Veri koruma görevlisi (Data Protection Officer), Avrupa Birligi'nde Mayis 2018'de yürürlüge giren Genel Veri Koruma Tüzügü ("GDPR") kapsaminda düzenlenen bir kavramdir. Bu düzenlemenin amaci, veri sorumlularinin kisisel verilerin korunmasi mevzuatina uymasi konusunda sorumlu olacak bir kisinin atanmasini saglamaktir. GDPR, bir takim kriterleri karsilayan veri sorumlularina veri koruma görevlisi atama yükümlülügü getirmekte ve söz konusu veri koruma görevlisinin görev ve yükümlülüklerini detayli olarak ele almaktadir.
Türkiye'de ise Nisan 2016'da yürürlüge girmis olan 6698 sayili Kisisel Verilerin Korunmasi Kanunu ("KVKK") veri sorumlularinin ilgili mevzuata uyumu konusunda sorumlu ya da yardimci olacak birinin atanmasini düzenlememektedir. Öte yandan 30 Aralik 2017 tarihinde yayimlanan Veri Sorumlulari Sicili Hakkinda Yönetmelik ("VERBIS Yönetmeligi") veri sorumlularinin belirli hallerde bir veri sorumlusu temsilcisi ve/veya irtibat kisisi atamasini öngörmektedir. Uygulamada bu kisilerin GDPR kapsamindaki veri koruma görevlisi ile esdeger olup olmadigi konusunda bir takim karisikliklar ve sorular gündeme gelebilmektedir.
Bu yazimizin amaci GDPR kapsaminda yer alan veri koruma görevlisi kavrami ile KVKK'nin ikincil mevzuati ile düzenlenen veri sorumlusu temsilcisi/irtibat kisisini karsilastirmak ve aradaki farkliliklari ortaya koymaktir.
GDPR kapsaminda veri koruma görevlisinin özellikleri, görev ve yetkileri
Yukarida da bahsedildigi gibi GDPR belirli kosullari karsilayan veri sorumlularinin veri koruma görevlisi atamasini zorunlu kilmaktadir. Buna göre bir veri sorumlusunun temel faaliyetlerinin, dogasi, kapsami ve/veya amaçlari geregi, ilgili kisilerin büyük ölçekte düzenli ve sistematik olarak izlenmesini gerektiren isleme faaliyetlerinden olusmasi veya veri sorumlusunun temel faaliyetlerinin büyük ölçekte özel nitelikli kisisel veri veya ceza mahkûmiyeti ile suçlara iliskin verilerin islenmesini içermesi halinde, veri sorumlusunun bir veri koruma görevlisi atama yükümlülügü bulunmaktadir.
GDPR, veri koruma görevlisinin hangi özellikleri tasimasi gerektigi konusunda çok detayli düzenlemeler getirmemekle birlikte, bu kisinin özellikle veri koruma mevzuati ve uygulamalari konusunda uzman bilgisine sahip olmasi ve GDPR kapsaminda kendisine yüklenen görevleri yerine getirecek kabiliyetinin bulunmasi gerektigini belirtmektedir.
Veri sorumlusunun bir çalisani veri koruma görevlisi olarak atanabilecegi gibi disaridan üçüncü kisi bir hizmet saglayici da da veri koruma görevlisi olarak atanabilir. GDPR, veri koruma görevlisine önemli görevler yüklemekte ve önemli yetkiler vermektedir. Bu çerçevede GDPR kapsaminda veri koruma görevlisinin bagimsiz sekilde hareket etmesine önem verildigi görülmektedir. GDPR uyarinca veri sorumlusunun, veri koruma görevlisinin görevlerini yerine getirebilmesi için gerekli tüm kaynaklari kendisine saglama yükümlülügü bulunmaktadir. Veri koruma görevlisinin, görevlerini yerine getirirken veri sorumlusundan hiçbir talimat almamasi, görevlerini yerine getirmesi sebebiyle görevden alinmamasi veya cezalandirilmamasi gerekmektedir. Veri koruma görevlisi dogrudan en üst düzeydeki yöneticilere raporlama yapmakla yükümlüdür.
