Veri işleme faaliyetlerini gerçekleştiren tüm gerçek ve tüzel kişiler “Veri Sorumlusu” veya “Veri İşleyen” olarak kabul edilmektedirler.
Veri Sorumlusu, kişisel verilerin işlenme amaçlarını ve yöntemlerini belirleyen gerçek veya tüzel kişi; veri işleyen ise veri sorumlusunun talimatları doğrultusunda, onun adına, verileri işleyen gerçek veya tüzel kişi olarak tanımlanmaktadır.
Kişilerin, veri sorumlusu veya veri işleyen olmaları durumunda belirli yükümlülükleri mevcuttur. Bu yükümlülüklerin en temel olanı, kişisel verilerin hukuka uygun işlenmesidir. Gerekli bilgilerin edinilmesi ve tüm şirket işleyiş ve süreçlerinin, kişisel verilerin korunması mevzuatına uygun hale getirilmesi ile bu yükümlülüğün yerine getirilmesi mümkün olmaktadır.
Kişisel verilerin işlenmesi, yasada sınırlı olarak sayılan veri işleme şartlarına tabi olup veri işleme koşullarının mutlaka yerine getirilmesi gerekmektedir. Kişisel verilerin korunmasına ilişkin birtakım yükümlülükler, veri sorumlusuna yüklenmiş olup bu yükümlülüklere aykırı davranışlar yönünden ağır yaptırımlar belirlenmiştir.
YÜKÜMLÜLÜKLER
Veri sorumluları; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak ile yükümlüdür. Mevcut teknolojik gelişmeler nedeniyle; ekonomik veya ticari faaliyette bulunan kişi ve kurumlar, farkında olarak veya olmayarak kişisel veri işlemektedirler. Bir müşterinin, bir çalışanın telefon numarasının kaydedilmesi gibi çok basit ve normal gelen bir işlem dahi, kişisel veri işlenmesi olarak kabul edilebilmektedir. Herhangi bir personel çalıştırılırken o personelin maaş ödemesi için banka bilgilerinin kayda alınması; işyeri güvenlik kamera kayıtları, işe giriş-çıkış kayıtları gibi birçok kayıt kişisel veri kaydıdır. Veri sorumlusu nezdinde bulunan personelin İş Kanunu gereği özlük dosyası oluşturması gerekmektedir. Özlük dosyası oluşturan Veri Sorumlusu, personelin sağlık verilerinden iletişim verilerine, aile verilerinden adli sicil kaydı verisine kadar yoğun bir veri temasında bulunmaktadır. Her ne kadar İş Kanunu’nda özlük dosyasının oluşturulması emrediliyor ise de KVKK buna ek olarak verisi işlenen her bir kişinin aydınlatılması gerektiği, eğer açık rızaya tabi bir husus var ise ilgili kişiden açık rıza alınması gerektiği, özlük dosyasında bulunan verilerin ölçülü, amaca uygun ve makul olması gerektiğini düzenlemektedir.
Bununla birlikte veri sorumlularının, KVKK m.4’te düzenlenen genel ilkelere uygun olarak veri işlemesi gerekmektedir. Bu ilkeler Kanun’da şu şekilde sayılmıştır:
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Bu ilkelere uyum sağlamak, veri sorumlusunun yükümlülüğüdür.
Veri sorumlusunun, kanunda belirtilen birçok yükümlülüğü mevcuttur. Bir kişinin VERBİS’ e kayıt yükümlülüğünün olmaması, o kişiyi kanundaki diğer yükümlülüklerden muaf tutmamaktadır. Örneğin avukatlar ve arabulucuların VERBİS’ e kayıt yükümlülüğü mevcut olmasa da kanundaki diğer tüm yükümlülüklerden sorumludurlar. Bu nedenle, avukatlar aleyhine dahi kurul tarafından uygulanmış cezalar mevcuttur.
Tüm bu bilgiler ve örnekler, Kişisel Verilerin Korunması Kanunu’ nun 12nci maddesinde öngörülen “Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.” hükmünün önemini gözler önüne sermektedir.