GDPR Uyarınca Veri Koruma Görevlisi (DPO) İstihdam Etme Zorunluluğu
Konuk Yazar: Av. Damlanur İPEK
Avrupa Birliği Veri Koruma Tüzüğü – General Data Protection Regulation (“GDPR”) uyarınca birtakım veri sorumluları ve veri işleyenler için Veri Koruma Görevlisi – Data Protection Officer (“DPO”) istihdam etmek zorunludur. Her ne kadar 95/46/EC sayılı Direktif’te DPO bulundurma zorunluluğu doğrudan düzenlenmemiş olsa da GDPR yürürlüğe girmeden önce de veri sorumluları ile veri işleyenlerin bünyelerinde iyi uygulama örneği olarak DPO istihdam ettiğini söylemek yanlış olmayacaktır.
GDPR uyarınca DPO görevlendirilmesi, her zaman veri sorumlusu ve veri işleyenlerin inisiyatifinde olmayıp, belirli durumlarda veri sorumlusu ve veri işleyenlerin bünyelerinde DPO görevlendirmesi zorunlu tutulmuştur.
GDPR uyarınca hangi durumlarda DPO istihdam etmek zorunludur?
GDPR’ın “Designation of the Data Protection Officer” yan başlıklı 37. maddesi uyarınca veri sorumluları ile veri işleyenler üç durumda DPO istihdam etmek zorundadır. Bu üç durumdan ilki, veri işleme faaliyetinin kendi yargı yetkisi içerisinde hareket eden mahkemeler dışındaki bir kamu otoritesi ya da organı tarafından gerçekleştirilmesi durumudur. Örneğin bakanlıklar tarafından gerçekleştirilen veri işleme faaliyetleri ya da toplu taşıma hizmetlerinin yerine getirilmesine yönelik veri işleme faaliyetleri açısından DPO istihdam etmek zorunludur.[1]
GDPR’ın DPO istihdam edilmesini zorunlu kıldığı bir diğer durum, veri sorumlusu ile veri işleyenin temel veri işleme faaliyetinin, veri sahiplerinin büyük ölçekte düzenli ve sistematik şekilde izlenmesini gerektirdiği durumlardır. GDPR madde metninde yer alan “büyük ölçekte düzenli ve sistematik izleme”nin ne olduğuna ilişkin olarak Madde 29 Çalışma Grubu’nun DPO’lara yönelik hazırlamış olduğu rehberine değinmekte fayda bulunmaktadır.
Madde 29 Çalışma Grubu’na göre, “büyük ölçek” belirlenirken veri sorumlusu ya da veri işleyenin organizasyon yapısı, çalışan sayısı değil, etkilenen veri sahibinin sayısı dikkate alınmaktadır. Bu doğrultuda, veri sahiplerinin sayısı, işlenen veri hacmi ya da işlenen veri kategorilerinin çeşitliliği, veri işleme faaliyetinin süresi ya da sürekliliği ve veri işleme faaliyetinin coğrafi kapsamı büyük ölçek belirlenirken dikkate alınması gereken faktörler arasındadır. “Düzenli ve sistematik izleme” faaliyeti ise belirli bir dönemde, belirli aralıklarla devam etmiş olan, tekrarlanan, sürekli ya da periyodik olarak gerçekleşen izleme faaliyetlerini kapsamaktadır.[2] Bu doğrultuda arama motorları, davranışsal reklamcılık faaliyeti gerçekleştirmekte olan sosyal medya şirketleri veri sahiplerini büyük ölçekte düzenli ve sistematik bir şekilde izleyen veri sorumluları olarak kabul edilebilmektedir.[3]
GDPR’ın DPO istihdam edilmesini zorunlu kıldığı üçüncü ve son durum ise veri sorumlusu ya da veri işleyenin temel veri işleme faaliyetinin, özel nitelikli kişisel verilerin ya da ceza mahkumiyeti kararları ile ceza gerektiren suçlara ilişkin kişisel verilerin büyük çapta işlenmesinden oluştuğu durumlardır. Örnek vermek gerekirse, hastaneler ile sigorta şirketleri, veri işleme faaliyetlerinin büyük bir çoğunluğunun özel nitelikli kişisel verilerin işlenmesinden oluştuğu veri sorumluları arasında sayılabilir.
