Detaylar
Kişisel veri işleme envanterinin hazırlanması sürecin ilk adımı. Sonraki adımlar Kişisel Veri Saklama ve İmha Politikası’nın hazırlanması, Veri Sorumluları Sicili’ne (VERBİS) kayıt, aydınlatma yükümlülüğünün yerine getirilmesi, açık rızaların alınması, kişisel verilerin toplanması, kişisel verilerin güvenliğinin sağlanması, işlenme şartları ortadan kalkan kişisel verilerin silinmesi, üçüncü kişilerle kişisel verilerin paylaşılması, ilgili kişilerin şikayetlerinin değerlendirilmesi, mevzuat ve Kişisel Verileri Koruma Kurulu ve Kurumu’nun kararlarının takip edilmesi. Elbette tüm bu işleri bir kişinin yapması mümkün değildir. Ama tüm bu işlerin eksiksiz ve doğru bir şekilde yapılmasından ve sürecin mevzuata uygun yönetilmesinden ve güncellemesinden bir kişinin sorumlu olması gerekecektir.
Kişisel Verilerin Korunması Kanunu veri sorumlusu bünyesindeki bu işlerin yürütülmesi konusunda bir usul belirlememiş ve veri sorumlusunun inisiyatifine bırakmıştır. Veri sorumlusuna özgür bırakan bu düzenleme veri sorumlusu açısından yine de belirli ilkelere bağlı şekilde çözülmesi gereken bir alandır. Veri sorumlusunun bir çalışanını bu işlerin yürütülmesine ayırması ya da dışarıdan destek alması uygun seçeneklerdir.
Kişisel Verileri Koruma Görevlisi (KVKG) – Data Protection Officer (DPO)
Mayıs 2018’de Avrupa Birliği’nde yürürlüğe girecek olan General Data Protection Regulation (GDPR) bu işlerle ilgilenecek kişi için Data Protection Officer (DPO) tanımı yapmıştır. Veri Koruma Memuru olarak birebir çevirisi yapılabilir. Bizim mevzuatımız “Data” sözcüğünün karşılığı olan “veri” kelimesini tek başına kullanmamakta ve verinin niteliğine atfen “kişisel veri” olarak kullanmaktadır. Data protection kişisel verilerin korunması ve data protection authority Kişisel Verileri Koruma Kurulu olarak karşılık bulmaktadır. Bu sistematiğe göre data protection officer teriminin ilk bölümü kişisel verileri koruma olarak tercüme edilmelidir. “Officer” kelimesi yetkili olmaktan ziyade kurum içinde çalışan kişiyi ifade etmektedir. Memur kelimesi devlette çalışan kişilerle özdeşliğinden bunun yerine “Görevli” kelimesini kullanmakta fayda vardır. Tüm bu açıklamalar ışığında AB düzenlemesindeki data protection officer teriminin karşılığı olarak Kişisel Verileri Koruma Görevlisi terimin kullanılması yerindedir.
Avrupa Birliği’nde Durum
GDPR veri sorumluları için bazı durumlarda veri sorumlularının kişisel verileri koruma görevlisi bulundurmasını şart koşmaktadır. Kamu otoritesini ve büyük miktarlarda ya da özel nitelikli kişisel veriler işleyenlerin bir görevli atamasını zorunlu kılıyor. Veri sorumlusu bünyesinde çalışan biri görevli olarak atanabileceği gibi hizmetin dışarıdan alınması da mümkün.
Kişisel Verileri Koruma Görevlisinin Görevleri
GDPR’ye göre kişisel verileri koruma görevlisi, kişisel verilerin işlenmesinin doğası, kapsamı, bağlamı ve amaçları gözetilerek alınan risklerin farkında olarak görevini yerine getirmelidir. Bu şartlarda görevlinin yerine getirmesi gereken görevler aşağıdaki gibidir;
- Mevzuat uyarınca yükümlülüklerini yerine getiren veri sorumlusuna, veri işleyene ve çalışanlarına bilgi vermek ve tavsiyede bulunmak
- Veri sorumlusu veya veri işleyenin kişisel verilerin korunması ile ilgili politikalarının yanı sıra kişisel veri işlemede yer alan çalışanların bilinçlendirilmesi ve eğitilmesi ve ilgili denetimlerin mevzuata uygunluğunu takip etmek
- Talep edildiğinde kişisel verilerin korunmasına etki değerlendirmesi ve başarısı ile ilgili tavsiyelerde bulunmak
- Kişisel verilerin korunması ile görevli denetim makamı ile işbirliği yapmak
- Denetim makamına danışılması gereken kişisel veri işleme konularında danışmak ve makamla irtibatı sağlamak
Kişisel Verileri Koruma Görevlisi’nin Konumu
Kişisel verileri koruma görevlisinin veri sorumlusu tarafından atanması ya da seçilmesi tek başına yükümlülüğün yerine getirilmesi için yeterli değildir. Veri sorumlusunun görevliye gerekli yetkileri vermesi, kaynakları ayırması ve süreçlere dahil etmesi gerekir. GDPR de bu konuyu da düzenlemiştir. Buna göre;
- Veri sorumlusu ve veri işleyen, görevliyi kişisel verilerin korunması ile ilgili her sürece zamanında ve uygun bir şekilde dahil etmek zorundadır.
- Veri sorumlusu ve veri işleyen, görevlinin kendisine yüklenen görevlerini yaparken, görevlerin yerine getirilebilmesi için gerekli kaynakları;kişisel verilere ve işlemlere erişebilmesini; uzmanlığını sürdürebilmesini; sağlamakla yükümlüdür.
- Veri sorumlusu ve veri işleyen, görevlinin görevleriyle ilgili herhangi bir talimat almamasını sağlamalıdr. Görevlerini yerine getirmesinden dolayı veri sorumlusu veya veri işleyen tarafından görevinden alınamaz ve cezalandırılamaz. Görevli, veri sorumlusu ve veri işleyenin en üst yönetim seviyesine doğrudan bağlı çalışmalıdır.
- İlgili kişiler, kişisel verilerinin işlenmesi ile ilgili konularda ve haklarının kullanılmasında kişisel verileri koruma görevlisi ile irtibata geçebilmeliler.
- Görevliye başka görevler ve sorumluluklar verilebilir. Veri sorumlusu ve veri işleyen verilen diğer görevlerle görevlinin asli görevlerinin çatışmamasını sağlamalıdır.
Kişisel Verileri Koruma Görevlisinin Özellikleri
Kişisel Verilerin Korunması Kanunu kişisel verileri koruma görevlisi ile ilgili hiç bir düzenleme içermemektedir. GDPR ise kişisel verileri koruma görevlisinin sahip olması gereken özellikler hakkında bir düzenleme yapmamaktadır. Ancak yapılacak görevler düşünüldüğünde kişisel verileri koruma görevlisinin sahip olması gereken özellikler
- Hukuki düzenlemelerin yorumlanması ve kişisel verilerin korunması mevzuatı konusunda yeterli düzeyde deneyim ve bilgi sahibi olması,
- Veri sorumlusunun teknik altyapısını, kullandığı teknolojileri ve organizasyon yapısını bilmesi,
- Analitik düşünce yapısına sahip, proje ve süreçleri yönetebilecek yetkinlikte olması
sayılabilir.