Kişisel verilerin dolaşım hızının artmasıyla birlikte verinin sorumluluğu önemli bir konu olmuştur. Tarihte ilk veri sorumlusu devletler olup, kamunun güvenliğini sağlamak ve hizmet sunmak için insan kaynağını bilmeye ihtiyaç duyarlar. Devlet dışındaki özel sektör kuruluşlarının veri sorumlusu statüsüne sahip olmaları ise tüketim ekonomisiyle birlikte kişilerin belirli mal ve hizmetlerin müşterisine dönüşmesiyle mümkün olmuştur.
OECD Rehber İlkeleri’nde veri sorumlusu; “bizzat sorumlu veya yetkili kıldığı temsilcisi tarafından toplanmış, yayılmış, depolanmış veya işlenmiş olup olmadığına bakılmaksızın kişisel verilerin, ulusal hukukta kullanılması ve kullanım içeriğinin belirlenmesi konusunda karar vermeye yetkili kişi” olarak tanımlanırken,58 108 Sayılı Sözleşmede “otomatik veri dosyasının amacının ne olacağı, hangi kişisel veri kategorilerinin kaydedilmesi gerektiği ve bunlara hangi işlemlerin uygulanacağı hakkında karar verebilecek olan gerçek veya tüzel kişiler, kamu kurumu, birimi veya ulusal kanunlara göre yetkili olan diğer kuruluşlar” şeklinde tanımlanan “dosya yöneticisi” burada veri sorumlusuna karşılık gelmektedir. GVKT veri sorumlusunu, “kişisel verilerin işlenme amacını belirleyen gerçek veya tüzel kişi” olarak tanımlarken, GVKT ile uyumlu KVKK’nın “Tanımlar” başlıklı 3’üncü maddesinin 1’inci fıkrasının (ı) bendinde ise veri sorumlusu; “kişisel verilerin işleme amaçlarını ve araçlarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak ifade edilmektedir.
Veri sorumlusu kavramının yanı sıra veri denetçisi (data controller) ve veri kütüğü sahibi terimlerinin de kullanıldığı belirtilirken, daha kapsamlı bir şekilde veri sorumlusu, “verilerin işlenmesindeki amaç ve araçlara karar veren kişi ya da örgüt” olarak tanımlanmaktadır.
Veri sorumlusu kavramıyla birlikte ele alınması gereken bir diğer kavram olan “ortak veri sorumlusu” (joint controllers) kavramının Direktif ve GVKT’de yer almaktaysa da, KVKK’da kendisine yer bulamadığı görülmektedir. Direktif’te veri sorumlusu; “veri işleme amaçlarını ve araçlarını tek başına veya müştereken (alone or jointly with others)” olarak tanımlanırken, GVKT’de ise ortak veri sorumlusu kavramına verilen önem artmış, ayrı bir madde altında (26’ıncı maddde) ve daha detaylı bir düzenleme söz konusu olmuştur. Buna göre; “iki veya daha fazla veri sorumlusu, veri işleme amaç ve araçlarını müştereken belirlerse, ortak veri sorumlusu olur” ibarelerine yer verilmektedir.
DÜLGER’e göre Direktif’te ilk olarak bahsedilen ve GVKT’de altı özenle çizilen bu kavramın KVKK’ya aktarılmaması durumu, bilinçli bir tercihten mi yoksa özensiz bir çeviriden mi ibaret olduğu bilinmemekle birlikte, veri sorumlusunu tanımlayan KVKK hükmünden (m. 3/1-ı) ortak veri sorumlusunun tamamen dışlandığı sonucu da çıkarılamayacaktır. Bunun nedeni, “tek başına” şeklinde bir ifadeye yani bir kısıtlamaya yer verilmemesidir. Ancak, hükümde veri sorumlusuna izafe edilen veri işleme amaç ve vasıtalarını belirleme işlevinden hareketle, iki kişinin birlikte işleme yaptıklarında müştereken sorumlu olup olmayacakları yani “ortak veri sorumlusu” kabul edilip edilmeyecekleri hususu belirsizliğini korumaktadır.
Bununla birlikte, her ortak veri işleme faaliyeti doğrudan müşterek sorumluluk doğurmamakta ya da verileri birbirine aktaranlar “ortak veri sorumlusu” olmamaktadır. Bu bağlamda, ortak veri sorumlusu olabilmenin şartı, veri işleme faaliyetimin amacını ve faaliyette kullanılacak araçları müştereken belirlemek, bu şekilde müşterek olarak belirlenmiş hedeflere ilerlemektir. Nitekim GVKT 26’ıncı maddede, ortak veri sorumlusu kavramı açıkça düzenlenerek, sorumluluğu veri işleyen tarafların birbirine atacağı muğlak bir alan bırakmamak yönünde gidilmiştir.
Bu bağlamda, “Ortak Veri Sorumluluğu Sözleşmesi” merkezi bir öneme sahiptir. Bu sözleşme kapsamında ortak veri sorumlularının veri ilgililerini bilgilendirme hakkı konusundaki yükümlülüğünün düzenlendiği görülmektedir. Sözleşme kapsamında, veri ilgilisi karşısında ortak veri sorumlularının rol ve ilişkileri net bir şekilde dağıtılmalı ve sözleşmenin özü veri ilgilileri ile paylaşılmalıdır.
KVKK’ya göre tüzel kişiler, kişisel verileri işleme noktasında gerçekleştirdikleri faaliyetler itibariyle bizatihi “veri sorumlusu” olurken, bunların eylemlerinden doğacak hukuki sorumluluk tüzel kişiliğin şahsını bağlamaktadır. Bu bağlamda, şirketler bünyesinde yer alan birimler tüzel kişiliğe sahip olmadığından, veri sorumlusu olarak kabul edilememektedir. Ancak bir şirketler topluluğunda, her bir şirket tüzel kişiliğe sahip olduğundan, bu şirketlerin her birinin ayrı veri sorumlusu olması durumu söz konusudur.
KVKK’ya göre veri sorumlusu kişisel verilerin işlenme amacını ve yöntemini belirlemektedir. Veri sorumlusunun tespiti için, kişisel verilerin toplanması ve toplama yöntemi, toplanacak kişisel veri türleri, toplanan verilerin hangi amaçlarla kullanılacağı, hangi bireylerin kişisel verilerinin toplanacağı, toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı ve saklanma süresi konularında kimin karar verdiği önem arz etmektedir.
Diğer yandan, veri sorumlusundan KVKK’dan doğan bütün yükümlülükleri64 yerine getirmesi beklenmemektedir. Bu yükümlülüklerin yerine getirilmesinden sorumlu tutulacak olanlar; yetkili organlar ve tüzel kişilik çevresinde bulunan gerçek kişilerdir. Bu bağlamda, yükümlülüklerin gerektiği gibi yerine getirilmemesinden doğacak hukuki sorumluluk tüzel kişiliğin kendisine yani veri sorumlusuna ait olacaktır.