GDPR’ın 37. maddesinde belirtilen durumlar dışında veri işleme faaliyeti gerçekleştiren veri sorumluları ile veri işleyenler dışındaki aktörler, DPO atamak zorunda değildir. Bununla birlikte veri sorumlusu ya da veri işleyenlerin gönüllülük esasına dayalı olarak DPO ataması durumunda, GDPR’ın 37 ila 39. maddeleri arasında düzenlenen yükümlülükler, gönüllülük esasına dayalı olarak DPO atamış olan veri sorumluları ile veri işleyenler için de uygulama alanı bulacaktır.
Veri sorumluları ile veri işleyenler DPO’yu nasıl belirlemelidir?
GDPR’ın 37. maddesi uyarınca DPO, mesleki nitelikler, veri koruma uygulamalarına ilişkin uzmanlık bilgisi ve DPO pozisyonu kapsamındaki görevleri yerine getirme kabiliyeti esas alınarak belirlenmelidir. DPO’lar veri sorumlusu ya da veri işleyenlerin bir çalışanı olabilir ya da görevlerini bir hizmet sözleşmesi çerçevesinde ifa edebilirler.[4]
Netleştirilmesinde fayda olacak bir diğer husus ise DPO’ların veri koruma düzenlemelerine uyum açısından şahsi sorumluluğudur. GDPR’ın yürürlüğe girmesiyle birlikte veri koruma düzenlemelerine uyum açısından sorumluluğun veri sorumluları ile veri işleyenler üzerinde olduğu şüpheden uzak hale gelmiştir. İlaveten, GDPR ve Madde 29 Çalışma Grubu’nun ilgili rehberinde, DPO’nun görevlerini yerine getirmesi sebebiyle bünyesinde bulunduğu veri sorumlusu ya da veri işleyenler tarafından işten çıkarılamayacağı ya da DPO’ya yaptırım uygulanamayacağı da düzenleme altına alınmıştır.[5]
Ek olarak, bir şirketler grubunun birden fazla DPO istihdam edebilmesi mümkün olabileceği gibi tek bir DPO ataması da söz konusu olabilecektir. Şirketler grubu şeklinde faaliyet gösteren veri sorumlusu ya da veri işleyenlerin tek bir DPO atayabilmesinin ön koşulu ise DPO’nun yapı içerisinde, veri sahipleri açısından ya da ilgili denetim makamlarınca kolay erişilebilir olmasıdır.[6]
DPO’nun şirketlerdeki pozisyonu ne olmalıdır?
Veri koruma mevzuatına uyum için veri sorumlusu ve veri işleyen bünyesinde faaliyet gösteren DPO’ların yerine getirdiği görevlerin önemi şüpheden uzaktır. DPO’nun şirket içerisinde nasıl bir pozisyonda görevlendirilmesi gerektiğine ilişkin olarak GDPR’ın “Position of the Data Protection Officer” yan başlıklı 38. maddesi kapsamlı bir düzenleme getirmiştir. GDPR’ın 38. maddesi doğrultusunda veri sorumlusu ve veri işleyenler DPO’nun kişisel verilerin korunmasına ilişkin tüm konulara uygun şekilde ve zamanında müdahil olmasını sağlamakla, DPO’nun kişisel veri işleme faaliyetlerine erişmesi ve uzmanlık bilgisinin aynı seviyede tutulması için gereken desteği sağlamakla yükümlü kılınmıştır. Veri sorumlusu ve veri işleyenler, DPO’lara görevlerini yerine getirmeleri için gereken zamanı vermeli, sürekli bir şekilde eğitim sağlamalı ve veri koruma hukukundaki tüm gelişmeleri takip ederek uygulamalarını sağlamakla mükelleftir.[7]
DPO’nun görev ve sorumluluklarını yerine getirirken emir ve talimat almaması gerekmektedir. GDPR’ın söz konusu hükmü karşısında DPO’lar genellikle Genel Müdürlük altında değil, doğrudan Yönetim Kurulu’na ya da şirket içerisindeki en üst yönetime rapor verecek şekilde, bağımsız olarak konumlandırılmalıdır.