Veri koruma görevlisinin, veri sorumlusu ve çalisanlarini ilgili mevzuat hakkinda bilgilendirmek, veri koruma mevzuatina uyumu takip etmek, egitimler yapmak dahil veri koruma mevzuatina uyumu saglamaya yönelik farkindalik artirici faaliyetlerde bulunmak veya denetimler gerçeklestirmek, veri koruma etki degerlendirmesi ile ilgili görüs bildirmek, veri koruma otoritesi ile isbirligi yapmak ve bir iletisim noktasi olmak gibi önemli görevleri bulunmaktadir. Ayrica ilgili kisilerin, kisisel verilerinin islenmesi ve haklarinin kullanilmasi ile ilgili her türlü konuda veri koruma görevlisi ile iletisime geçmeleri mümkündür.
KVKK kapsaminda veri sorumlusu temsilcisi/irtibat kisisinin özellikleri, görev ve yetkileri
VERBIS Yönetmeligi uyarinca veri sorumlulari, kisisel verileri islemeye baslamadan önce Veri Sorumlulari Sicili'ne ("VERBIS") kayit olmakla yükümlüdür.
VERBIS Yönetmeligi, VERBIS'e kayit yükümlülügü bulunan ve Türkiye'de yerlesik olmayan tüzel kisi veri sorumlularinin bir veri sorumlusu temsilcisi, Türkiye'de yerlesik bulunan tüzel kisi veri sorumlulari ile Türkiye'de yerlesik olmayan veri sorumlusunun temsilcisinin ise bir irtibat kisisi atamasini zorunlu kilmistir.
VERBIS Yönetmeligi, veri sorumlusu temsilcisinin veya irtibat kisisinin tasimasi gereken özellikler hakkinda bir düzenleme getirmemektedir. Irtibat kisisi veri sorumlusu tüzel kisinin bir çalisani olabilecegi gibi disaridan bir kisi de olabilir. Veri sorumlusu temsilcisinin ise Türkiye'de yerlesik bir tüzel kisi ya da Türkiye Cumhuriyeti vatandasi bir gerçek kisi olmasi gerekmektedir.
VERBIS Yönetmeligi'ne göre irtibat kisisi, veri sorumlusunun KVKK ve KVKK'ya dayali olarak çikarilacak ikincil düzenlemeler kapsamindaki yükümlülükleriyle ilgili olarak, Kisisel Verileri Koruma Kurumu ("Kurum") ile iletisimi saglar.
VERBIS Yönetmeligi, irtibat kisisinin veri sorumlusunu KVKK ve VERBIS Yönetmeligi hükümlerine göre temsile yetkili olmadigini açikça belirtmektedir. Buna göre Türkiye'de yerlesik olan tüzel kisi veri sorumlularinin KVKK kapsamindaki yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kisiligi temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kisi veya kisiler marifetiyle yerine getirilir. Tüzel kisiligi temsile yetkili organ, KVKK'nin uygulanmasi bakimindan yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kisiyi görevlendirebilir. Ancak söz konusu görevlendirme KVKK hükümleri uyarinca tüzel kisi veri sorumlusunun sorumlulugunu ortadan kaldirmaz.
Yukaridaki açiklamalardan görülecegi üzere, VERBIS Yönetmeligi uyarinca atanacak irtibat kisisinin sadece bir iletisim noktasi olmasi amaçlanmakta, onun disinda irtibat kisisine herhangi bir önemli görev veya yetki verilmemektedir.
VERBIS Yönetmeligi'nde bahsedilen diger bir kisi olan veri sorumlusu temsilcisinin görev ve yetkileri, asagida belirtildigi üzere irtibat kisisine göre daha detayli olmakla birlikte, bu kisilerin görev ve yetkileri de GDPR kapsamindaki veri koruma görevlisine göre oldukça sinirlidir.
VERBIS Yönetmeligi uyarinca yurt disinda yerlesik veri sorumlularinin VERBIS'e kayit sirasinda atayacaklari veri sorumlusu temsilcisinin asgari olarak asagidaki yetkilere sahip olmasi gerekmektedir:
- Kurum tarafindan yapilan tebligat veya yazismalari veri sorumlusu adina tebellüg veya kabul etme,
- Kurum tarafindan veri sorumlusuna yöneltilen talepleri veri sorumlusuna iletme, veri sorumlusundan gelecek cevabi Kurum'a iletme,
- Ilgili kisilerin veri sorumlusuna yöneltecegi basvurulari veri sorumlusu adina alma ve veri sorumlusuna iletme,
- Ilgili kisilere veri sorumlusunun cevabini iletme,
- Veri sorumlusu adina VERBIS'e iliskin is ve islemleri yapma.
