Genel Veri Koruma Yönetmeliği (General Data Protection Regulation, GDPR) 24 Mayıs 2016 tarihinde Avrupa Birliği Resmî Gazetesi’nde yayınlanan ve tüm Avrupa Birliği (AB) ve Avrupa Ekonomik Alanı (AEA) içerisinde yer alan bireyler için veri koruma ve gizliliğine ilişkin hazırlanmış bir düzenlemedir. Aynı zamanda kişisel verilerin AB ve AEA bölgeleri dışına aktarımını da ele alır.
GDPR’ın amacı, uluslararası ticaret için güvenli ortamı sağlamaktır. Bireylere kişisel verileri üzerinde kontrol sağlar ve AB içindeki düzenlemeyi birleştirir.
Bununla birlikte GDPR ile önem kazanan bir diğer kavram ise DPO’dur (Data Protection Officer). İlk olarak Avrupa Komisyonunun EC 45/2001 sayılı Direktifiyle ortaya çıkmıştır. GDPR’da ise bir yükümlülük olarak ele alınmıştır.
Kişisel veri sorumlularının, her türlü veri toplama işlemlerinde verinin işlenme amacını, nedenlerini, verilerin ne kadar süre saklanacağını ve herhangi bir üçüncü tarafla veya Avrupa Ekonomik Alanı dışında bir yerde paylaşılıp paylaşılmadığını açıkça belirtmesi gerekmektedir.
Veri sorumlusu kişisel verilere yönelik yaptığı her işlem için teknik ve idari koruma önlemleri almalıdır. Verilere erişim yetkilerinin düzenlenmesi, risk analizleri, veri haritası oluşturulması, paydaşlarla gizlilik taahhütnameleri yapılması gibi işlemler; verinin türü, paydaşın niteliği ve saklama ortamları göz önüne alınarak sürece bağlanmalıdır.
İşte bu süreçleri belirlemek ve yönetmeler önermek DPO tarafından yapılmalıdır. Bu bakımdan DPO için kişisel veri koruma danışmanı da denebilir. DPO, ayrıyeten bir kuruluşun GDPR ile uyumluluğunu izlemekle görevlidir. Gizlilikle ilgili konularda yönetime rapor vermekten de sorumludur.
DPO Atama
GDPR kapsamında hem veri sorumluları hem de veri işleyenler belirli koşullarda bir DPO atamalıdır. GDPR’ın 37’nci maddesi DPO atama yükümlülüğünün geçerli olduğunu açıkça ortaya koymaktadır. Söz konusu maddeye göre; kişisel veri işleyen tüm kamu makamları, temel faaliyetleri veri sahiplerinin düzenli ve sistematik şekilde büyük ölçekli olarak izlenmesi olan kuruluşlar ve temel faaliyetleri özel veri kategorilerini işlemek olan kuruluşlara atama zorunludur. Mahkemeler ise DPO atamak zorunda değildir.
DPO’nun görevleri aşağıda sıralanmıştır.
- Veri sorumlusu veya veri işleyen ve çalışanlarını GDPR ve Üye Devlete ait veri koruma yasalarına uyma yükümlülükleri hakkında bilgilendirmek ve tavsiye vermek,
- Kişisel verilerin işlenmesine ilişkin konularda ilgili Veri Koruma Otoritesi (DPA) için irtibat noktası olarak hizmet vermek ve onunla iş birliği yapmak,
- Veri koruma faaliyetlerini yönetmek, veri işleme personelini eğitmek ve iç denetimleri gerçekleştirmek dahil olmak üzere GDPR ve Üye Devlete ait veri koruma yasalarına uyumu izlemek,
- Danışmanlık (Veri koruma etki değerlendirmeleri üzerine) yapmak,
- Veri koruma uygulamaları, rızanın geri çekilmesi, unutulma hakkı ve ilgili haklarla ilgili konularda veri sahiplerinden gelecek başvurular için veri sorumlusu ve veri işleyenlere danışmanlık yapmak.
DPO’ların İmkanları
DPO’lar şirketin veri işleme personeline ve operasyonlarına erişebilmelidir. Bağımsız olmalı ve şirketin “en yüksek yönetim seviyesine” doğrudan raporlama imkanına sahip olmalıdır. Ayrıca, görevlerini yerine getirirken işten çıkarılma veya cezalandırılma tehdidine karşı korunurlar.
DPO kuruluşta meydana gelen veri ihlallerinden doğrudan sorumlu tutulamaz. DPO’ların, görevlerini yerine getirdiği için veri sorumlusu veya veri işleyen tarafından görevden alınmaması veya cezalandırılmaması, gerektiğini yönetmelikte açıkça söylenmiştir.
Yönetmeliğe göre DPO’ların görevlerinin yerine getirilmesiyle ilgili herhangi bir talimat almasına gerekmemektedir. Bağımsız hareket etmeleri gerekir. Ancak bu durum, DPO’nun görevden alınamayacağı veya değiştirilemeyeceği anlamına gelmez. DPO’lar, diğer çalışanlar gibi, çalışma veya ceza hukuku gibi diğer yasal gerekçelerle cezalandırılabilir. Bu nedenle DPO, gizlilik ve mahremiyete ilişkin sorumlulukların ihlalinden kaynaklanan cezalardan kurtulamaz.
GDPR’ın eş değer kanunu KVKK Kurumunun sayfasını incelemek için buraya, GDPR ya da KVKK Uyum Danışmanlığı teklifi almak için buraya tıklayınız.
