VERİ KORUMA GÖREVLİSİ İLE İLGİLİ GÜNCEL GELİŞMELER
Avrupa Birliği bünyesinde yürürlüğe giren Genel Veri Koruma Tüzüğü(“GDPR”) kapsamında düzenlenen veri koruma görevlisi(“data protection officer”), 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda doğrudan yer almamaktadır. Öte yandan 30 Aralık 2017 tarihinde yayımlanan Veri Sorumluları Sicili Hakkında Yönetmelik(“VERBİS Yönetmeliği”) uyarınca veri sorumlularının belirli hallerde veri sorumlusu temsilcisi ve/veya irtibat kişisi ataması öngörülmektedir.
Bu konuda yaşanan karışlıklıların giderilmesi ve veri sorumlularının kişisel verilerin korunması mevzuatına uyması konusunda sorumlu olacak kişinin atanması amacıyla Kişisel Verilerin Korunması Kurumu(“Kurum”) tarafından hazırlanan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ(“Tebliğ”) 6 Aralık 2021 tarihli ve 31681 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Tebliğe https://www.resmigazete.gov.tr/eskiler/2021/12/20211206-4.htm adresinden ulaşabilirsiniz.
GDPR’ın aksine, Tebliğ’de veri koruma görevlisine ilişkin detaylı düzenlemelere yer verilmemiştir. Bu hususta Tebliğ’de, veri koruma görevlisi atamasına ilişkin veri sorumlularına herhangi bir yükümlülük getirilmemekte ve veri koruma görevlisinin görevlerine ilişkin düzenleme yapılmamaktadır. Bununla beraber veri sorumlusunun ve/veya veri işleyenin bünyesinde veri koruma görevlisi bulundurmasının veri sorumlusunun ve veri işleyenin kişisel verilerin korunması hukukundan doğan yükümlülüklerini ortadan kaldırmayacağı belirtilmiştir.
Veri Koruma Görevlisi Kime Denir?
Tebliğ uyarında veri koruma görevlisi “sınavda başarılı olarak veri koruma görevlisi unvanını kullanmaya hak kazanan gerçek kişi” olarak tanımlanmış ve veri koruma görevlilerinin sertifikalandırıldıkları program kapsamında kişisel verilerin korunması mevzuatı açısından yeterli bilgiye sahip olan kişiler oldukları hüküm altına alınmıştır.
Veri Koruma Görevlisi Nasıl Olunur?
Veri koruma görevlisi olabilmek için öncelikle Kurum tarafından usul ve esasları belirlenen eğitim programının tamamlanması ardından eğitim katılım belgesinin alınması gerekmektedir. Bu katılım belgesine istinaden sınavda başarılı olan kişiler veri koruma görevlisi olabileceklerdir. Sınavda başarılı olan ve veri koruma görevlisi unvanını kullanmaya hak kazanan kişileri ise Türk Akreditasyon Kurumu tarafından (TS) EN ISO/IEC 17024 standardı kapsamında akredite edilen kuruluşlar belgelendirmeye yetkili olacaktır. Bu süreç sonunda verilecek sertifikasyon ise 4 yıl süre ile geçerli olacaktır.
Sertifika Takip ve Doğrulama Bilgi Sistemi Nedir?
Tebliğ uyarınca Sertifika Takip ve Doğrulama Bilgi Sistemi’nin(“SERTABİS”) kurulmuş olup sertifikasyon sürecinin şeffaf ve etkin şekilde yürütülmesi, sertifika sahibi kişilerin ve sertifikaların kapsamının, süresinin sorgulanabileceği kamuya açık bir sistem oluşturulmuştur.
Tebliğ ile kişisel verilerin korunması hukuku kapsamında ilk kez veri koruma görevlisi hakkında düzenlemeler yapılmıştır. Her kadar mevcut durumda veri koruma görevlisi kavramının GDPR’a benzer şekilde ele alınıp alınmayacağı hususunda bir açıklık bulunmasa dahi veri koruma görevlisi bulundurmanın ileride KVKK kapsamında ek bir yükümlülük olarak düzenlenmesi söz konusu olabilir. Bu nedenle veri sorumlularının şimdiden gerekli hassasiyeti göstermelerini kişisel veri işleyen tüm ilgili şirketlerin veri koruma görevlisine ilişkin Kurum’un duyuru ve düzenlemelerini yakından takip etmelerini tavsiye ederiz.