KVKK Uyum Rehberi’nin bir parçası — Rehbere git →
Veri sorumlusu nedir?
Veri sorumlusu (uluslararası karşılığı: data controller), kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişidir. KVKK Madde 3 ve GDPR Madde 4 çerçevesinde, ilgili kişiye ve düzenleyiciye karşı asıl yükümlülükleri taşır.
Veri sorumlusu vs. veri işleyen
Veri sorumlusu “neden” ve “nasıl” sorularına karar verir. Veri işleyen ise yalnızca sorumlunun yazılı talimatlarıyla işlem yapar. Bir SaaS şirketi kendi müşteri hesaplarının veri sorumlusu, müşterilerin platforma yüklediği verilerin ise işleyenidir — aynı tüzel kişi kullanım senaryosuna göre farklı sıfat taşır.
KVKK kapsamında yükümlülükler
- Geçerliyse VERBİS’e kayıt (çalışan sayısı eşikleri)
- Veri toplamadan önce aydınlatma metni yayımlamak
- Madde 5’ten hukuki sebep belirlemek
- Teknik ve idari tedbirler (TOM): şifreleme, erişim kontrolü, log, ihlal tespiti
- Veri ihlali olduğunda 72 saat içinde KVK Kurulu’na bildirim
- Veri sahibi başvuruları için 30 günlük SLA ile süreç
- Her işleyen ile yazılı DPA imzalamak
- Yurtdışı aktarımda SCC, BCR, yeterlilik kararı veya açık rıza (Madde 9, 7499 sayılı Kanun değişikliği)
Founder için pratik etki
Startup kurucuları neredeyse her zaman müşteri, çalışan ve potansiyel müşteri verisinin sorumlusudur. İlk işe alım ve ilk DPA imzalanmadan önce veri akış envanteri çıkarın. Veri sorumlusu tarafında yapılan ihlallerin idari para cezaları için KVKK Tracker sayfamıza bakın.
Referanslar
- 6698 sayılı Kişisel Verilerin Korunması Kanunu (Mevzuat)
- Kişisel Verileri Koruma Kurumu (KVKK)
- KVK Kurulu Kararları
- EU GDPR (Regülasyon 2016/679) — EUR-Lex
Veri sorumlusunun yükümlülükleri ve VERBİS kaydı
Kişisel verinin neden ve nasıl işleneceğine veri sorumlusu karar verdiği için, temel hesap verebilirlik yükümlülükleri de ondadır: hukuki sebebin belirlenmesi, şeffaf bir aydınlatma metni sunulması, veri güvenliğinin sağlanması, ihlallerin bildirilmesi, ilgili kişi başvurularının yanıtlanması ve işleme kayıtlarının tutulması. Türkiye’de eşikleri aşan veri sorumluları, işlemeye başlamadan önce Veri Sorumluları Sicili’ne (VERBİS) kayıt olmak zorundadır. İki veya daha fazla taraf işlemenin amaç ve vasıtalarını birlikte belirliyorsa müşterek veri sorumlusu sıfatıyla hareket eder ve sorumluluk paylaşımını yazılı bir düzenlemeyle netleştirmelidir. Rolün yanlış sınıflandırılması — veri sorumlusunun salt veri işleyen gibi ele alınması ya da tersi — en sık yapılan ve sonuçları en ağır uyum hatalarından biridir; çünkü sorumluluk tarafların seçtiği etikete değil, gerçek role göre doğar.