6698 sayılı Kişisel Verilerin Korunması Kanunu gereğince ülkemizde faaliyet gösteren kişisel veri niteliği içeren bilgileri toplayan özel ve tüzel kişiler kural olarak veri sorumlusu olarak adlandırılmıştır. İstisna halleri kanunda belirtilmiş olmakla birlikte söz konusu veri sorumluların 6698 sayılı Kanun ve ilgili mevzuatı uyarınca uyması gereken birtakım yükümlülükleri bulunmaktadır.
Kanunla ilgili olarak idari bir üst kurum olan ve re’sen ya da şikayet üzerine veri sorumlusu şirketi denetlemekle yükümlü olan Kişisel Verileri Koruma Kurumu kurulmuştur. Bu kurum yaptığı incelemeler sonucunda ihlal bulunması durumunda 25.000 -1.000.000 ₺ arasında ceza verebilmektedir. Ayrıca kişisel veri ihlalleri ile Türk Ceza Kanunu m. 125-148 arasında düzenlemeler yapılmıştır. Bu kanunlarda yer alan cezaların temeli ise Anayasa m. 20’de yer alan “Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz.” Hükmüdür. Bu hüküm özel hayatın gizliliği hükümlerini korur. Bu sebeple anılan kanunlarda yükümlülük ve uyulmaması durumundaki yaptırım belirtilmiştir.
Kişisel veri kısaca bir gerçek kişi hakkındaki her türlü bilgidir. Bu bilgilerin veri sorumlusu tarafından toplanması, saklanması gibi durumlara veri işleme denmektedir. Veri sorumlusu veri işlerken uymakla yükümlü olduğu kurallar vardır. Örneğin aldığı bilgiler için, ilgili kişi- verisi alınan kişi-aydınlatılmalıdır. Kanunda aksine düzenleme olmadıkça ya da kanunda sayılan istisna hallerine girmedikçe ilgili kişinin açık rıza beyanına ihtiyaç da vardır. E-ticaret yapan firmalar bakımından internet sitelerinde bu metinlerin yayınlanmış olması gerekmektedir.
Aydınlatma metni ve rıza beyanını aldığını ispat yükümlülüğü veri sorumlusundadır. Veri sorumlusu işlediği veriler için ilgili kişiyi tam olarak aydınlatmış olmalı ve bu konuda kural olarak açık rıza beyanı almalıdır. Bunları ispatlayamaması durumunda ise Kurum’un cezası söz konusu olmaktadır.
Tam olarak aydınlatmadan kanunun kastı ise;

1. Kişiden hangi verileri istediğini,
2. Kişiden alınan bu bilgilerin ne amaçla kullanılacağı,
3. Aktarım yapılacaksa kime aktarılacağını,
4. Verilerin ne kadar süre uhdesinde saklanacağını,
5. Verilerinin silinmesi hakkı olduğunu ilgili kişiye hatırlatması,
6. Veri silme istenmesi durumunda nasıl bir yol izlemesi gerektiğini,
   İlgili kişiye bildirmesidir. Aydınlatma metnini ilgili kişinin tam olarak okuyup anlamasını sağlaması gerekmektedir.
   Açık rıza beyanı ise aydınlatılmış kişiden alınmalıdır. Tam olarak aydınlatılmış kişi alınıyorsa özel nitelikli kişisel verilerini tek tek sayarak, genel nitelikli kişisel verilerini ise genel olarak belirterek verilerinin işlenmesine onay verir. Şekil şartı kanunda belirtilmese de yazılı şekilde düzenlenmesi veri sorumlusu bakımından ispat şartını kolayca yerine getirdiğinden yazılı olarak yapılması tercih edilir.
