Genel Veri Koruma Yönetmeliği (GDPR) Nedir?
Genel Veri Koruma Yönetmeliği (General Data Protection Regulation, GDPR) 24 Mayıs 2016 tarihinde Avrupa Birliği Resmî Gazetesi'nde yayınlanan ve tüm Avrupa Birliği (AB) ve Avrupa Ekonomik Alanı (AEA) içerisinde yer alan bireyler için veri koruma ve gizliliğine ilişkin hazırlanmış bir düzenlemedir. Aynı zamanda kişisel verilerin AB ve AEA bölgeleri dışına aktarımını da ele alır.
GDPR'ın birincil amacı, bireylere kişisel verileri üzerinde kontrol sağlamak ve AB içindeki düzenlemeyi birleştirerek uluslararası ticaret için düzenleyici ortamı basitleştirmektir.
Düzenleme kapsamında, kişisel verileri işleyen tarafların (veri sorumlusu, veri işleyen) veri koruma ilkelerini uygulamak için gerekli teknik ve kurumsal önlemleri alması bir yükümlülüktür. Bu yükümlülükler kapsamında kişisel verilerin işlendiği iş süreçleri, veri koruma ilkeleri göz önünde bulundurularak tasarlanmalı ve verileri korumak için önlemler alınmalıdır.
GDPR ile gelen en önemli koruma tedbirlerinin arasında ise risk faktörlerinin değerlendirilmesi gelmektedir. Ülkemizde veri korumaya yönelik yürürlükte olan Kişisel Verilerin Korunması Kanunu (KVKK) içerisinde hiç risk atfı yer almazken GDPR yirminin üzerinde risk atfı yapmıştır.
Bununla birlikte GDPR ile önem kazanan bir diğer kavram ise DPO’dur (Data Protection Officer, Veri Koruma Görevlisi). Her ne kadar Avrupa Komisyonunun EC 45/2001 sayılı Direktifiyle ilk olarak ortaya çıksa da GDPR’daki gibi bir yükümlülük olarak değil tavsiye kararı olarak ele alınmıştır.
Kimdir Bu Veri Koruma Görevlileri?
Kişisel veri sorumlarının, her türlü veri toplama işlemlerinde verinin işlenme amacını, yasal dayanaklarını, verilerin ne kadar süreyle sakladığını ve herhangi bir üçüncü tarafla veya Avrupa Ekonomik Alanı dışında bir yerde paylaşılıp paylaşılmadığını açıkça belirtmesi gerekmektedir.
Bunun yanında, veri sorumlusu kişisel verilere yönelik yaptığı her işlem için teknik ve idari koruma tedbirleri almalıdır. Verilere erişim yetkilerinin düzenlenmesi, risk analizleri, veri haritası oluşturulması, paydaşlarla gizlilik taahhütnameleri yapılması gibi işlemler; verinin türü, paydaşın niteliği ve saklama ortamları göz önüne alınarak sürece bağlanmalıdır.
İşte bu süreçleri belirlemek ve yönetmeler önermek Veri Koruma Görevlisi (DPO) tarafından yapılmalıdır. Bu bakımdan kişisel veri koruma danışmanı da denebilir. DPO, (diğer sorumluluklarının yanı sıra) bir kuruluşun GDPR ile uyumluluğunu izlemekten ve gizlilikle ilgili konularda yönetime rapor vermekten sorumludur.
Kimler DPO Atamalıdır?
GDPR kapsamında, hem veri sorumluları (kontrolör) hem de veri işleyenler belirli koşullarda bir DPO atamalıdır. GDPR’ın 37’nci maddesi DPO atama yükümlülüğünün geçerli olduğunu açıkça ortaya koymaktadır.
Söz konusu maddeye göre; kişisel veri işleyen tüm kamu makamları (mahkemeler hariç), temel faaliyetleri veri sahiplerinin düzenli ve sistematik şekilde büyük ölçekli olarak izlenmesi olan kuruluşlar ve temel faaliyetleri özel veri kategorilerini işlemek olan (sağlık, ırk veya etnik köken, siyasi görüşler, dini veya felsefi inançlarla ilgili veriler) kuruluşlar DPO atamak zorundadır.
