Veri koruma görevlisi (Data Protection Officer), Avrupa Birliği’nde Mayıs 2018’de yürürlüğe giren Genel Veri Koruma Tüzüğü (“GDPR”) kapsamında düzenlenen bir kavramdır. Bu düzenlemenin amacı, veri sorumlularının kişisel verilerin korunması mevzuatına uyması konusunda sorumlu olacak bir kişinin atanmasını sağlamaktır. GDPR, bir takım kriterleri karşılayan veri sorumlularına veri koruma görevlisi atama yükümlülüğü getirmekte ve söz konusu veri koruma görevlisinin görev ve yükümlülüklerini detaylı olarak ele almaktadır.
Türkiye’de ise Nisan 2016’da yürürlüğe girmiş olan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) veri sorumlularının ilgili mevzuata uyumu konusunda sorumlu ya da yardımcı olacak birinin atanmasını düzenlememektedir. Öte yandan 30 Aralık 2017 tarihinde yayımlanan Veri Sorumluları Sicili Hakkında Yönetmelik (“VERBİS Yönetmeliği”) veri sorumlularının belirli hallerde bir veri sorumlusu temsilcisi ve/veya irtibat kişisi atamasını öngörmektedir. Uygulamada bu kişilerin GDPR kapsamındaki veri koruma görevlisi ile eşdeğer olup olmadığı konusunda bir takım karışıklıklar ve sorular gündeme gelebilmektedir.
Bu yazımızın amacı GDPR kapsamında yer alan veri koruma görevlisi kavramı ile KVKK’nın ikincil mevzuatı ile düzenlenen veri sorumlusu temsilcisi/irtibat kişisini karşılaştırmak ve aradaki farklılıkları ortaya koymaktır.
GDPR kapsamında veri koruma görevlisinin özellikleri, görev ve yetkileri
Yukarıda da bahsedildiği gibi GDPR belirli koşulları karşılayan veri sorumlularının veri koruma görevlisi atamasını zorunlu kılmaktadır. Buna göre bir veri sorumlusunun temel faaliyetlerinin, doğası, kapsamı ve/veya amaçları gereği, ilgili kişilerin büyük ölçekte düzenli ve sistematik olarak izlenmesini gerektiren işleme faaliyetlerinden oluşması veya veri sorumlusunun temel faaliyetlerinin büyük ölçekte özel nitelikli kişisel veri veya ceza mahkûmiyeti ile suçlara ilişkin verilerin işlenmesini içermesi halinde, veri sorumlusunun bir veri koruma görevlisi atama yükümlülüğü bulunmaktadır.
GDPR, veri koruma görevlisinin hangi özellikleri taşıması gerektiği konusunda çok detaylı düzenlemeler getirmemekle birlikte, bu kişinin özellikle veri koruma mevzuatı ve uygulamaları konusunda uzman bilgisine sahip olması ve GDPR kapsamında kendisine yüklenen görevleri yerine getirecek kabiliyetinin bulunması gerektiğini belirtmektedir.
Veri sorumlusunun bir çalışanı veri koruma görevlisi olarak atanabileceği gibi dışarıdan üçüncü kişi bir hizmet sağlayıcı da da veri koruma görevlisi olarak atanabilir. GDPR, veri koruma görevlisine önemli görevler yüklemekte ve önemli yetkiler vermektedir. Bu çerçevede GDPR kapsamında veri koruma görevlisinin bağımsız şekilde hareket etmesine önem verildiği görülmektedir. GDPR uyarınca veri sorumlusunun, veri koruma görevlisinin görevlerini yerine getirebilmesi için gerekli tüm kaynakları kendisine sağlama yükümlülüğü bulunmaktadır. Veri koruma görevlisinin, görevlerini yerine getirirken veri sorumlusundan hiçbir talimat almaması, görevlerini yerine getirmesi sebebiyle görevden alınmaması veya cezalandırılmaması gerekmektedir. Veri koruma görevlisi doğrudan en üst düzeydeki yöneticilere raporlama yapmakla yükümlüdür.
Veri koruma görevlisinin, veri sorumlusu ve çalışanlarını ilgili mevzuat hakkında bilgilendirmek, veri koruma mevzuatına uyumu takip etmek, eğitimler yapmak dahil veri koruma mevzuatına uyumu sağlamaya yönelik farkındalık artırıcı faaliyetlerde bulunmak veya denetimler gerçekleştirmek, veri koruma etki değerlendirmesi ile ilgili görüş bildirmek, veri koruma otoritesi ile işbirliği yapmak ve bir iletişim noktası olmak gibi önemli görevleri bulunmaktadır. Ayrıca ilgili kişilerin, kişisel verilerinin işlenmesi ve haklarının kullanılması ile ilgili her türlü konuda veri koruma görevlisi ile iletişime geçmeleri mümkündür.
KVKK kapsamında veri sorumlusu temsilcisi/irtibat kişisinin özellikleri, görev ve yetkileri
VERBİS Yönetmeliği uyarınca veri sorumluları, kişisel verileri işlemeye başlamadan önce Veri Sorumluları Sicili’ne (“VERBİS”) kayıt olmakla yükümlüdür.
VERBİS Yönetmeliği, VERBİS’e kayıt yükümlülüğü bulunan ve Türkiye’de yerleşik olmayan tüzel kişi veri sorumlularının bir veri sorumlusu temsilcisi, Türkiye’de yerleşik bulunan tüzel kişi veri sorumluları ile Türkiye’de yerleşik olmayan veri sorumlusunun temsilcisinin ise bir irtibat kişisi atamasını zorunlu kılmıştır.
VERBİS Yönetmeliği, veri sorumlusu temsilcisinin veya irtibat kişisinin taşıması gereken özellikler hakkında bir düzenleme getirmemektedir. İrtibat kişisi veri sorumlusu tüzel kişinin bir çalışanı olabileceği gibi dışarıdan bir kişi de olabilir. Veri sorumlusu temsilcisinin ise Türkiye’de yerleşik bir tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı bir gerçek kişi olması gerekmektedir.
VERBİS Yönetmeliği’ne göre irtibat kişisi, veri sorumlusunun KVKK ve KVKK’ya dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kişisel Verileri Koruma Kurumu (“Kurum”) ile iletişimi sağlar.
VERBİS Yönetmeliği, irtibat kişisinin veri sorumlusunu KVKK ve VERBİS Yönetmeliği hükümlerine göre temsile yetkili olmadığını açıkça belirtmektedir. Buna göre Türkiye’de yerleşik olan tüzel kişi veri sorumlularının KVKK kapsamındaki yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ, KVKK’nın uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilir. Ancak söz konusu görevlendirme KVKK hükümleri uyarınca tüzel kişi veri sorumlusunun sorumluluğunu ortadan kaldırmaz.
Yukarıdaki açıklamalardan görüleceği üzere, VERBİS Yönetmeliği uyarınca atanacak irtibat kişisinin sadece bir iletişim noktası olması amaçlanmakta, onun dışında irtibat kişisine herhangi bir önemli görev veya yetki verilmemektedir.
VERBİS Yönetmeliği’nde bahsedilen diğer bir kişi olan veri sorumlusu temsilcisinin görev ve yetkileri, aşağıda belirtildiği üzere irtibat kişisine göre daha detaylı olmakla birlikte, bu kişilerin görev ve yetkileri de GDPR kapsamındaki veri koruma görevlisine göre oldukça sınırlıdır.
VERBİS Yönetmeliği uyarınca yurt dışında yerleşik veri sorumlularının VERBİS’e kayıt sırasında atayacakları veri sorumlusu temsilcisinin asgari olarak aşağıdaki yetkilere sahip olması gerekmektedir:
- Kurum tarafından yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etme,
- Kurum tarafından veri sorumlusuna yöneltilen talepleri veri sorumlusuna iletme, veri sorumlusundan gelecek cevabı Kurum’a iletme,
- İlgili kişilerin veri sorumlusuna yönelteceği başvuruları veri sorumlusu adına alma ve veri sorumlusuna iletme,
- İlgili kişilere veri sorumlusunun cevabını iletme,
- Veri sorumlusu adına VERBİS’e ilişkin iş ve işlemleri yapma.
Veri Koruma Görevlisi İle Veri Sorumlusu Temsilcisi/İrtibat Kişisinin Karşılaştırılması
Yukarıdaki detaylı açıklamalardan anlaşılacağı üzere, GDPR’da düzenlenen veri koruma görevlisi, veri sorumlusunun kişisel veri koruma mevzuatına uyumunun sağlanmasıyla görevli, önemli yetkileri olan, veri sorumlusundan bağımsız hareket eden ve doğrudan üst düzey yönetime raporlama yapan bir kişidir. Öte yandan VERBİS Yönetmeliği çerçevesinde düzenlenen veri sorumlusu temsilcisi/irtibat kişisinin görevleri ise veri sorumlusu ile Kurum ve/veya ilgili kişiler arasında bir iletişim kurmaktan ibarettir. Bu kişilerin veri sorumlusunun veri koruma mevzuatına genel olarak uyumunu sağlamak gibi bir görevleri bulunmamaktadır. VERBİS Yönetmeliği ile getirilen bu düzenlemelerin, GDPR’daki veri koruma görevlisine benzer bir sistem kurmayı amaçlamadığı, yalnızca Kurum’un karşısında bir muhatap görmek istediği için getirdiği düzenlemeler olduğu görülmektedir. Dolayısıyla GDPR kapsamındaki veri koruma görevlisi ile VERBİS Yönetmeliği kapsamındaki veri sorumlusu temsilcisi/irtibat kişisinin birbirlerinden tamamen farklı kavramlar olduğunu söylemek gerekir. Veri sorumlularının da Türkiye’de söz konusu atamaları yaparken aradaki bu farkı göz önünde bulundurmaları gerekmektedir.
Öte yandan Türkiye’de her ne kadar KVKK ve ikincil mevzuatı bir veri koruma görevlisi atanmasına ilişkin düzenleme getirmiyor olsa da bunu engelleyen bir hüküm de içermemektedir. Dolayısıyla veri sorumluları dilerse Türkiye’deki veri işleme faaliyetleri ile ilgili olarak GDPR kapsamındakine benzer bir veri koruma görevlisini kendileri gönüllü olarak atayabilirler. Bu çerçevede veri koruma görevlisinin yetki ve sorumlulukları açısından GDPR kapsamındaki düzenlemeler örnek alınabileceği gibi, veri sorumluları bunlar dışında da görev ve yetkiler düzenleyebileceklerdir. Veri sorumluluları, gönüllü olarak atayacakları bu veri koruma görevlileri için şirket çalışanları arasından birini görevlendirebilecekleri gibi dışarıdan bir kişiyi de tercih edebilirler. Bu kişiye verilecek görev ve yetkiler ile ilgili kişinin sorumluluklarının veri sorumlusu ile ilgili kişi arasında düzenlenecek bir sözleşme/taahhütname gibi belge çerçevesinde açıkça ortaya konması gerekecektir. Alternatif olarak veri koruma görevlisinin GDPR’daki bağımsız karakterini de dikkate alarak tüzel kişiliği yetkili organ tarafından alınacak bir karar ile bu kişiyi şirkete bir kurul üyesi/müdür olarak atabilir ve kendisine çok daha geniş yetkiler ve sorumluluklar vermeyi düşünebilirler.
Sonuç
KVKK ve ikincil mevzuatı, GDPR kapsamında düzenlenen veri koruma görevlisine eşdeğer veya benzer bir kişinin atanmasını düzenlememektedir. KVKK’nın ikincil mevzuatı olan VERBİS Yönetmeliği yalnızca Kurum ve ilgili kişiler nezdinde gerekli iletişimi sağlayacak veri sorumlusu temsilcisi/irtibat kişisi atanmasını öngörmektedir; fakat bu kişilerin GDPR kapsamındaki veri koruma görevlisine benzer önemli görev ve yetkileri bulunmamaktadır. Öte yandan veri sorumluları dilerseler gönüllü olarak Türkiye’deki veri işleme faaliyetleri açısından GDPR’a benzer bir veri koruma görevlisi atamayı değerlendirebilirler. Bu kapsamda ilgili kişinin görev, yetki ve sorumluluklarının veri sorumlusu tarafından detaylı olarak belirlenmesi ve düzenlenmesi gerekecektir.
PDF indir