EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Veri Koruma Görevlisi ve Veri Koruma Etki Değerlendirmesi

Veri Koruma Görevlisi

Veri koruma görevlisi (data protection officer) 2018 yılında yayınlanan Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında yer alan bir kavramdır. Bu düzenlemeyle veri sorumlularının kişisel verilerin korunmasına ilişkin mevzuata uyum sağlaması konusunda sorumlu olacak bir kişi atanması öngörülmüştür. GDPR’daki düzenlemeye göre belirli şartları haiz olan veri sorumluları veri koruma görevlisi atamak zorundadır. Bu kapsamda veri sorumlusu, temel faaliyetlerinin niteliği gereği ilgili kişilere ait sistematik olarak önemli miktarda veri işleme faaliyetinde bulunuyorsa veya temel faaliyetleri önemli miktarda özel nitelikli kişisel veri işlenmesini içeriyorsa veya ceza mahkumiyeti ile suçlara ilişkin verilerin işlenmesi durumunda veri koruma görevlisi atamakla yükümlüdür.

Veri koruma görevlisinin sahip olması gereken özellikler GDPR’da ayrıntılı olarak düzenlenmemiştir. Ancak atanacak kişinin veri koruma mevzuatına ve uygulamalarına hakim olması ve görevinin gereklerini yerine getirebilecek yetkinlikte olması gerekir. Bu kişinin veri sorumlusunun organizasyonu içerisinden bir kişi olması veya dışarıdan üçüncü bir kişi olması mümkündür. Veri koruma görevlisinin kişisel verilerin korunmasına ilişkin mevzuata uyum sağlanması konusundaki yükümlülükleri dikkate alındığında görevlerini yerine getirirken bağımsız olarak hareket etmesi gerekmektedir. Veri sorumlusundan talimat alması veya görevini yerine getirdiği için işine sona verilmesi söz konusu olmamalıdır. Bununla birlikte veri sorumlusu, veri koruma görevlisinin görevini yerine getirirken ihtiyaç duyduğu bilgi ve kaynakları veri sorumlusuna sağlamalıdır.

Kişisel Verileri Koruma Kanunu (KVKK)’na baktığımızda GDPR’da düzenlendiği şekilde bir veri koruma görevlisi atanması öngörülmemiştir. Ancak 30 Aralık 2017 tarihinde yayımlanan Veri Sorumluları Sicili Hakkında Yönetmelik’de (VERBİS Yönetmeliği) veri sorumlularının belirli hallerde bir veri sorumlusu temsilcisi ve/veya irtibat kişisi ataması düzenlenmiştir. Bu yönetmeliğe göre VERBİS’e kayıt yükümlülüğü bulunan ve Türkiye’de yerleşik olmayan tüzel kişi veri sorumlularının bir veri sorumlusu temsilcisi, Türkiye’de yerleşik bulunan tüzel kişi veri sorumluları ile Türkiye’de yerleşik olmayan veri sorumlusunun temsilcisinin ise bir irtibat kişisi atamasını zorunludur.  İrtibat kişisi veri sorumlusu tüzel kişinin bir çalışanı ya da dışarıdan bir kişi olabilir. Veri sorumlusu temsilcisinin ise Türkiye’de yerleşik bir tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı bir gerçek kişi olması gerektiği belirtilmiştir. İrtibat kişisi, kişisel verilerin korunmasına ilişkin mevzuat kapsamındaki görevleri hususunda sadece Kişisel Verileri Koruma Kurumu (“Kurum”) ile  iletişimi sağlayacaktır. Bu kişinin veri sorumlusunun temsilcisi niteliğinde olmadığı açıkça düzenlenmiştir. Yurt dışında yerleşik veri sorumlularının VERBİS’e kayıt sırasında atayacakları veri sorumlusu temsilcisinin sahip olduğu birtakım yetkiler yönetmelikte düzenlenmiştir. Bu yetkiler veri sorumlusunun ilgili kişiler ve Kurum arasındaki iletişimi sağlamaya ilişkindir.

