Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla yürürlüğe girmiş olan 6698 sayılı Kişisel Verilerin Korunması Kanunu veri işleyen gerçek ve tüzel kişilere birtakım sorumluluklar yüklemektedir.
Kanunun yürürlüğe girmesi ile veri işleme faaliyetini bizzat yürüten veri sorumluları ile veri sorumlusu adına hareket eden veri işleyenler faaliyetlerine sadece mevzuat sınırları dahilinde devam edebileceklerdir.
6698 sayılı Kişisel Verilerin Korunması Kanunu 1. maddesinde belirtildiği gibi kanun ‘kişisel verileri işleyen tüm gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları’ düzenlemektedir. Yani kişisel verilerin işlenmesinde tüm veri sorumluları 6698 sayılı kanundan doğan yükümlülükleri yerine getirmek zorundadır.
Buradaki ayrıksı durum VERBİS’e kayıt zorunluluğu getiren ”Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL den çok olma” koşuludur. Bu kriterleri sağlayan firmaların diğer veri sorumlularının yükümlülüklerine ek olarak VERBİS’e kayıt olma yükümlülüğü bulunmaktadır. Uygulamada kişisel verilerin işlenmesi konusundaki sorumluluk kapsamında en çok yanılgıya düşülen durumlardan birisi de VERBİS’e kayıt yükümlülüğü olmayan veri sorumlularının kişisel verilerin işlenmesinden dolayı herhangi bir sorumluluklarının bulunmadığının düşünülmesidir. Oysa veri sorumlusu sıfatı taşıdığı halde Verbis’e kayıt zorunluluğu olmayan gerçek ve tüzel kişilerin de kanundan doğan yükümlülüklerini yerine getirmesi, kurumun öngördüğü teknik ve idari tedbirleri alması ( kurumun 5 numaralı rehberinde detaylı olarak düzenlenmiştir ), zorunlu politikaları ve prosedürleri oluşturması, aydınlatma yükümlülüğü, açık rıza alma yükümlülüğü gibi diğer tüm yükümlülüklerini yerine getirmiş olması gerekmektedir.
Sonuç olarak kişisel verileri işlemekte olan tüm gerçek ve tüzel kişiler kanundan doğan yükümlülükleri yerine getirmek zorunda olmakla; yükümlülüklerini yerine getirmeyen veri sorumluları hakkında gerek 6698 sayılı kanun kapsamında idari yaptırım gerekse bu kanunun atfı ile Türk Ceza Kanunu kapsamında cezai yaptırımlar uygulanmaktadır.