DPO Kimdir? Neden Atanmalıdır?

GDPR Çerçevesinde DPO (Veri Koruma Görevlisi) Hangi Şartlarda Atanır?

Mahkemeler veya adli yetkiler ile hareket eden bağımsız yargı otoriteleri hariç olmak üzere, veri işlemenin bir kamu otoritesi tarafından gerçekleştirildiği hallerde,

Özel sektör için; ana faaliyet alanı, verisi işlenen kişilerin düzenli ve sistematik olarak izlenmesini gerektiren operasyonları yürütmek olan bir veri sorumlusu tarafından gerçekleştirildiği durumlarda,

Madde 9’a istinaden, özel kategorilerdeki kişisel verilerinin büyük bir kısmının işlenmesi ve Madde 10 ‘de belirtilen mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin işlenmesi durumunda.

Veri sorumlusuna veya işleyene veri işleme faaliyetinin GDPR’a uyumun yönetilmesinde ve denetlenmesinde yardımcı olmak için veri koruma kanunu ve uygulamaları konusunda uzman bilgisi olan bir kişiyi DPO (VKG) olarak atamak zorundadır.

Veri Koruma Görevlisi (VKG/DPO), Bilgi Teknolojileri süreçlerinin yönetilmesi, veri güvenliği (siber saldırılarla iştigal de dahil olmak üzere) ve diğer kritik iş sürekliliği gibi kişisel ve özel nitelikli (hassas) verileri kontrol altında tutma ve işleme konularında yetkin olmalıdır. Gerekli olan beceri seti, veri koruma kanunları ve yönetmeliklerine yasal uyumun anlaşılmasının ötesinde bir alan gerektirmektedir.

VKG Neden Kuruluştan Bağımsız Olarak Atanmalıdır?

Bir VKG’nin büyük bir organizasyonda organizasyon içinden atanması, Otorite ve bunun yanı sıra ilgili kişiler için bir zorluk teşkil edecektir. Kurum ve organizasyonların atamanın kapsamı ve niteliği göz önüne alındığında ele alması gereken sayısız yönetişim ve insan faktörü sorunları vardır. Buna ek olarak, makam sahibi görevlendirme sonrası kendi destek ekibini oluşturması gerekecek ve kendi mesleki gelişimlerinden sorumlu olarak etkin bir “mini regülatör” olarak kendisini çalıştıran kuruluştan bağımsız olması gerekmektedir.

DPO (Veri Koruma Görevlisi) Atamanın Faydası Nedir?

Veri Koruma Görevlisi (DPO) hesap verebilirlik için önemli bir unsur olup, bir VKG atanması uygunluk sağlamayı kolaylaştıracağı gibi işletmeler için bir rekabet avantajı da sağlayabilir.

VKG’nin Görevleri Nelerdir?

  • GDPR'a göre kişisel verileri koruma görevlisi, kişisel verilerin işlenmesinin kapsamı, bağlamı ve amaçları gözetilerek alınan risklerin farkında olarak görevini yerine getirmelidir. Bu şartlarda görevlinin yerine getirmesi gereken görevler;
  • Mevzuat uyarınca yükümlülüklerini yerine getiren veri sorumlusuna, veri işleyene ve çalışanlarına yükümlülükleri hakkında bilgi vermek ve tavsiyede bulunmak,
  • Veri sorumlusu veya veri işleyenin kişisel verilerin korunması ile ilgili politikalarının yanı sıra kişisel veri işlemede yer alan çalışanların bilinçlendirilmesi ve eğitilmesi ve ilgili denetimlerin mevzuata uygunluğunu takip etmek,
  • Talep edildiğinde veri koruma etki değerlendirmesi başarısı ile ilgili tavsiyelerde bulunmak ve performansını izlemek,
  • Kişisel verilerin korunması ile görevli denetim makamı ile iş birliği yapmak,
  • Denetim makamına danışılması gereken kişisel veri işleme konularında danışmak ve makamla irtibatı sağlamak.

VKG’nin Mesleki Kalifikasyonları Nelerdir?

  • Hukuki düzenlemelerin yorumlanması,
  • Yeni yönetmelik de dahil olmak üzere ulusal ve Avrupa veri koruma yasaları ile ilgili tecrübe,
  • Gerçekleştirilen işleme faaliyetlerine dair kavrayış,
  • Bilgi teknolojileri ve veri güvenliği hakkında kavrayış,
  • Sektör ve kuruluş hakkında bilgi,
  • Kuruluş dahilinde bir veri koruma kültürü oluşturma tecrübesi,
  • Veri sorumlusunun teknik altyapısını, kullandığı teknolojileri ve organizasyon yapısını bilmesi,
  • Analitik düşünce yapısına sahip, proje ve süreçleri yönetebilecek yetkinlikte olması

Kimler DPO (Veri Koruma Görevlisi) Olabilir?

  • 25 Mayıs 2018 tarihinden itibaren yürürlüğe giren ve Avrupa Birliği GDPR genelgesi kapsamında sunulan yeni şartlara göre kurumu hazırlamak ve desteklemek isteyen proje yöneticileri veya danışmanları
  • Kurumun Kişisel Verilerin Korunması Kanununa (KVKK) uyumundan sorumlu kişiler
  • Bir kurumun kişisel verilerin korunmasından ve risklerinin yönetiminden sorumlu DPO (Veri Koruma Görevlisi) ve Kıdemli Yöneticileri
  • Bilgi güvenliği, olay yönetimi ve iş sürekliliği ekibi üyeleri
  • Kişisel verilerin güvenliği konusunda uzman danışmanlar
  • Veri Koruma Görevlisi işine hazırlanmak isteyen teknik uzmanlar ve uyum uzmanları

Veri Koruma Görevlisi Organizasyonda Hangi Konumdadır?

Kişisel veri koruma görevlisinin veri sorumlusu tarafından atanması ya da seçilmesi tek başına yükümlülüğün yerine getirilmesi için yeterli değildir. Veri sorumlusunun veri koruma görevlisine gerekli yetkileri vermesi, kaynakları ayırması ve süreçlere dahil etmesi gerekir. GDPR bu konuyu da düzenlemiştir. Buna göre;

Veri sorumlusu ve veri işleyen, görevliyi kişisel verilerin korunması ile ilgili her sürece zamanında ve uygun bir şekilde dahil etmek zorundadır.

Veri sorumlusu ve veri işleyen, görevlinin kendisine yüklenen görevlerini yaparken, görevlerin yerine getirilebilmesi için gerekli kaynakları, kişisel verilere ve işlemlere erişebilmesini, uzmanlığını sürdürebilmesini sağlamakla yükümlüdür.

Veri sorumlusu ve veri işleyen, görevlinin görevleriyle ilgili herhangi bir talimat almamasını sağlamalıdır. Görevlerini yerine getirmesinden dolayı veri sorumlusu veya veri işleyen tarafından görevinden alınamaz ve cezalandırılamaz. Görevli, veri sorumlusu ve veri işleyenin en üst yönetim seviyesine doğrudan bağlı çalışmalıdır.

İlgili kişiler, kişisel verilerinin işlenmesi ile ilgili konularda ve haklarının kullanılmasında kişisel verileri koruma görevlisi ile irtibata geçebilmeliler.

Görevliye başka görevler ve sorumluluklar verilebilir. Veri sorumlusu ve veri işleyen verilen diğer görevlerle görevlinin asli görevlerinin çatışmamasını sağlamalıdır.