   Genel nitelikli kişisel veri – özel nitelikli kişisel veri ayrımı kanunda düzenlenmektedir. Genel nitelikli kişisel veriler kişi hakkındaki genel bilgilerdir; kimlik bilgileri, adres, telefon numarası gibi bilgilerken özel nitelikli kişisel veriler kişinin dini, dili, ırkı, sendika üyeliği, genetik verileri, sağlık bilgileri gibi verilerdir. Özel nitelikli kişisel verileri kanun sınırlı sayıda saymıştır. Bu veriler kişinin ayrımcılığa sebep olabileceği için alınması da işlenmesi de ağır birtakım şartlara bağlanmıştır. Özel nitelikli kişisel veriler gerekmediği durumlarda alınmamalıdır. Gerektiği durumda alındıysa dahi gerek kalmadığı andan itibaren kanunun belirttiği imha durumlarından biri seçilerek imha edilmelidir.
   Veri sorumlusu alınan verileri güvenli bir biçimde işlemek ve saklamak zorundadır. Veri sızıntıları olması durumunda yaptırımla karşılaşılmaması için ilgili güvenlik tedbirlerini aldığını ispat etme yükü veri sorumlusuna aittir.
   Kanunda belirtilen veri sorumlusuna ilişkin diğer bir yükümlülük ise gerekli şartları taşıma halinde VERBİS’e kayıt olma yükümlülüğüdür. VERBİS’e kamuya açık olarak tutulan Veri Sorumluları Sicil kayıt sistemidir. İlgili kişiler VERBİS’e girerek firmaların ne tür verileri sakladığını, aktarım yapıp yapmadığını vs. öğrenebilmektedir. İlgili kişi buna karşı firmaya başvuru yaparak hakkında hangi verilerin işlendiğini öğrenme ve ilgileri verilerinin silinmesini talep etme hakkına sahiptir. Bu talep 30 gün içinde veri sorumlusu tarafından incelenmeli ve ilgili kişiye bir yanıt verilmesi gerekmektedir. Cevap verilmemesi durumunda ilgili kişi Kurum’a başvuru yaparak durumu bildirir ve Kurum gerekli incelemeleri yapabilmektedir. Kurum kişi ile ilgili araştırmayı veri sorumlusu bünyesinde yaptıktan sonra verilmeyen cevap için veri sorumlusuna ceza yaptırımı uygulayabilmektedir. VERBİS kaydı yapılması için perakende satış yapan firmalar için son tarih 30.09.2019 olarak kanunda belirtilmiştir. Bu süre bir kere uzatılmış olup son tarih olarak net bir şekilde belirlenmiştir.
   Aynı zamanda veri sorumlusu Veri Envanteri de hazırlamakla yükümlüdür. Bu veri envanteri VERBİS’e kaydedilen verilerden daha geniş kapsamlı olarak düzenlenmiş ve veri sorumlusunun uhdesinde saklanan bir kayıt sistemidir. Hangi verilerin hangi departmanlar için alındığı, o departmanlarda nasıl saklandığı, idari ve teknik güvenlik sistemlerinin neler olduğu, ne kadar saklanacağı, hangi verilerin saklandığını açıkça belirtmek gerekmektedir.
   Ayrıca E- ticaret yapan veri sorumluları için düzenlenmesi gereken Çerez Politikaları ve Güvenli Ödeme Politikalarının düzenlenip ilgili satış yapılan sitede herkes tarafından kolayca ulaşılabilecek durumda yayınlamalıdır.
   Veri sorumlusu için diğer bir yükümlülük de Veri Saklama ve İmha Politikalarının hazırlanmasıdır. Tabi ki ilk olarak veri saklama için kanunda belirtilen tedbirlerin alınması gerekmektedir. Söz konusu korumanın nasıl yapıldığına dair yazılacak bu veri saklama politikası ilgili firmanın internet sitesinde yayınlanarak herkesin görmesi sağlanmalıdır.
   Aynı zamanda saklama süresi dolduğunda, ilgili kişi verisinin imhasını istediği ya da verilere gerek kalmadığında kanunda belirtilen yöntemlerle imha etmelidir. Yine aynı şekilde nasıl imha ettiğini de bu politikada açıklamalı ve herkesin erişimine açık şekilde yayınlamalıdır.