• EN

25 Mayıs 2018 tarihinde yürürlüğe giren ve Avrupa Birliği’nin kişisel verilerin korunmasına ilişkin temel hukuki düzenlemesi olan AB Genel Veri Koruma Tüzüğü (General Data Protection Regulation) (‘GDPR’), kişisel verilerin veri sahiplerinden alınması, aktarılması, saklanması ve yok edilmesi gibi süreçleri detaylı biçimde hüküm altına almıştır.

Ulusal veri koruma düzenlememiz olan 6698 Sayılı Kişisel Verilerin Korunması Kanunu (‘KVKK’), çoğu konuda GDPR’a benzer düzenlemeler öngörmüştür. Ancak kabul etmek gerekir ki, GDPR’da KVKK’dan çok daha kapsamlı düzenlemelerin bulunduğu hususlar mevcuttur. Hatta, bazı hususlar GDPR’da düzenlenmişken KVKK’da yer almamaktadır. Bu makalede, GDPR’a özgü bir kavram olan Veri Koruma Görevlisi (Data Protection Officer) (‘DPO’) hakkında bilgi verilecektir.

Veri koruma görevlisi, GDPR’ın 37. maddesinde düzenlenmiştir.

Maddenin ilk fıkrası, hangi durumlarda kontrolörün ve veri işleyicisinin her halükarda veri koruma görevlisi belirlemesi gerektiğini düzenlenmiştir. Bu durumlar:

  • işleme faaliyetinin kendi yargı yetkisi çerçevesinde hareket eden mahkemeler haricindeki bir kamu kuruluşu veya organı tarafından gerçekleştirilmesi;
  • kontrolör veya işleyicinin temel faaliyetlerinin yapıları, kapsamları ve/veya amaçları gereği veri sahiplerinin düzenli ve sistematik bir şekilde büyük çaplı olarak izlenmesini gerektiren işleme faaliyetlerinden meydana gelmesi veya
  • kontrolör veya işleyicinin temel faaliyetlerinin 9. maddesi uyarınca özel kategorilerdeki verilerin ve 10. maddede atıfta bulunulan mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin büyük çaplı olarak işlenmesinden meydana gelmesi.

şeklinde sayılmıştır. Bu durumlar haricinde; kontrolör, işleyici, birlikler ve kontrolör ya da işleyici kategorilerini temsil eden diğer organların, bir veri koruma görevlisi belirleme hakları bulunmaktadır. Bu, ihtiyari veri koruma görevlisi belirleme usulüdür. Ancak, Avrupa Birliği hukuku veya üye devlet hukukunun gerektirdiği hallerde, veri koruma görevlisi belirlemek ihtiyarilikten çıkarılmıştır (madde 37/4). Veri koruma görevlisinin, mevzu bahis birlikler ve kontrolörler ya da işleyicileri temsil eden diğer organlar adına hareket etme yetkisi bulunmaktadır.

Bir teşebbüsler grubuna dahil olan işletmelerin her birinin bir veri koruma görevlisine kolayca erişebildiği durumlarda, bu teşebbüsler grubu tek bir veri koruma görevlisi belirleme hakkına GDPR kapsamında sahiptir (madde 37/2).

Buna ek olarak, veri işleyicinin veya kontrolörün bir kamu kuruluşu veya organı olması durumunda, söz konusu kuruluşun veya organın teşkilat yapısını dikkate alarak, kurum veya organ için tek bir veri koruma görevlisinin belirlenmesi, 37. maddenin 3. fıkrası vasıtasıyla mümkün kılınmıştır.

Kimlerin veri koruma görevlisi olabileceğine ilişkin olarak 37. maddenin 6. fıkrası düzenlenmiştir. Bu fıkra uyarınca, kontrolör veya işleyiciyle imzaladığı bir hizmet sözleşmesine dayalı olarak veri koruma görevlisi görevini ifa eden bir kişi veya buna gerek kalmadan direkt kontrolörün veya işleyicinin bir çalışanı veri koruma görevlisi olabilir.

Ayriyetten, veri koruma görevlisi belirlenirken, gerekli mesleki nitelikleri haiz, özellikle kişisel verilerin koruması hukukuna ilişkin uzman derecesinde teorik ve pratik donanıma sahip ve GDPR’ın 39. maddesinde atıfta bulunulan görevleri yerine getirebilecek kişilerin seçilmesi gerekmektedir (madde 37/5).

