(GDPR) Genel Veri Koruma Yönetmeliği altında Verı Koruma Yetkilisinin [DPO] Görevi ve Fonksiyonları

1st August 2019 by Paul Felice Uncategorised 0 comments

(GDPR) Genel Veri Koruma Yönetmeliği altında Verı Koruma Yetkilisinin [DPO] Görevi ve Fonksiyonları

Genel Veri Koruma Yönetmeliği yürürlüğe girdiğinden beri dokuz aydan fazla olmuştur ve hala bu regülasyonu birçok kişi tam olarak anlayamamıştır ve bu regülasyonun en çok etkilediği kişiler tarafından net olarak kullanılamamıştır. GDPR’in tam olarak kullanılmasının beklenmesi çok gerçekçi olmasa da veri sorumluları ve veri işlemcileri GDPR üzerinde çalışmaya bile henüz başlamadılar. Genel Veri Koruma Yönetmeliği birçok sorumluluk vermekte ve eğer veri sorumluları ve işlemciler bunları dikkate almazlarsa, birçok cezaya maruz kalabilirler ve bunlar büyük şirketlere bile zarar verebilir. [1]

GDPR’ın verdiği sorumluklardan biriyse veri sorumlusu ve işlemciler bir aktivite yaparken, bir Veri Koruma Yetkilisi de (DPO) göreve alınmalıdır. Bu yüzden birçok kişisel veri işleyen organizasyonlar kendilerine şu soruları soruyor: ‘DPO nedir? Ben de bir DPO atamalı mıyım?’ VKY yeni bir konsept değildir, ama onu atamak GDPR’la gelen yeni bir konsepttir.

DPO’nun Görevleri

Veri sorumluları ve işletimcilerinin yaptığı aktiviteler hakkında, DPO’nun bilgisi olması gereklidir. Hatta, regülasyona göre, DPO ‘kişisel bilgilerin korunması için gelişmelerden haberdar olmalıdır’.[2] DPO’nun ne kadar dahlinin olması ile ilgili bir örnek Veri Koruma Etki Değerlendirmesinde görünmektedir. Söz konusu değerlendirme yapıldığında veri sorumlusunun DPO’dan yardım alması gerekmektedir.[3]

 

Yasanın göze aldığı başka şeyse, organizasyonların DPO sorumluluklarını tamamlamak için veri sorumlularına yardım etmeleri gerekmektedir.

 Ayrıca DPO’ya, sorumluluklarını yerine getirmesi icin gerekli hakların verilmesi gerekmektedir. Ancak, bu ona bir karar verme gücü vermemektedir. Regülasyon DPO’yu koruma altında tutmaktadır. Veri sorumlusu ve işletimcisinin DPO’ya, işini yaparken müdahalede bulunmaması gerekmektedir.

 Önemli olansa DPO’nun yaptıkları çıkar çatışmasına neden olmamalıdır. DPO’ya veri isleme ilgili herhangi bir sorumluluk verilmemelidir.

 DPO’nun Görevleri

 DPO’nun ana sorumlukları regülasyonda [4] bulunabilinir, fakat sorumluluklar bunlar ile sınırlı değildir. DPO’nun genel fonksiyonlarından biriyse, veri sorumlusunun ve veri işlemcisinin GDPR ile uyumlarını takip etmektir. Dikkate alınması gerekense, eğer bir uyumsuzluk var ise, bu DPO’nun sorumluluğunda değildir. DPO’nun regule edildiği kurallara göre ve ilgili regülasyonlarda görüldüğü üzere, kurallara uyumluluk, veri sorumlusunun ve işletimcinin sorumluluğundadır.

 DPO’nun bir başka sorumluluğuysa, ilgili otorite iletişimde olmaktır. Bir uyumsuzluk olduğunda bu sorumluluğun ne kadar önemli olduğu görünmektedir. Böyle bir uyumsuzluk olduğunda hızlı bir şekilde aksiyon alınması gerekebilir.

 DPO’nun uzmanlığı

 Genel Veri Koruma Yönetmeliğine göre DPO’nun veri koruma hukukuyla ilgili iyi bir bilgisi olması gerekmektedir, fakat hukukçu olması şart değildir. [5] Uzmanlık seviyesi, organizasyonun veri işlem yapısının duyarlılığı ve zorluğu ile uyumlu olmalıdır. Bu sebeple bu aynı zamanda veri sorumlusu ve işlemciye de bağlıdır.

 DPO’nun Zorunlu Tayini

 Aşağıdaki durumlarda, söz konusu regülasyona göre DPO seçilmesi zorunluluktur:

  • Mahkemeler haricinde devlet kurumları tarafından islenen veriler.
  • Veri işlemcilerinin ve sorumluların yaptığı ve düzenli takip gerektiren aktiviteler.
  • Veri işlemcilerin ve sorumluların yaptığı büyük boyuttaki ve özel kategorilerdeki bilgiler. [6]

Tercihen, veri sorumluları ve işletimciler yaptıkları aktivitelerin yukarıda bahsi gecen 3 kategoriye girip girmediğini tespit etmek icin hukuki tavsiye almalıdırlar. Veri işlemi yapan bir organizasyon her durumda, gönüllü olarak bir DPO tayin edebilir ve bu uygulanabilecek en iyi pratiktir.

 Dikkate alınması gereken ise, DPO olarak tayin edilen kişi, organizasyonda veri sorumlusu ve işletimcisi olarak çalışmamalıdır. Bu rol üçüncü bir partiye ve organizasyona bağlı olmayan birine verilebilir. Ayrıca, bir grup içinde olan şirketler icin tek bir DPO tayin edilebilir. Ancak DPO her şirket tarafından kolayca ulaşılabilir olmalıdır. Her iki durumda da DPO’nun sorumlulukları aynıdır.

 Bu makalenin amacı hukuki bir görüş vermek değildir. Daha fazla bilgi Dr. Paul Felice ya da Dr. Adrian Mallia’ya ulaşabilirsiniz.

 Daha detayli bilgi için aşağıdaki e-posta veya telefon numarasından ulaşabilirsiniz: infomalta@kyprianou.com, +356 2016 1010.

 

[1] Google Genel Veri Koruma Yönetmeliğine uymadiklari için Fransadaki düzenliyeci otorite, CNIL, 50 milyon euro ceza yazdı.

[2] Genel Veri Koruma Yönetmeliği Madde 38(1).

[3] Genel Veri Koruma Yönetmeliği Madde 35(2).

[4] Genel Veri Koruma Yönetmeliği Madde 39(1).

[5] Genel Veri Koruma Yönetmeliği Madde 37(5).

[6] Genel Veri Koruma Yönetmeliği Madde 37(1).

[7] Genel Veri Koruma Yönetmeliği Madde 37(2).

Share

Related Posts

by Michael Carbone12th February 20210 comments

UK Competition Law Changes Post BREXIT

by Kevin Mallia6th July 20210 comments

The Malta Gaming Authority publishes its 2020 Annual Report and Financial Statements

Malta Yacht Registration Solutions
by Jonathan Said1st July 20210 comments

Malta Yacht Registration Solutions

Malta Yacht Registration Solutions
by Jonathan Said13th July 20210 comments

Malta Maritime Flag ranked 14th on Paris MoU Committee White List

British Airways and Marriott International Inc. face huge fines from UK data protection authorityPrevious Post
David against Goliath – Libra vs Central Banks: Who will win?Next Post

Subscribe to our newsletter and keep updated with Maltese Law!

Receive the latest from MK Malta and MK Services!