Veri sorumlusu kavramı kanun tarafından tanımlanmıştır. Kişisel verilerin çeşitli sistemlere kaydolma aşamalarını belirten, veri kayıt sistemini oluşturulmasını sağlayan ve bu sistemi işleten kişiler olarak nitelendirilmektedir. Bu kişiler gerçek kişi olabildiği gibi tüzel kişi de olabilir.
Tüzel kişinin veri sorumlusu olduğu durumda, kanunlarda ve mevzuatlarda belirtilen yükümlülüklerin icra edilmesi amacıyla görev harici diğer kişiler görevlendirilseler dahi bu görevlendirme sonucunda tüzel kişi olan veri sorumlusunun, temel amacı olan veri sorumlusu yükümlülüğü kaybolmayacak, ve görev verilen kişilerin yani gerçek kişinin veri sorumlusu olarak bir sorumluluğu doğmayacaktır.
Veri sorumlusu, verileri işlerken tabii ki bazı sınırları hukuk düzeni çerçevesinde aşmamak zorundadır. Kanunlarımızda veri sorumlusunun uyması gereken bazı kanuni yükümlülükleri de zaten bulunmaktadır. 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca veri sorumlularının kanuni yükümlülükleri aşağıdaki başlıklarla ele alınacaktır.
Genel İlkelere Uyum Sağlama Yükümlülüğü
Kanunlarda ve mevzuatlarda veri sorumlusunun kişisel verilerin işlenmesi esnasında uyması gereken belli yükümlülükler belirtilmiş ve bu yükümlülükler koruma altına alınmıştır. Bu temel ilkeler:
- Hukuk kurallarına göre davranma
- Dürüstlük ilkesinden taviz vermemek
- İşlendikleri amaca göre ölçülü olma
- Saklanma süresi konusunda kanunda belirtilen süreyi aşmama
gibi ilkeler mutlaka uyulması gereken ilkelerdir. Bu hususta önemli olan kişisel veriler işlenirken, habersiz şekilde veri elde etmek, verileri işlemek, veri sahibinin mağduriyetine yol açabilecek şekilde verileri kullanmak gibi sorunlara yol açmamaktır. Veri sorumlusu verileri amacına uygun topladıktan ve kullanıldıktan sonra, kanunda belirtilen verinin saklanma süresi dolduğu an mutlaka imha etmelidir. Çünkü işlenen veriler amacını tamamlamıştır ve başka bir amaca yönelik kullanılmamaktadır.
İşleme Şartlarına Uyum Sağlama Yükümlülüğü
Kişisel verilerin toplanmasında ve kullanılmasında belirli kanuni yükümlülükler bulunmaktadır. Kişisel verileri işlemek için kişinin rızası alınmalıdır. Tabi bazı özel durumlarda bu rıza aranmayabilir. Bu gibi özel durumlar da zaten kanunda belirtilmiştir. Sorumlular kendi iradelerince bu özel durumları belirleyemezler. Kişisel verilerin hukuka uygun şartlarda işlenmesi için belirli şartlar bulunmaktadır. Bu şartlardan başlıcaları:
- Veri sahibi kişinin kendi rızasının olması
- Kanunu olarak açık bir şekilde görülebilmesi
- Veri sahibi gerçek kişinin temel haklarının zarar görmemesi
- Veri sorumlusu olan tüzel kişiliğin hukuki bir yükümlülüğünün olmasıdır.
Kişinin Aydınlatılma Yükümlülüğü
Kişisel Verilerin Korunması Kanunu kapsamında veri sorumlusunun, veri sahibini aydınlatma, bilgi verme zorunluluğu, ilgili kanunun 10. Maddesinde ifade edilmiştir. Bu kanun maddesine göre veri sorumlusu olan kişi verilerini işleyeceği gerçek kişiye, veri sorumlusunun kimliğini, kişinin verilerinin işlenmesinin amacını, kişisel verilerin işlenirken kimlere aktarım sağlanacağı, verilerin ne şekilde toplandığı ve toplanması yönündeki hukuki gerekçeleri, verileri işleyen bireylere bildirilmesi gereken yükümlülüklerdendir. Bu aydınlatma yöntemleri veri sorumlusu tarafından, verileri toplanan kişiler tarafına yapılmalıdır. Kişilerin aydınlatma yükümlülüğünün asıl sorumlusu tabii ki veri sorumlularıdır.