İlgili maddedeki “temel faaliyet” (core activities) ve “büyük ölçekli” (large scale) kavramları hakkında resmi bir açıklama bulunmasa da kamu kuruluşları ve özel nitelikli kişisel veri işleyen kuruluşlar haricinde büyük veri (big data) ile uğraşan ve bir kayıt sistemi kullanarak kişisel verileri analiz eden şirketlerin kastedildiği genel kabul görmüştür.
Ancak farklı bir bakış açısıyla konu ele alındığında, büyük veri işleyen bazı şirketlerin (örneğin bulut hizmet sağlayıcıları) herhangi bir çevrimiçi davranış izlememesi, profil oluşturma faaliyeti yürütmemeleri ya da herhangi bir özel veri kategorisini işlememeleri durumunda bir DPO atamak zorunda olmadığı sonucu çıkarılabilir. Çünkü bu şirketlerin “temel faaliyetleri” davranış analizi, profilleme ya da özel nitelikli veri işleme değildir.
Elbette bu durum söz konusu şirketlerin sadece DPO atama zorunluluğu olmadığı anlamına gelmektedir. GDPR kapsamında getirilen veri koruma tedbirlerini yerine getirmekle yükümlüdürler.
Aynı zamanda AB Üyesi Devletler, DPO'ların atanmasına ilişkin ek gereklilikler getiren ulusal düzenlemeler konusunda kendi takdir yetkisine sahiptir.
Sonuç olarak DPO atama yükümlülüğü, kuruluşların ciro, bilanço ya da çalışan sayılarına bağlı olmayıp; sadece yukarıda izah edilen faaliyet alanlarına bakılarak yerine getirilmek zorundadır. Ancak bazı Üye Ülkeler (örneğin Almanya’daki Federal Veri Koruma Yasası) DPO atama yükümlülüğüne ek şart olarak çalışan sayısı ile ilgili maddeler eklemiştir.
Kimler DPO Olabilir?
GDPR, DPO'ların taşıması gereken kesin yeterlilikleri tanımlamamıştır; ancak "veri koruma yasaları ve uygulamaları konusunda uzman bilgisine" sahip olmaları gerektiğini belirtmiştir. DPO, kuruluşun bir çalışanı veya DPO hizmetleri sağlayan harici bir üçüncü taraf olabilmektedir.
DPO’nun Görevleri Nelerdir?
GDPR’ın 39’uncu maddesi aşağıdaki görevlerin DPO'ların rolünün bir parçasını oluşturacağını açıkça belirtmektedir:
Veri sorumlusu veya veri işleyen ve çalışanlarını GDPR ve Üye Devlete ait veri koruma yasalarına uyma yükümlülükleri hakkında bilgilendirmek ve tavsiye vermek,
Veri koruma faaliyetlerini yönetmek, veri işleme personelini eğitmek ve iç denetimleri gerçekleştirmek dahil olmak üzere GDPR ve Üye Devlete ait veri koruma yasalarına uyumu izlemek,
Veri koruma etki değerlendirmelerine ilişkin danışmanlık yapmak,
Kişisel verilerin işlenmesine ilişkin konularda ilgili Veri Koruma Otoritesi (DPA) için irtibat noktası olarak hizmet vermek ve onunla iş birliği yapmak,
Veri koruma uygulamaları, rızanın geri çekilmesi, unutulma hakkı ve ilgili haklarla ilgili konularda veri sahiplerinden gelecek başvurular için veri sorumlusu ve veri işleyenlere danışmanlık yapmak.
DPO'ların GDPR Kapsamındaki Hakları Nelerdir?
GDPR, DPO'ların sorumluluklarını belirlemenin yanı sıra, DPO'lar lehine belirli haklar ve faydalar da içerir. Şirketlerin, DPO'lara görevlerini yerine getirmeleri için gerekli şirket kaynaklarını sağlamalarını istemektedir.
