Mahkemeler veya adli yetkiler ile hareket eden bağımsız yargı otoriteleri hariç olmak üzere, veri işlemenin bir kamu otoritesi tarafından gerçekleştirildiği hallerde,
Özel sektör için; ana faaliyet alanı, verisi işlenen kişilerin düzenli ve sistematik olarak izlenmesini gerektiren operasyonları yürütmek olan bir veri sorumlusu tarafından gerçekleştirildiği durumlarda,
Madde 9’a istinaden, özel kategorilerdeki kişisel verilerinin büyük bir kısmının işlenmesi ve Madde 10 ‘de belirtilen mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin işlenmesi durumunda.
Veri sorumlusuna veya işleyene veri işleme faaliyetinin GDPR’a uyumun yönetilmesinde ve denetlenmesinde yardımcı olmak için veri koruma kanunu ve uygulamaları konusunda uzman bilgisi olan bir kişiyi DPO (VKG) olarak atamak zorundadır.
Veri Koruma Görevlisi (VKG/DPO), Bilgi Teknolojileri süreçlerinin yönetilmesi, veri güvenliği (siber saldırılarla iştigal de dahil olmak üzere) ve diğer kritik iş sürekliliği gibi kişisel ve özel nitelikli (hassas) verileri kontrol altında tutma ve işleme konularında yetkin olmalıdır. Gerekli olan beceri seti, veri koruma kanunları ve yönetmeliklerine yasal uyumun anlaşılmasının ötesinde bir alan gerektirmektedir.
Bir VKG’nin büyük bir organizasyonda organizasyon içinden atanması, Otorite ve bunun yanı sıra ilgili kişiler için bir zorluk teşkil edecektir. Kurum ve organizasyonların atamanın kapsamı ve niteliği göz önüne alındığında ele alması gereken sayısız yönetişim ve insan faktörü sorunları vardır. Buna ek olarak, makam sahibi görevlendirme sonrası kendi destek ekibini oluşturması gerekecek ve kendi mesleki gelişimlerinden sorumlu olarak etkin bir “mini regülatör” olarak kendisini çalıştıran kuruluştan bağımsız olması gerekmektedir.
Veri Koruma Görevlisi (DPO) hesap verebilirlik için önemli bir unsur olup, bir VKG atanması uygunluk sağlamayı kolaylaştıracağı gibi işletmeler için bir rekabet avantajı da sağlayabilir.
Kişisel veri koruma görevlisinin veri sorumlusu tarafından atanması ya da seçilmesi tek başına yükümlülüğün yerine getirilmesi için yeterli değildir. Veri sorumlusunun veri koruma görevlisine gerekli yetkileri vermesi, kaynakları ayırması ve süreçlere dahil etmesi gerekir. GDPR bu konuyu da düzenlemiştir. Buna göre;
Veri sorumlusu ve veri işleyen, görevliyi kişisel verilerin korunması ile ilgili her sürece zamanında ve uygun bir şekilde dahil etmek zorundadır.
Veri sorumlusu ve veri işleyen, görevlinin kendisine yüklenen görevlerini yaparken, görevlerin yerine getirilebilmesi için gerekli kaynakları, kişisel verilere ve işlemlere erişebilmesini, uzmanlığını sürdürebilmesini sağlamakla yükümlüdür.
Veri sorumlusu ve veri işleyen, görevlinin görevleriyle ilgili herhangi bir talimat almamasını sağlamalıdır. Görevlerini yerine getirmesinden dolayı veri sorumlusu veya veri işleyen tarafından görevinden alınamaz ve cezalandırılamaz. Görevli, veri sorumlusu ve veri işleyenin en üst yönetim seviyesine doğrudan bağlı çalışmalıdır.
İlgili kişiler, kişisel verilerinin işlenmesi ile ilgili konularda ve haklarının kullanılmasında kişisel verileri koruma görevlisi ile irtibata geçebilmeliler.
Görevliye başka görevler ve sorumluluklar verilebilir. Veri sorumlusu ve veri işleyen verilen diğer görevlerle görevlinin asli görevlerinin çatışmamasını sağlamalıdır.