Dpo’nun Görevleri Nelerdir?
GDPR’ın “Tasks of the Data Protection Officer” başlıklı 39. maddesinde DPO’ların yerine getirmekle sorumlu olduğu görevlere ilişkin ayrıntılı düzenlemeler kaleme alınmıştır. DPO’lar veri koruma otoriteleri ve diğer denetim otoriteleri ile işbirliği gerçekleştirmeli – örneğin istihdam edildiği veri sorumlusu ya da veri işleyen bünyesinde bir veri ihlali gerçekleşmesi durumunda temas noktası olarak hareket etmeli – talep üzerine veri koruma etki değerlendirmesine ilişkin şirkete tavsiyede bulunmalı, veri koruma mevzuatına uyum kapsamında yükümlülüklere ilişkin olarak şirketi ve çalışanları bilgilendirmeli, potansiyel risklere ilişkin tavsiyede bulunmalı, şirket bünyesinde alınması gereken teknik ve idari tedbirlere ilişkin tavsiye vermeli, Avrupa Birliği ve yerel veri koruma kurallarına uyumu sağlamak için gözlem yapmalıdır.[8]
Değinmekte fayda vardır ki, GDPR’ın 38/6 hükmü doğrultusunda DPO’lar, yalnızca DPO olarak hareket etmek zorunda olmayıp, farklı görevlere de sahip olabilmektedir. Bu noktada dikkate alınması gereken ise DPO’ların diğer görevleri ile veri koruma mevzuatı ve uygulamalarına ilişkin görevleri açısından bir çıkar çatışmasının olup olmadığıdır. Eklemek gerekir ki, GDPR’ın yukarıda da değinilen hükümleri uyarınca veri sorumlusu ve veri işleyenler bünyelerinde bulundurdukları DPO’ya gerekli sorumlulukları verme, gerekli kaynakları sağlama ve DPO’yu şirket hiyerarşisi içerisinde birinden emir ve talimat almayacak şekilde konumlandırma yükümlülüğü altında bulunduğundan, bu yükümlülüklere aykırılık veri sorumlusu ve veri işleyenler için olası bir idari para cezası uygulanmasını da söz konusu hale getirebilecektir. Bu sebeple veri sorumluları ve veri işleyenler açısından DPO istihdam edilmesi, DPO’nun şirket içerisinde bağımsız olarak hareket edebilmesi ve gereken kaynaklar ile yetkilerin sağlanması veri koruma mevzuatına uyum açısından kritik önemi haizdir.
KVKK alanındaki tüm Blog yazılarımıza bağlantıdan ulaşabilirsiniz.
Hukuk ve Bilişim Dergisi’nin Geçmiş Sayı’larını okumak için bağlantıya tıklayınız.
Konuk Yazar: Av. Damlanur İPEK
Kaynakça
Article 29 Working Party Guidelines on Data Protection Officers (“DPOs”)
General Data Protection Regulation
[1] Article 29 Working Party Guidelines on Data Protection Officers (“DPOs”), s.6.
[2] Article 29 Working Party Guidelines on Data Protection Officers (“DPOs”), s.8-9.
[3] Article 29 Working Party Guidelines on Data Protection Officers (“DPOs”), s.8-9.
[4] GDPR m.37/6
[5] Article 29 Working Party Guidelines on Data Protection Officers (“DPOs”), s.15.
[6] Article 29 Working Party Guidelines on Data Protection Officers (“DPOs”), s.10.
[7] Article 29 Working Party Guidelines on Data Protection Officers (“DPOs”), s.14.
[8] Article 29 Working Party Guidelines on Data Protection Officers (“DPOs”), s.17-18.