Kişisel Verilerin Korunması Kanunu kapsamında, kişisel verileri işleyen gerçek ve tüzel kişilere birtakım yükümlülükler getirilmiştir. Bu çerçevede, ilgili kanun uyarınca kişisel verileri işleyen her gerçek veya tüzel kişi, “veri sorumlusu” olarak kabul edilmekte ve kanunda belirlenen ilkelere uygun hareket etmekle yükümlü tutulmaktadır.
Özellikle şirketler, veri sorumlusu sıfatıyla çok sayıda kişisel veriyi işleyen tüzel kişilikler olarak öne çıkmakta; bu nedenle veri güvenliği, veri işleme süreçlerinin hukuka uygunluğu ve ilgili kişilerin haklarının korunması bakımından önemli sorumluluklar üstlenmektedir. Bu bağlamda, kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilerin gizliliğini korumakla yükümlüdür.
Veri sorumlusu, veri işleyen ve toplayan her türlü kişilik için kullanılan kavramdır. Veri sorumlularının ilk ve öncelikli yükümlülüğü, Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kaydolmaktır. Veri sorumlusu konumunda bulunan kişinin, kişisel verilerin toplanma ve işleme amaçlarını, yöntemlerini belirlemesi ve bunları veri kayıt sistemine işlemesi zorunludur. Bunun yanı sıra daha farklı yükümlülükleri de bulunmaktadır:
- Aydınlatma Yükümlülüğü: Veri sorumlusu, kişisel verilerini topladığı ilgili kişiye, bu verilerin hangi amaçla işleneceğini, nerelerde kullanılacağını ve işleme faaliyetinin hukuki dayanaklarını açık ve anlaşılır bir şekilde bildirmekle yükümlüdür. Aydınlatma yükümlülüğünün eksiksiz yerine getirilmesi, veri işleme faaliyetinin meşruiyeti açısından zorunludur.
- Açık Rıza Alma: Kişisel veriler yalnızca ilgili verinin sahibi olan kişinin açık rızasıyla işlenebilir ve toplanabilir. Açık rıza, bilgilendirmeye dayanan ve özgür iradeyle verilmiş bir onay olmalıdır. Bu kapsamda, şirketlerin kişisel verileri toplayabilmesi için ilgili kişilerden yazılı şekilde veyahut elektronik ortam üzerinden açık rıza almaları gerekir.
- Veri Güvenliği ve Gizliliği Sağlama: KVKK kapsamındaki yaptırımlara maruz kalmamak adına en çok dikkat edilmesi gereken nokta veri güvenliğini korumaktır. Bu noktada siber saldırılara karşı bilişim önlemlerini hat safhada tutmak önem arz etmektedir. Güvenlik duvarları, antivirüs yazılımları, erişim kontrolleri, veri şifreleme gibi önlemler bu çerçevede değerlendirilmektedir. Ayrıca bir veri ihlali söz konusu olduğunda, ihlalin en kısa sürede Kişisel Verileri Koruma Kurulu’na ve ilgili kişiye bildirilmesi gerekmektedir.
- İlgili Kişi Başvurularını Cevaplama Yükümlülüğü: İlgili kişiler, KVKK uyarınca kendilerine tanınan hakları kullanmak üzere veri sorumlusuna başvuruda bulunabilirler. Veri sorumlusu, bu başvuruları en geç 30 gün içerisinde ücretsiz olarak sonuçlandırmakla yükümlüdür. Bu kapsamda; veri sahibinin kişisel verilerine erişme, yanlış işlenen verilerin düzeltilmesini talep etme, verilerin silinmesini veya yok edilmesini isteme gibi hakları bulunmaktadır.