VERBİS Yönetmeliği çerçevesinde düzenlenen veri sorumlusu temsilcisi ve irtibat kişisinin görevlerine bakıldığında GDPR’da düzenlenen veri koruma görevlisinin sahip olduğu yetki ve görevlerle örtüşmemektedir. Veri sorumlusu temsilcisi ve irtibat kişisi, veri sorumlusunun ilgili kişiler ve/veya Kurum’la ilişkilerinde muhatap konumunda olmasıdır. Veri koruma görevlisi ise bunun çok daha ötesinde kişisel veri koruma mevzuatına uyumun sağlanması için görevlendirilmiştir. Veri sorumlusunun talimatları ile bağlı değildir ve doğrudan üst düzey yönetime raporlama yapar. KVKK ve ilgili mevzuat veri koruma görevlisi atanmasını öngörmemiş olsa bile veri sorumlularının GDPR’a benzer bir veri koruma görevlisi ataması mümkündür.

 

Veri Koruma Etki Değerlendirilmesi

Kişisel verinin işlendiği durumlarda, kişisel verisi işlenen gerçek kişiler risklere maruz kalabilmektedirler. VKED, kişisel verilerin işlenmesi ile doğabilecek riskleri belirlemek ve bu riskleri olabilecek en erken ve etkili bir şekilde minimize etmek için tasarlanan süreci ifade eder. 

Veri işlemenin “gerçek kişilerin temel hak ve özgürlükleri için yüksek risk doğurduğu” durumlarda, veri sorumlusunun veri işlenmesinden önce VKED tatbik etmesi gerekmektedir. Bununla birlikte, veri işlemenin türü, kapsamı, içeriği, amacı ve yeni teknolojilerin kullanımı göz önünde bulundurulmalıdır. Özellikle yeni teknolojilerin kullanıldığı durumlarda sonuçlar ve riskler daha az anlaşılmakta ve VKED tatbik edilme gerekliliği artabilmektedir. Aynı zamanda VKED 6698 sayılı KVKK’da öngörülmüş olan veri güvenliğine ilişkin politika ve prosedür belirlenmesi sürecinde de uygulanmalıdır. Çünkü yanlış belirlenecek olan politika ve prosedürün ciddi veri kayıplarına yol açabilir. Ancak VKED’ler yalnızca GDPR’a tabi kuruluşlar için zorunludur. Buna göre GDPR’a tabi bir kuruluşsanız, yeni teknolojiler kullanıyorsanız, insanların konumunu veya davranışlarını takip ediyorsanız, genel olarak erişilebilen bir yeri büyük ölçekte sistematik olarak izliyorsanız, gerçek bir kişinin ırk veya etnik kökeni, siyasi görüşü, dini veya felsefi inancı veya sendika üyeliği ile ilgili kişisel verileri işliyorsanız, veya genetik, biyometrik, sağlık, cinsel yaşamı veya cinsel yönelimiyle ilgili verileri gerçek bir kişiyi tanımlamak amacıyla işliyorsanız, çocuklara ait verileri işliyorsanız, işlediğiniz veriler, sızdırılması durumunda veri sahiplerine fiziksel zarar verebilecekse ve daha bunlara benzer durumlar söz konusu ise VKED yapmak zorundasınız. Bununla birlikte GDPR’a göre veri koruma etki değerlendirmesinde yer alması gereken asgari özellikler; amaç ve izlenen meşru menfaat de dahil olmak üzere kişisel veri işlemenin açıklaması, kişisel veri işlemenin gerekliliği, orantılılığı ve ilgili kişilere getirdiği riskler ve tespit edilen risklere yönelik alınan tedbirler olarak sıralanabilir. 

Kişisel Verileri Koruma Kurulu Tarafından Yayımlanan Kararlara Ulaşın.

Kişisel Verileri Koruma Kurulu tarafından yayımlanan kararlara buradan ulaşabilir; bu kararları sektöre, etiketlere, tarihlere ve ilgili kanun maddelerine göre filtreleyebilirsiniz.

Bu yazıyı paylaşın:

YORUMLAR

Siz de görüşünüzü belirtin

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Türkçe dilinde GDPR karar özetlerini görmek ister misin?