Diğer Kişilere veya Yurt Dışına Veri Aktarım Yasağı
Kişisel verilerin diğer kişilere aktarılabilmesi için verilerin sahibinin onayı ve izni gereklidir. Ancak bu istisnai gerekçelerle değişebilecek bir durumdur. Örneğin kişinin hayati durumunun, beden bütünlüğünün korunması adına bu veriler paylaşılması istisnai durumlardan biridir. Bu zorunluluklardan dolayı paylaşım gerçekleştirebilir.
Veri sorumlusunun menfaatleri için veri işlenme zorunluluğu da paylaşıma olanak tanıyabilir. Ancak bu durumda kişinin temel haklarına herhangi bir zarar gelmemesi gerekir. Sağlık ve cinsel hayat verileri genellikle paylaşılmamaktadır. Ancak halk sağlığı, koruyucu sağlık, tıbbi tedavi gibi durumlarda bu veriler paylaşılabilmektedir. Yurt dışına veri aktarımı konusu diğer kişilere aktarım konusundan biraz daha farklıdır. Yurt dışına veri aktarımının sağlanabilmesi için aşağıdaki 3 husus sağlanmalıdır;
- İlgili kişinin açık rızasının bulunması,
- Yeterli korumanın bulunduğu ülkelere kişisel veri aktarımında, aktarılacak kişisel verinin niteliğine göre 6698 sayılı Kanunun md.5/f2 veya md.6/f.3 belirtilen işleme şartlarının mevcut olması,
- Yeterli korumanın bulunmadığı ülkelere kişisel veri aktarımında, aktarılacak kişisel verinin niteliğine göre 6698 sayılı Kanunun md.5/f2 veya md.6/f.3 belirtilen işleme şartlarının mevcut olması, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunmasıdır.
Kişisel verilerin işlenme şartları MADDE 5- (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
- Kanunlarda açıkça öngörülmesi.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
Özel nitelikli kişisel verilerin işlenme şartları
MADDE 6-(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir
Kişisel Verilerin Güvenliği Koruma ve Denetleme Yükümlülüğü
Veri sorumlusu verilerin güvenliğini sağlamakla görevlidir ve durumlarda sorumlu tutulabilir. İlgili kanunun 12. Maddesinde bu verilerin güvenliğinin korunmasına ilişkin yükümlülükler belirtilmiştir. Bu kanun maddesine göre veri sorumlusu, elde edilen kişisel verilerin hukuki bir şekilde işlenmesini sağlamak ve aksi bir duruma engel olmak, kişisel verilen korunması için her türlü imkanı ve tedbiri kullanmak, veri sorumlusu bağlı olduğu kurumda kanuni uygunluk için gerekli düzenlemeleri ve denetlemeleri yapmak, elde edilen ve işlenen verilerin diğer kişilerin eline geçmesi gibi durumlarda acil şekilde gerekli mercileri bilgilendirmek ve haber vermek gibi birtakım sorumluluklardan mesuldür.
Verileri Silme, Anonimleştirme veya Yok Etme
Verilerden sorumlu kişi, verileri kanuni bir biçimde elde edildikten ve kullanıldıktan sonra veya veri sahibinin isteği ile birlikte elde edilen verileri silmekle ve yok etmekle yükümlüdür. Bu verilerin silinmesi ve yok olması için belirtilen süre ilgili kanun maddesinde sunulmaktadır. Kanunun 7 nci maddesinde belirtilen veri sorumlularının silme, anonimleştirme veya yok etme yükümlülüklerinin yerine getirilmesinde esas alınır.