Veri Koruma Görevlisi Ile Veri Sorumlusu Temsilcisi/Irtibat Kisisinin Karsilastirilmasi
Yukaridaki detayli açiklamalardan anlasilacagi üzere, GDPR'da düzenlenen veri koruma görevlisi, veri sorumlusunun kisisel veri koruma mevzuatina uyumunun saglanmasiyla görevli, önemli yetkileri olan, veri sorumlusundan bagimsiz hareket eden ve dogrudan üst düzey yönetime raporlama yapan bir kisidir. Öte yandan VERBIS Yönetmeligi çerçevesinde düzenlenen veri sorumlusu temsilcisi/irtibat kisisinin görevleri ise veri sorumlusu ile Kurum ve/veya ilgili kisiler arasinda bir iletisim kurmaktan ibarettir. Bu kisilerin veri sorumlusunun veri koruma mevzuatina genel olarak uyumunu saglamak gibi bir görevleri bulunmamaktadir. VERBIS Yönetmeligi ile getirilen bu düzenlemelerin, GDPR'daki veri koruma görevlisine benzer bir sistem kurmayi amaçlamadigi, yalnizca Kurum'un karsisinda bir muhatap görmek istedigi için getirdigi düzenlemeler oldugu görülmektedir. Dolayisiyla GDPR kapsamindaki veri koruma görevlisi ile VERBIS Yönetmeligi kapsamindaki veri sorumlusu temsilcisi/irtibat kisisinin birbirlerinden tamamen farkli kavramlar oldugunu söylemek gerekir. Veri sorumlularinin da Türkiye'de söz konusu atamalari yaparken aradaki bu farki göz önünde bulundurmalari gerekmektedir.
Öte yandan Türkiye'de her ne kadar KVKK ve ikincil mevzuati bir veri koruma görevlisi atanmasina iliskin düzenleme getirmiyor olsa da bunu engelleyen bir hüküm de içermemektedir. Dolayisiyla veri sorumlulari dilerse Türkiye'deki veri isleme faaliyetleri ile ilgili olarak GDPR kapsamindakine benzer bir veri koruma görevlisini kendileri gönüllü olarak atayabilirler. Bu çerçevede veri koruma görevlisinin yetki ve sorumluluklari açisindan GDPR kapsamindaki düzenlemeler örnek alinabilecegi gibi, veri sorumlulari bunlar disinda da görev ve yetkiler düzenleyebileceklerdir. Veri sorumlululari, gönüllü olarak atayacaklari bu veri koruma görevlileri için sirket çalisanlari arasindan birini görevlendirebilecekleri gibi disaridan bir kisiyi de tercih edebilirler. Bu kisiye verilecek görev ve yetkiler ile ilgili kisinin sorumluluklarinin veri sorumlusu ile ilgili kisi arasinda düzenlenecek bir sözlesme/taahhütname gibi belge çerçevesinde açikça ortaya konmasi gerekecektir. Alternatif olarak veri koruma görevlisinin GDPR'daki bagimsiz karakterini de dikkate alarak tüzel kisiligi yetkili organ tarafindan alinacak bir karar ile bu kisiyi sirkete bir kurul üyesi/müdür olarak atabilir ve kendisine çok daha genis yetkiler ve sorumluluklar vermeyi düsünebilirler.
Sonuç
KVKK ve ikincil mevzuati, GDPR kapsaminda düzenlenen veri koruma görevlisine esdeger veya benzer bir kisinin atanmasini düzenlememektedir. KVKK'nin ikincil mevzuati olan VERBIS Yönetmeligi yalnizca Kurum ve ilgili kisiler nezdinde gerekli iletisimi saglayacak veri sorumlusu temsilcisi/irtibat kisisi atanmasini öngörmektedir; fakat bu kisilerin GDPR kapsamindaki veri koruma görevlisine benzer önemli görev ve yetkileri bulunmamaktadir. Öte yandan veri sorumlulari dilerseler gönüllü olarak Türkiye'deki veri isleme faaliyetleri açisindan GDPR'a benzer bir veri koruma görevlisi atamayi degerlendirebilirler. Bu kapsamda ilgili kisinin görev, yetki ve sorumluluklarinin veri sorumlusu tarafindan detayli olarak belirlenmesi ve düzenlenm
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
