Uyum sürecini iyi kötü yönetip sonuna gelen bir işletmede, şayet proje ekibinin başındaki kişinin -konuyla biraz ilgiliyse- size, "bizim bir #DPO'muz olacak" diyebilme ihtimali yüksek olacaktır. DPO veya Türkçe karşılığı ile Veri Koruma Görevlisi (VKG)... "PR'ı iyi yapılan ve dilden dile pelesenk olmuş bir kavram mı yoksa önümüzdeki 20 yılın favori mesleği mi tartışmalarından uzak veri koruma görevlisi ne iş yapar, nelerle uğraşır ekseninde bir yazı için doğru yerdesiniz.
Her ne kadar veri koruma görevlisi atanması Avrupa Birliği Genel Veri Koruma Tüzüğü’nde (GDPR, Tüzük) resmen tanınmış olsa da tüzük kapsamına giren her şirketin bir tane görevli ataması zorunlu değildir. Ülkemizde de büyük çapta* kişisel veri işleyen şirketlerin VKG benzeri bir yapı oluşturmaya çalıştıkları düşünüldüğünde konunun anlaşılması daha da büyük önem kazanıyor.
Avukat bey, biz şirket olarak bir DPO istihdamı gerçekleştirmeyi düşünüyoruz. Bu işin yönetimi en iyi bu şekilde oluyormuş, GDPR konusunda danışmanlık veren firmalardan bu şekilde görüş aldık.
GDPR çerçevesinde öncelikle VKG'nin hangi şartlarda atanması gerektiğini özetleyelim. Buna göre;
Veri işleme faaliyeti bir kamu otoritesi tarafından yürütülüyor ise,
Veri sorumlusu ve veri işleyenin ana faaliyetlerini büyük çapta bireyleri düzenli ve sistemli olarak gözetlemekten oluşuyor ise,
Veri sorumlusu veya veri işleyenin ana faaliyeti büyük ölçüde özel nitelikli kişisel verilerin işlenmesinden oluşuyor ise,
VKG atamak zorundadır.
Özet üzerinden bazı kavramları açıklamak gerekirse sondan başlamak daha doğru olacaktır. Buna göre, ana faaliyet; 2016 Aralık ayında 29. Madde Çalışma Grubu (WP29) tarafından yayınlanan rehber çerçevesinde, “veri sorumlularının ve işleyenlerin hedeflerine ulaşmak için gereken anahtar nitelikteki işlemler” olarak tanımlanmıştır. Söz konusu ifade, bir işletmenin veri analitiği faaliyeti yürütmesi zorunluluğundan öte, veri işleme faaliyetinin veri sorumlusu veya veri işleyenin faaliyetlerinin ayrılmaz bir parçası olduğu anlamına gelmektedir.
WP 29, ‘büyük çap’ ifadesini ise, organizasyonun boyutundan ziyade ilgili kişi sayısı ile ilişkilendirmektedir. Bu, organizasyonda az sayıda işçi olmasına karşın eğer büyük bir müşteri tabanına hizmet sağlanıyor ise “büyük çapta” işleme anlamına gelecekken, küçük müşteri topluluğuna hizmet sağlayan bir şirketin büyük ölçekli tanımını karşılamadığı anlamına gelir.
WP 29 özellikle ‘büyük ölçek’ faktörleri olarak aşağıdaki halleri tanımlamıştır:
İlgili kişi sayısı – belli bir sayı olarak veya ilgili nüfustaki oranına göre,
Veri hacmi ve/veya işlenen farklı veri ögelerinin çeşitliliği,
Veri işleme faaliyetinin süresi veya sürekliliği,
İşleme faaliyetinin coğrafi kapsamı.
İlgili kişilerin (veri özneleri) düzenli ve sistematik takip edilmesi ifadesi çevrimiçi alan ve izleme ile sınırlı olmaksızın internet tabanlı her türlü izleme ve profilleme faaliyetlerini kapsamaktadır. WP 29 ‘düzenli’ ifadesini aşağıdakilerden biri veya birkaçı olarak yorumlamaktadır:
Belirli bir dönem için belirli aralıklarla devam eden veya gerçekleşen,
Belirli zamanlarda yinelenen veya tekrarlanan,
Sürekli veya periyodik olarak gerçekleşen.
WP 29’da ‘sistematik’ aşağıdakilerden biri veya birkaçı anlamına gelir:
Bir sisteme göre gerçekleşen,
Önceden düzenlenmiş, organize edilmiş veya yöntemsel
Veri toplama için genel bir planının parçası olan,
Bir stratejinin parçası olarak yürütülen.
Tüzük, üye devlet hukukunun gerektirdiği durumlarda veri koruma görevlisi atanmasını şart koşmaktadır. Örneğin, Almanya, kişisel verilerin otomatik olarak işlenmesi için en az 9 kişinin veya otomatik olmayan veri işleme faaliyeti ile uğraşan en az 20 kişinin çalıştığı şirketler tarafından bir veri koruma görevlisi atanmasını gerekli görmektedir.