DPO'lar şirketin veri işleme personeline ve operasyonlarına erişebilmeli, bağımsız olmalı ve şirketin "en yüksek yönetim seviyesine" doğrudan raporlama imkanına sahip olmalıdır. Ayrıca, görevlerini yerine getirirken işten çıkarılma veya cezalandırılma tehdidine karşı korunurlar.
Ancak DPO'lar görevlerinin yerine getirilmesiyle ilgili gizlilik veya mahremiyetle bağlı olmak ve kendileri tarafından gerçekleştirilen diğer görevlerin bir çatışma ile sonuçlanmamasını sağlamak gibi belirli yasal yükümlülüklere tabidirler.
Bir DPO Birden Fazla Yere Hizmet Sunabilir
Her yerel Avrupa Birliği kuruluşundan kolayca erişilebilmesi koşuluyla, birden fazla kuruluş tek bir DPO tayin edebilir.
Buradaki "kolayca erişilebilir" olmak kavramı DPO'nun Avrupa Ekonomik Alanı (AEA) içerisinde ikamet etmesi gerektiği anlamına geldiği yorumlanmaktadır. Ancak yine de AB’de kurulmuş olan ve dünyanın her yerinde hizmet sunan kuruluşların varlığı göz önüne alındığında DPO’nun mutlak suretle AB’de yerleşik olması gerekmez.
GDPR ayrıca, danışmanlık ve hukuk firmaları gibi üçüncü taraf hizmet sağlayıcılar tarafından DPO hizmetleri sunulmasına izin vermektedir.
AB Dışındaki Kuruluşlar DPO Atamalı mıdır?
AB'de kuruluşu olmayan şirketlerin, öncelikle GDPR'ın bölgesel kapsamına ilişkin 3’üncü maddesinin kendileri için geçerli olup olmadığını, özellikle de doğrudan AB'deki bireylere mal veya hizmet sunuyorlarsa veya davranışlarını izliyorlarsa, değerlendirme yapmaları gerekmektedir. AB’deki bireylere ait verileri işleyen kuruluşlar eğer 37’inci maddedeki şartları sağlıyor ise DPO atamak zorundadır.
DPO Kuruluşun Veri İhlallerinden Sorumlu mudur?
DPO kuruluşta meydana gelen veri ihlallerinden doğrudan sorumlu tutulamaz. GDPR'nin 38’inci maddesi, DPO'ların "görevlerini yerine getirdiği için veri sorumlusu veya veri işleyen tarafından görevden alınmaması veya cezalandırılmaması" gerektiğini söylemektedir.
Düzenleme, DPO'ların görevlerinin yerine getirilmesiyle ilgili herhangi bir talimat almadan bağımsız hareket etmeleri gerektiği anlamına gelmektedir. Ancak bu durum, DPO'nun görevden alınamayacağı veya değiştirilemeyeceği anlamına gelmez. Bununla birlikte, DPO'lar, kuruluş içindeki diğer herhangi bir çalışan gibi, çalışma veya ceza hukuku gibi diğer yasal gerekçelerle cezalandırılabilir. Bu nedenle DPO, gizlilik ve mahremiyete ilişkin sorumlulukların ihlalinden kaynaklanan cezalardan kurtulamaz.
DPO İhlalleri İlgili Otoriteye Bildirmek Zorunda mıdır?
Veri ihlallerinin otoritelere bildirilmesine yönelik sorumluluk nihai olarak veri sorumlusuna veya veri işleyene aittir. Bununla birlikte düzenleme, DPO'nun gizlilik yükümlülüğünün, DPO'nun denetim makamıyla temasa geçmesini ve bu makamdan tavsiye almasını engellemez. Aksine DPO'ları, uygun olduğunda herhangi bir konuda denetim makamlarıyla iletişime geçmeye teşvik eder.
Kıdemli Danışman Yunus Emre UĞUR
Comments