Bir önceki paragrafta gönderme yapılan 39. madde, veri koruma görevlisinin görevlerine ilişkindir. İlgili madde uyarınca, veri koruma görevlisinin görevleri şunlardır:

  • ‘kontrolör veya işleyici ile işleme faaliyetleri gerçekleştiren çalışanların bu Tüzük ile Birlik veya üye devletlerin diğer veri koruma hükümleri uyarınca yükümlülükleri hususunda bilgilendirilmesi ve onlara tavsiyede bulunulması;
  • bu Tüzük’e, Birlik veya üye devletlerin diğer veri koruma hükümlerine uyumluluğu ve sorumlulukların verilmesi, işleme faaliyetlerine müdahil personelin bilinçlendirilmesi ve eğitimi ve ilgili denetimler de dahil olmak üzere kontrolör veya işleyicinin kişisel verilerin korunmasına ilişkin politikalarına uyumluluğun izlenmesi;
  • talep üzerine veri koruma etki değerlendirmesine ilişkin tavsiyede bulunulması ve 35. madde uyarınca bu değerlendirmenin performansının izlenmesi;
  • denetim makamıyla işbirliği yapılması;
  • 36. maddede atıfta bulunulan ön istişare de dahil olmak üzere işleme faaliyetine ilişkin konularda denetim makamına yönelik bir temas noktası olarak hareket edilmesi ve, uygun olduğu hallerde, diğer her türlü konu ile ilgili olarak danışılması.’

39. maddenin 2. fıkrasında, veri koruma görevlisinin, görevlerini yerine getirirken, işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçlarını dikkate alması ve işleme faaliyetleri ile ilişkili riskleri göz önünde bulundurması gerektiği hüküm altına alınmıştır.

Veri koruma görevlisinin, işinin gereği olarak sır saklama ve gizlilik ilkelerine uyumlu bir biçimde görevini yerine getirmesi elzemdir.

Veri koruma görevlisi, çıkar çatışmasına neden olmayacak ölçüde (ki bunun sağlanması görevi GDPR tarafından kontrolör veya veri işleyiciye verilmiştir) başka görevleri de yerine getirebilir.

Veri sahiplerinin verilerinin işlenme süreci ve GDPR kapsamında ifa edebilecekleri haklarının kullanımına ilişkin tüm hususlarla alakalı olarak veri koruma görevlisiyle irtibata geçebileceği 38. maddede düzenlendiğinden; 37. maddenin 7. fıkrasına göre, kontrolör veya işleyicinin, veri koruma görevlisinin irtibat bilgilerini yayımlama ve denetim makamına iletme yükümlülüğü doğmaktadır.

Veri koruma görevlisinin, kişisel verilerin korunmasıyla ilgili tüm sürece kontrolör veya veri işleyicisi tarafından dahil edilmesi zorunludur. Kendisine her türlü gerekli desteğin, kaynağın, kişisel verilere ve işlemlere erişimin sağlanması gerekmektedir.

Kontrolör veya veri işleyici, veri koruma görevlisinin görevlerini yerine getirilmesine ilişkin hiçbir talimat almamasını sağlamakla yükümlüdür.

GDPR, veri koruma görevlisine görevlerinin yerine getirmesi nedeniyle işten çıkarılma veya cezalandırılma yasağı düzenlemesi vasıtasıyla güvence sağlamıştır. Buna karşılık olarak, veri koruma görevlisi, doğrudan kontrolöre veya işleyicinin en üst yönetimine rapor vermekle yükümlü bulunmaktadır.

Tüm bu düzenlemeler göz önünde bulundurulduğunda, GDPR’ın hem kontrolör ve veri işleyene, hem de veri koruma görevlisine ciddi yükümlülükler tayin ettiği anlaşılmaktadır. Ancak, iki taraf da bu yükümlülüklerini layıkıyla yerine getirdiğinde veri sahiplerinin kişisel verilerinin korunması sürecinin sorunsuz ilerleyeceği düşünüldüğünde, düzenlemelerin yerinde olduğuna kanaat getirilecektir.

Av. Dr. Mert VAN – Stj. Av. Benay ÇAYLAK