilmesi
  • VERBİS kaydının yapılması

Her ne kadar veri sorumlusunun yükümlülüklerini tek tek saymaya çalışmış olsam da veri sorumlusunun yükümlülüğü tek bir cümleye indirgenebilirdi. Bu cümle çok kısa da olsa; veri sorumlusunun ne kadar büyük yükümlülüklerinin olduğunu da ispat eder:

“Veri sorumlusunun yükümlülüğü, organizasyonun 6698 sayılı Kanun ile alt mevzuatına tam uyumunu sağlamaktan ibarettir”.

Veri sorumlusu temsilcisi

Veri sorumlusu temsilcisi yalnızca, veri sorumlusunun yurt dışında olması durumunda ortaya çıkan bir kavramdır.

Veri sorumlusu eğer yurtdışında yerleşik olan bir tüzel kişi ise, bir veri sorumlusu temsilcisi atamak zorundadır. Atanacak bu veri sorumlusu temsilcisi, Türkiye’de yerleşik olan bir tüzel kişi ya da Türk vatandaşı bir gerçek kişi olmak zorundadır.

Yurtdışında yerleşik tüzel kişi veri sorumluları, veri sorumlusu temsilcisi atadığına dair bir karar almalı ve kararın tasdikli örneğini bu veri sorumlusu temsilcisi aracılığıyla Kuruma sunmalıdır. Bu kararda, veri sorumlusu temsilcisinin Yurtdışında yerleşik veri sorumlusu adına VERBİS’e ilişkin iş ve işlemleri yapmak görevinin yanı sıra ilgili kişilerce yapılacak başvurular veya Başkanlığımızla yapılacak tebligat ve yazışmalar konusunda iletişimi kurma görev ve yetkisi olduğuna dair bilgiler yer almalıdır.

6698 sayılı Kanun kapsamındaki yükümlülük ve yaptırımlar açısından sorumluluk, veri sorumlusu temsilcisinde değil, bu veri sorumlusu tüzel kişiyi temsil ve ilzama yetkili organ üzerindedir. Veri sorumlusu temsilcisi olduğuna dair yapılan görevlendirme, Kanun hükümleri uyarınca yurtdışında yerleşik veri sorumlusunun sorumluluğunu ortadan kaldırmaz. Bkz: https://www.kvkk.gov.tr/Icerik/4117/Veri-Sorumlulari-Sicili-Hakkinda-Bilgilendirme

veri sorumlusu örnekleri

Veri sorumlusu örnekleri

Veri sorumlusu kavramını daha somut hale getirmek için örneklendirebiliriz. Aşağıdaki örnekleri genişletmek mümkündür:

  • Bir anonim şirkette veri sorumlusu şirketin tüzel kişiliğidir.
  • Avukatlık bürosunda veri sorumlusu avukattır.
  • Eczanede veri sorumlusu eczacıdır.
  • Özel okulda veri sorumlusu okul tüzel kişiliğidir.

Şunu tam olarak anlamak gerekir ki; veri sorumlusunun elle tutulur ve gözle görülür BİRİSİ olması gerekmez. Hatta tüzel kişilerde, tüzel kişilik bünyesindeki herhangi bir gerçek kişiye bu unvan da verilemez.

Yazının ilgili bölümünde belirtildiği gibi, örneğin bir şirkette “veri sorumlusunun yükümlülüklerini yerine getirmek üzere” gerçek bir kişi görevlendirilebilir; ancak bu durumda dahi veri sorumlusu halen tüzel kişilik olacaktır.

SONUÇ

Veri sorumlusu en kısa tanımıyla, 6698 sayılı Kanun kapsamında veri işleyen gerçek ya da tüzel kişiyi ifade eder.

Veri sorumlusu kavramını yazımda ayrıntılı olarak incelesem de sık karıştırılan bir hususu tekrar vurgulamak istiyorum.

Gerçek kişilerce kişisel veri işlenmesi durumunda veri sorumlusunun kim olduğunun tespiti kolay olmaktadır. Örneğin özel muayenehanesi olan bir doktor, bürosu olan bir avukat ya da bir bakkal için veri sorumlusunun kim olduğu gün gibi ortadadır.

Ancak tüzel kişilerde veri sorumlusunun, bu tüzel kişilik bünyesinde çalışan bir gerçek kişi olması gerektiği gibi YANLIŞ bir algı söz konusudur. Veri sorumlusu kavramı somut bir kişiyi değil, organizasyonu işaret eder.

Böyle olunca örneğin büyük bir şirkette, özel hastanede, özel okulda, dernekte ya da buna benzer tüzel kişiliği haiz yerlerde; veri sorumlusu bu tüzel kişiliğin kendisidir. Bu tüzel kişilik elbette KVKK yükümlülüklerini kendi adına yerine getirmesi için bir gerçek kişiyi görevlendirebilir.

Böyle bir görevlendirme mevcut olsa bile veri sorumlusu yine tüzel kişiliğin kendisidir ve hukuki sorumluluk da ona ait olacaktır.

KVKK uyumunun sağlanmaması halinde veri sorumlularını bekleyen ve 2 milyon liraya kadar çıkabilen idari para cezalarını yazdığım makaleme şu bağlantıdan göz atabilirsiniz: https://mustafabaysal.com/kvkk-idari-para-cezalari/

kvkk el kitabı mustafa baysal

Mustafa BAYSAL

Sizin için doğru ve değerli bilgiyi paylaşmaya çalışıyorum. Bu yazı gerçekten işinize yaradıysa ve teşekkür etmek istiyorsanız, yapmanız gereken tek şey onu PAYLAŞMAK. Nasıl mı? Hemen üste bakın :)

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu