Kişisel Verileri Koruma Görevlisi (KVKG)

By , in KVKK on . Tagged width: , ,
Paylaşmak ister misiniz?

Kişisel Verileri Koruma Görevlisi (KVKG) – Data Protection Officer (DPO)

Mayıs 2018’de Avrupa Birliği’nde yürürlüğe girecek olan General Data Protection Regulation (GDPR) bu işlerle ilgilenecek kişi için Data Protection Officer (DPO) tanımı yapmıştır. Veri Koruma Memuru olarak birebir çevirisi yapılabilir.

Bizim mevzuatımız “Data” sözcüğünün karşılığı olan “veri” kelimesini tek başına kullanmamakta ve verinin niteliğine atfen “kişisel veri” olarak kullanmaktadır. Data protection kişisel verilerin korunması ve data protection authority Kişisel Verileri Koruma Kurulu olarak karşılık bulmaktadır. Bu sistematiğe göre data protection officer teriminin ilk bölümü kişisel verileri koruma olarak tercüme edilmelidir.

“Officer” kelimesi yetkili olmaktan ziyade kurum içinde çalışan kişiyi ifade etmektedir. Memur kelimesi devlette çalışan kişilerle özdeşliğinden bunun yerine “Görevli” kelimesini kullanmakta fayda vardır. Tüm bu açıklamalar ışığında AB düzenlemesindeki data protection officer teriminin karşılığı olarak Kişisel Verileri Koruma Görevlisi terimin kullanılması yerindedir.

Kişisel Verileri Koruma Görevlisinin Özellikleri

Kişisel Verilerin Korunması Kanunu kişisel verileri koruma görevlisi ile ilgili hiç bir düzenleme içermemektedir. GDPR ise kişisel verileri koruma görevlisinin sahip olması gereken özellikler hakkında bir düzenleme yapmamaktadır. Ancak yapılacak görevler düşünüldüğünde kişisel verileri koruma görevlisinin sahip olması gereken özellikler

  • Hukuki düzenlemelerin yorumlanması ve kişisel verilerin korunması mevzuatı konusunda yeterli düzeyde deneyim ve bilgi sahibi olması,
  • Veri sorumlusunun teknik altyapısını, kullandığı teknolojileri ve organizasyon yapısını bilmesi,
  • Analitik düşünce yapısına sahip, proje ve süreçleri yönetebilecek yetkinlikte olması

sayılabilir.

Ülkemizde bu özellikleri taşıyan kişi ya yoktur ya da çok azdır. Bu durumda her veri sorumlusunun kişisel verilerin korunması konusunda ihtiyacını giderebilmesi için iki seçenek ortaya çıkmaktadır.

1.Çalışanlar Arasından Seçmek ve Eğitim Aldırmak

Veri sorumlusunun büyük çoğunluğunun tercih edeceği bu yöntemde seçilen kişinin eksikliklerinin tespiti gerekir. Örneğin IT departmanından birinin seçilmesi durumunda bu kişinin veri sorumlusunun işleyişini ve kullandığı teknik altyapıyı bilmesi bir avantajdır. Bu kişinin kişisel verilerin korunması konusunda hukuki terimleri barındıran bir eğitim alması gerekecektir. Görevlinin bir hukukçu olması durumunda da bu sefer teknik altyapıyı öğrenmesi gerekecektir.

Her iki eğitimi de alan biri olarak benim şahsi görüşüm teknik kişilere hukuk ve mevzuatın öğretilmesinin, hukukçulara teknik bilgilerin öğretilmesinden daha kolay olduğudur.

Kişinin şirket büyüklüğüne bağlı olarak üst yönetimde olanlar arasından seçilmesi daha sürecin daha hızlı ve sorunsuz ilerlemesini sağlayacaktır.
Kişisel verileri koruma görevlisi tam zamanlı olabileceği gibi başka bir kadroda çalışan bir kişinin görevlendirilmesi şeklinde de olabilir Bunun kararı veri sorumlusunun imkanlarına ve ihtiyaçlarına göre belirlenmelidir.

Veri sorumlusu sadece çalışanlarıyla ilgili kişisel veriler işliyorsa İnsan Kaynakları’nda çalışan bir çalışan da bu görevi üstlenebilir.

IT departmanından bir kişi görevlendirilirken sürecin sadece veritabanlarının araştırılarak işlenen kişisel verilerin tespit edilmesi olarak algılanmaması gerekir. Aslında işin daha büyük kısmı işlenen kişisel verilerle ilgili mevzuatın ve azami sürenin tespit edilmesidir. Yani görevli seçilirken sadece teknik bilgisine bakılmamalıdır.

Kişisel verileri koruma görevlisinin edindiği bilgi ve tecrübe ile başka bir kuruma geçmesi yada başka sebeplerle işten ayrılması göz önünde bulundurarak gerekli tedbirlerin alınması gerekir. Bu görev için birden fazla kişinin eğitilmesinde fayda vardır.

2.Dışarıdan Hizmet Almak
Öncelikle akıldan çıkarmamak lazım ki dışarıdan hizmet alarak sorumluluklardan kurtulmak mümkün değildir. Kişisel verilerin korunması konusunda veri sorumlusu sorumluluklarını devredemeyeceği gibi dışarıdan hizmet alınması ile kişisel verileri başkaların görmesine izin vererek risklerini de arttırmaktadır. Hizmet sunucusu mevzuat açısından veri işleyen olarak değerlendirilecektir.
Bu yolun seçilmesi ile hem maliyet hem de zaman tasarrufu sağlamak mümkündür. Seçilen hizmet sunucusu edinmiş olduğu deneyimler ile yapılması gerekenleri daha hızlı tespit edebilir ve riskler konusunda veri sorumlusunu bilgilendirebilir.
Veri sorumlusu, hizmet sunucusu ile yapacağı hizmet sözleşmesinde kişisel verilerin gizliliği konusundaki şartlara ve taahhütlere yer vermelidir.

Sonuç

Kişisel verilerin korunmasına uyum sağlamak için yapılması gereken ilk şey bu konuda çalışmaya başlamaktır. Çalışmayı yürütecek kişinin seçilmesi de ikinci adımdır. Kişisel veri işleme envanterinin çıkartılması, kişisel veri saklama ve imha politikasının hazırlanması bu konuda bilgili bir kişinin yönetiminde daha kolay yapılacaktır. Seçilen kişinin hak ve özgürlükler ile veri sorumlusunun menfaatleri arasındaki dengeyi tutturması çok önemlidir. Veri sorumlusunun menfaatlerinin ağır basması durumunda çok ağır idari para cezaları veya daha ağır hukuki sorunlarla karşılaşmak mümkünken tersi bir durumda da veri sorumlusu hiç gerek yokken zaman ve maddi kayba uğrayabilir.

Kaynak

Kişisel Verileri Koruma Görevlisi (KVKG) yazısı ile bu konu hakkındaki diğer yazılarımızı okumak için tıklayınız.