Bunun yanı sıra, Fransa’da, Correspondant Informatique et Libertés (CIL) olarak bilinen VKG atanmasında yasal bir zorunluluk olmamasına karşın bir şirketin bir veri koruma görevlisi atamasında potansiyel faydalar vardır. Örneğin, VKG Atayan bir şirket Commission Nationale de l'Informatique et des Libertés’ye (CNIL – Fransız Veri Koruma Kurumu) önceden bazı beyanlarda bulunmaktan muaf tutulmaktadır.
Grup Çapında Atama
Grup şirketlerinden oluşan bir yapıda tek bir VKG atanabilecektir. Ancak bunu yapabilmenin en önemli şartı, VKG'nin "kolay erişebilir" olmasıdır.
Şirketler bunu yaparken Tüzük’ün uygulanmasına geçtikten sonra kurulacak olan birçok üye devlet uygulama dışında tutma potansiyelini dikkate alarak örneğin grup çapında atanan veri koruma görevlisinin yerel dili bilmemesi veya yargılama kurallarının nasıl işlediğine yeterince aşina olmaması gibi bir takım zorlukları göz önünde tutmalıdır. Bu durum veri koruma görevlisinin uzmanlık yeteneklerini göstermesi ve görevlerini yerine getirmesi üzerinde bir etkisi olabilir.
Veri koruma görevlisinin görevi nedir?
Tüzük uyarınca, şirketler kişisel verilerin korunması ile ilgili tüm konulara veri koruma görevlisinin tam, doğru ve zamanında dahil olmasını temin etmek zorundadır. Veri koruma görevlileri görevlerini ika etmek ve teknik yetenek ve bilgilerini sürdürmek için destek almak ve uygun kaynaklara erişmelidir.
Veri koruma görevlileri bağımsız olarak iş görebilmelidir. Görevlerini tam ve doğru şekilde yerine getirdiği için azledilememeli veya cezalandırılmamalıdır. Menfaatler çatışmadığı müddetçe görevliler başkaca görev alabilirler.
Veri koruma görevlisinin görev süresine ilişkin bir sınırlama bulunmamaktadır ama bu şirketlerin belirli süreliğine görevli atamasının veya görevlinin görevini ihtar üzerine sonlandırmasının önünde bir engel değildir. (Örneğin; bir veri koruma görevlisinin performansından ve/veya “yerel İş Kanunu’ndan doğan, iş konuları ve iş sebeplerinden dolayı” işten çıkarılması.)
Veri koruma görevlileri şirketin en üst yönetim seviyesine doğrudan rapor hattına sahip olmalıdır. Ayrıca şirketin veri işleme işlemlerine erişim sağlamalıdır. Görevliler yeterli teknik bilgi ve uzmanlığa da sahip olmalıdır fakat Tüzük görevlilerin sahip olması gereken vasıf ve yeterlilik konusunda açıkça bir belirleme yapmamıştır.
Veri koruma görevlileri gizlilik alanındaki tecrübe ve yetenekleri baz alınarak atanmalıdır. Veri koruma hukuku ve uygulamaları bilgisi ve aşağıdakiler bakımından yeteneklerine dair referanslara sahip olmalıdır:
Tüzük uyarınca şirketlerin ve şirket çalışanlarının yükümlülükleri konusunda bilgilendirme ve tavsiye vermek,
Tüzüğe ve kişisel verileri koruma, iç veri koruma faaliyetlerinin yönetimi de dahil olmak üzere, personel eğitimi ve iç denetimin yürütülmesi konularında şirket politikasına uygunluk gözetimini yapmak,
Mahremiyet etki değerlendirmesi hususunda talep edildiği takdirde danışmanlık sağlamak ve performansı gözetlemek,
Denetim otoritesi ile işbirliği içinde olmak ve
İşleme ve diğer konulara ilişkin olarak denetim otoritesi ile temas noktası olarak hareket etmek
İlaveten, işlemenin amacı, bağlamı, kapsamı ve doğası dikkate alınarak işleme operasyonları ile bağlantılı riski göz önünde bulundurması görevlilerden beklenmektedir.
Kimler Veri Koruma Görevlisi Olabilir?
Tüzük veri koruma görevlilerinin işlevinin bir şirket çalışanı veya bir üçüncü kişi hizmet sağlayıcısı tarafından gerçekleştirilmesine de izin vermektedir. Başlangıçta bu tür pozisyonların doldurulmasında deneyimli insanların eksiği potansiyel anahtar sorunu olabileceği için bu faydalı olacaktır.
* WP29 ifadesidir.
** Orijinal Kaynak IAPP.
Çeviri: Merve Nur KALAYCI
Metin: Av. Serhat TURAN