(GDPR) Genel Veri Koruma Yönetmeliği altında Verı Koruma Yetkilisinin [DPO] Görevi ve Fonksiyonları
Genel Veri Koruma Yönetmeliği yürürlüğe girdiğinden beri dokuz aydan fazla olmuştur ve hala bu regülasyonu birçok kişi tam olarak anlayamamıştır ve bu regülasyonun en çok etkilediği kişiler tarafından net olarak kullanılamamıştır. GDPR’in tam olarak kullanılmasının beklenmesi çok gerçekçi olmasa da veri sorumluları ve veri işlemcileri GDPR üzerinde çalışmaya bile henüz başlamadılar. Genel Veri Koruma Yönetmeliği birçok sorumluluk vermekte ve eğer veri sorumluları ve işlemciler bunları dikkate almazlarsa, birçok cezaya maruz kalabilirler ve bunlar büyük şirketlere bile zarar verebilir. [1]
GDPR’ın verdiği sorumluklardan biriyse veri sorumlusu ve işlemciler bir aktivite yaparken, bir Veri Koruma Yetkilisi de (DPO) göreve alınmalıdır. Bu yüzden birçok kişisel veri işleyen organizasyonlar kendilerine şu soruları soruyor: ‘DPO nedir? Ben de bir DPO atamalı mıyım?’ VKY yeni bir konsept değildir, ama onu atamak GDPR’la gelen yeni bir konsepttir.
DPO’nun Görevleri
Veri sorumluları ve işletimcilerinin yaptığı aktiviteler hakkında, DPO’nun bilgisi olması gereklidir. Hatta, regülasyona göre, DPO ‘kişisel bilgilerin korunması için gelişmelerden haberdar olmalıdır’.[2] DPO’nun ne kadar dahlinin olması ile ilgili bir örnek Veri Koruma Etki Değerlendirmesinde görünmektedir. Söz konusu değerlendirme yapıldığında veri sorumlusunun DPO’dan yardım alması gerekmektedir.[3]
Yasanın göze aldığı başka şeyse, organizasyonların DPO sorumluluklarını tamamlamak için veri sorumlularına yardım etmeleri gerekmektedir.
Ayrıca DPO’ya, sorumluluklarını yerine getirmesi icin gerekli hakların verilmesi gerekmektedir. Ancak, bu ona bir karar verme gücü vermemektedir. Regülasyon DPO’yu koruma altında tutmaktadır. Veri sorumlusu ve işletimcisinin DPO’ya, işini yaparken müdahalede bulunmaması gerekmektedir.
Önemli olansa DPO’nun yaptıkları çıkar çatışmasına neden olmamalıdır. DPO’ya veri isleme ilgili herhangi bir sorumluluk verilmemelidir.
DPO’nun Görevleri
DPO’nun ana sorumlukları regülasyonda [4] bulunabilinir, fakat sorumluluklar bunlar ile sınırlı değildir. DPO’nun genel fonksiyonlarından biriyse, veri sorumlusunun ve veri işlemcisinin GDPR ile uyumlarını takip etmektir. Dikkate alınması gerekense, eğer bir uyumsuzluk var ise, bu DPO’nun sorumluluğunda değildir. DPO’nun regule edildiği kurallara göre ve ilgili regülasyonlarda görüldüğü üzere, kurallara uyumluluk, veri sorumlusunun ve işletimcinin sorumluluğundadır.
DPO’nun bir başka sorumluluğuysa, ilgili otorite iletişimde olmaktır. Bir uyumsuzluk olduğunda bu sorumluluğun ne kadar önemli olduğu görünmektedir. Böyle bir uyumsuzluk olduğunda hızlı bir şekilde aksiyon alınması gerekebilir.
DPO’nun uzmanlığı
Genel Veri Koruma Yönetmeliğine göre DPO’nun veri koruma hukukuyla ilgili iyi bir bilgisi olması gerekmektedir, fakat hukukçu olması şart değildir. [5] Uzmanlık seviyesi, organizasyonun veri işlem yapısının duyarlılığı ve zorluğu ile uyumlu olmalıdır. Bu sebeple bu aynı zamanda veri sorumlusu ve işlemciye de bağlıdır.
DPO’nun Zorunlu Tayini
Aşağıdaki durumlarda, söz konusu regülasyona göre DPO seçilmesi zorunluluktur:
- Mahkemeler haricinde devlet kurumları tarafından islenen veriler.
- Veri işlemcilerinin ve sorumluların yaptığı ve düzenli takip gerektiren aktiviteler.
- Veri işlemcilerin ve sorumluların yaptığı büyük boyuttaki ve özel kategorilerdeki bilgiler. [6]
Tercihen, veri sorumluları ve işletimciler yaptıkları aktivitelerin yukarıda bahsi gecen 3 kategoriye girip girmediğini tespit etmek icin hukuki tavsiye almalıdırlar. Veri işlemi yapan bir organizasyon her durumda, gönüllü olarak bir DPO tayin edebilir ve bu uygulanabilecek en iyi pratiktir.
Dikkate alınması gereken ise, DPO olarak tayin edilen kişi, organizasyonda veri sorumlusu ve işletimcisi olarak çalışmamalıdır. Bu rol üçüncü bir partiye ve organizasyona bağlı olmayan birine verilebilir. Ayrıca, bir grup içinde olan şirketler icin tek bir DPO tayin edilebilir. Ancak DPO her şirket tarafından kolayca ulaşılabilir olmalıdır. Her iki durumda da DPO’nun sorumlulukları aynıdır.
Bu makalenin amacı hukuki bir görüş vermek değildir. Daha fazla bilgi Dr. Paul Felice ya da Dr. Adrian Mallia’ya ulaşabilirsiniz.
Daha detayli bilgi için aşağıdaki e-posta veya telefon numarasından ulaşabilirsiniz: infomalta@kyprianou.com, +356 2016 1010.
[1] Google Genel Veri Koruma Yönetmeliğine uymadiklari için Fransadaki düzenliyeci otorite, CNIL, 50 milyon euro ceza yazdı.
[2] Genel Veri Koruma Yönetmeliği Madde 38(1).
[3] Genel Veri Koruma Yönetmeliği Madde 35(2).
[4] Genel Veri Koruma Yönetmeliği Madde 39(1).
[5] Genel Veri Koruma Yönetmeliği Madde 37(5).
[6] Genel Veri Koruma Yönetmeliği Madde 37(1).
[7] Genel Veri Koruma Yönetmeliği Madde 37(2).