7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) yayınlanması ile birlikte hayatımıza giren “kişisel verilerin korunması” uygulaması, bu tarihten günümüze oluşturulan ikincil mevzuat ve Kişisel Verileri Koruma Kurulu kararları ile şekillenmeye devam ediyor. Çerçeve kanun olarak nitelendirilebilecek KVKK’nın, özellikle Avrupa Birliği’nde 2018 yılında yürürlüğe giren Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) düzenlemeleri dikkate alınarak oluşturulan ikincil mevzuat ile genişletildiği söylenebilecektir.

Bu kapsamda mevzuatımızda daha önce yer verilmeyen “veri koruma görevlisi” kavramına ilişkin olarak ilk düzenleme yapıldı. Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ (“Tebliğ”), 06/12/2021 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girdi. 

GDPR’ın 37’nci maddesinde, bazı şartları sağlamaları halinde veri sorumluları tarafından bir veri koruma görevlisi (data protection officer) atanması zorunluluk olarak düzenlenmiştir. Anılan maddeye göre;

• Kamu kurum ve kuruluşları her koşulda; 

• Özel teşebbüslerde veri sorumlusunun ya da veri işleyenin esas faaliyeti, şekil, kapsam ve amaç açısından kişilerin kapsamlı ve sürekli şekilde incelenmesini ve analizini gerekli kılıyorsa; ya da 

• Veri sorumlusunun ya da veri işleyenin esas faaliyeti, kapsamlı şekilde özel nitelikli kişisel verilerin işlenmesi ise; 

veri koruma görevlisi bulundurmaları zorunludur.

Bununla birlikte, Tebliğ’e konu edilen veri koruma görevlisi, KVKK’da yer verilen bir kavram olmadığı gibi, veri koruma görevlisi atanması da veri sorumluları bakımından bir yükümlülük değildir. KVKK’da veri koruma görevlisi düzenlemesine en benzer hükmün, Geçici 1’inci maddenin 5’inci fıkrası ile kamu kurum ve kuruluşlarına getirilen “Kanunun uygulaması ile ilgili koordinasyonu sağlamak üzere üst düzey bir yönetici belirleme” yükümlülüğü olduğu söylenebilir. Ancak burada da “veri koruma görevlisi” kavramı kullanılmadığı gibi, detaylı bir açıklamaya da yer verilmiş değildir. 

Tebliğ, (TS) EN ISO/IEC 17024 standardına uygun olarak akredite olan ve Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yetkilendirilen personel belgelendirme kuruluşları tarafından yürütülecek sertifikasyon faaliyetleri ile veri koruma görevlileri ve adayları hakkında düzenlemeler içeriyor. Buna göre, Tebliğ’de belirtilen tarafından usul ve esasları belirlenen eğitim programını tamamlayanlara verilecek katılım belgesini alan kişiler, yine Tebliğ’de belirtilen sınavda başarılı olmaları halinde, veri koruma görevlisi olabileceklerdir.

Tebliğ ile detaylı düzenlemeler yapılmamakla birlikte, müracaat, aday başvurularının değerlendirilmesi, sınav ve belgelendirme yöntemi hakkında esasları belirtir Veri Koruma Görevlisi Belgelendirme Programı hakkında kamuoyu duyurusu Kurum’un internet sitesinde 07.12.2021 tarihinde yayınlandı. Buna göre veri koruma görevlisi sertifikası almak isteyen kişilerin öncelikli olarak Kurum tarafından verilecek eğitime katılarak katılım belgesi alması ve Personel Belgelendirme Kuruluşları tarafından yapılacak olan ve detayları düzenlenmiş olan sınavda başarılı olmaları gerekiyor. 

Veri koruma görevlilerinin sertifikalandırıldıkları program kapsamında kişisel verilerin korunması mevzuatı açısından yeterli bilgiye sahip olduğu kabul edilecek ancak veri koruma görevlisi ancak sertifikanın geçerlilik süresi olarak belirlenen 4 yıllık süreyle bu unvanı kullanabilecekler.

Bununla birlikte Tebliğ’de veri sorumlusunun ve/veya veri işleyenin bünyesinde veri koruma görevlisi bulundurmasının veri sorumlusunun ve veri işleyenin KVKK’dan doğan yükümlülüklerini ortadan kaldırmayacağı ayrıca belirtiliyor.

Kanuni bir düzenleme yapılmamışken Tebliğ yayımlanması ile akıllarda birçok soru işareti oluştu. Kimlerin veri koruma görevlisi olabileceğine ilişkin bir düzenleme henüz mevcut değil. Hukuk fakültesi mezunu olmanın bir koşul olarak belirlenip belirlenmeyeceğine ilişkin tartışmalar bir yana, henüz hangi veri sorumlusu grupları tarafından veri koruma görevlisi atamanın bir zorunluluk olarak düzenleneceği de belirli değil. 

Kayıt yükümlülüğü olan tüm veri sorumluları bakımından VERBİS kayıt süresinin sonuna yaklaştığımız bugünlerde, mevzuatımıza dahil olan yeni bir kavramla karşı karşıyayız. Her kadar mevcut durumda veri koruma görevlisi kavramının GDPR’a benzer şekilde düzenlenip düzenlenmeyeceği konusunda bir netlik olmasa da, Kurul kararları ve ikincil düzenlemelerde GDPR’ın takip edildiği de gözetildiğinde veri koruma görevlisi atamanın ilerleyen süreçte KVKK kapsamında belirli veri sorumluları açısından bir yükümlülük olarak düzenlenmesi söz konusu olabilir. Uygulamanın nasıl şekilleneceğini, önümüzdeki süreçte yeni düzenlemeler ve mevzuat değişiklikleri ile birlikte göreceğiz.

Görsel;

https://micahlidberg.tumblr.com/

Yazdır