Veri sorumlusu kimdir? / Veri sorumlusu görevleri nelerdir?

Veri sorumlusu kimdir?

KVK SİSTEMİ
Veri sorumlusu

Veri sorumlusu kişisel verileri işleme amaçlarını ve ne şekilde işleneceğini belirleyen veri kayıt sisteminin kurulması ve yönetilmesinden sorumlu kişidir.

Sorumlular şirketin üst düzey yönetiminde bulunan bir kişi olmalıdır, bu kişi kanunun uygulanması yönünde koordinasyonu sağlamak ve gerekli bilgileri hassas bir şekilde tutmakla görevlidir.

VERBİS sistemi aktif hale geldikten sonra sorumlu kişi bu sisteme kayıt olmakla zorunludur.

  • Veri sorumlusu eğer Türkiye’de yerleşik olan bir tüzel kişi ise, bir irtibat kişisi atamak ve Veri Sorumluları Siciline kayıt sırasında atadığı bu irtibat kişisine ait bilgileri VERBİS’e işlemek zorundadır.
Veri sorumlusu kimdir
Veri sorumlusu

Veri sorumlusu İrtibat kişisi,

  • Veri sorumlusu ile ilgili kişi veya Kişisel Verileri Koruma Kurumu arasındaki iletişimin sağlanmasından sorumludur. İrtibat kişisi olarak yapılan görevlendirme, Kanun hükümleri uyarınca veri sorumlusunun sorumluluğunu ortadan kaldırmaz.
  • Veri sorumlusu temsilcisi olduğuna dair yapılan görevlendirme, Kanun hükümleri uyarınca yurtdışında yerleşik sorumlunun sorumluluğunu ortadan kaldırmaz.
  • Kayıt yükümlülüğü altında bulunmayan, sonradan kayıt yükümlüsü haline gelen veri sorumluları, yükümlülük altına girmelerini müteakip otuz gün içerisinde Sicile kaydolurlar.

 

  • Yönetmeliğin 11 inci maddesine göre; veri sorumlusu eğer yurtdışında yerleşik olan bir tüzel kişi ise, bir veri sorumlusu temsilcisi atamak zorundadır. Atanacak bu veri sorumlusu temsilcisi, Türkiye’de yerleşik olan bir tüzel kişi ya da Türk vatandaşı bir gerçek kişi olmak zorundadır.

  • Kayıt yükümlülüğü altında bulunan veri sorumluları, herhangi bir fiili, teknik ya da hukuki imkânsızlık nedeniyle kayıt yükümlülüklerinin yerine getirilememesi halinde, bu imkânsızlığın ortaya çıktığı tarihten itibaren en geç 7 iş günü içerisinde Kuruma yazılı olarak başvurmak ve gerekçesini belirtmek şartıyla, kayıt yükümlülüklerini yerine getirmek için Kurumdan ek süre talep edebilirler. Kurum, bir defaya mahsus olmak ve her halde otuz günü geçmemek üzere ek süre verebilir.
  • Sorumlular, sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, VERBİS üzerinden yedi gün içerisinde Kuruma bildirir.
  • Sorumlular, ilgili kurumdan ilişkisi kesilince sicil kaydının silinmesine ilişkin olarak VERBİS üzerinden Kuruma başvurur. Sicil kaydının silinmesi sicile kayıtlı olduğu dönemdeki yükümlülüklerini ortadan kaldırmaz

Veri sorumlularının yükümlülükleri nelerdir?

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
  • Veri sorumlusu, kendi kurum veya kuruluşunda, 6698 sayılı Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
  • Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar
  • İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

Bu yükümlülükler görevden ayrılmalarından sonra da devam eder.

Yönetmelik kapmasına göre  veri sorumlularının “kişisel veri işleme envanteri”hazırlaması gerekmektedir.

Kişisel Veri İşleme Envanteri Yönetmeliğin 4 üncü maddesinde tanımlanmış olup envanterde;

  • Sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini;
    • kişisel veri işleme amaçları,
    • veri kategorisi,
    • aktarılan alıcı grubu ve
    • veri konusu kişi grubuyla ilişkilendirerek oluşturdukları,
  • kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi,
  • yabancı ülkelere aktarımı öngörülen kişisel verileri ve
  • veri güvenliğine ilişkin alınan tedbirler, yer almalıdır.

Kurum tarafından kişisel veri işleme envanteri için herhangi bir şekil şartı belirlenmemiş olup kolayca erişilebilir olması önemli sayılmıştır.