Veri sorumlusu nedir?
Veri sorumlusu (uluslararası karşılığı: data controller), kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişidir. KVKK Madde 3 ve GDPR Madde 4 çerçevesinde, ilgili kişiye ve düzenleyiciye karşı asıl yükümlülükleri taşır.
Veri sorumlusu vs. veri işleyen
Veri sorumlusu “neden” ve “nasıl” sorularına karar verir. Veri işleyen ise yalnızca sorumlunun yazılı talimatlarıyla işlem yapar. Bir SaaS şirketi kendi müşteri hesaplarının veri sorumlusu, müşterilerin platforma yüklediği verilerin ise işleyenidir — aynı tüzel kişi kullanım senaryosuna göre farklı sıfat taşır.
KVKK kapsamında yükümlülükler
- Geçerliyse VERBİS’e kayıt (çalışan sayısı eşikleri)
- Veri toplamadan önce aydınlatma metni yayımlamak
- Madde 5’ten hukuki sebep belirlemek
- Teknik ve idari tedbirler (TOM): şifreleme, erişim kontrolü, log, ihlal tespiti
- Veri ihlali olduğunda 72 saat içinde KVK Kurulu’na bildirim
- Veri sahibi başvuruları için 30 günlük SLA ile süreç
- Her işleyen ile yazılı DPA imzalamak
- Yurtdışı aktarımda SCC, BCR, yeterlilik kararı veya açık rıza (Madde 9, 7499 sayılı Kanun değişikliği)
Founder için pratik etki
Startup kurucuları neredeyse her zaman müşteri, çalışan ve potansiyel müşteri verisinin sorumlusudur. İlk işe alım ve ilk DPA imzalanmadan önce veri akış envanteri çıkarın. Veri sorumlusu tarafında yapılan ihlallerin idari para cezaları için KVKK Tracker sayfamıza bakın.