Kişisel Verilerin Korunmasında Veri Koruma Görevlisi
Veri Koruma Görevlisi vb. unvanda bir kişinin, Kişisel Verilerin Korunması Kanunu (KVKK) açısından Türkiye mülki sınırları içinde resmi olarak atanması gibi bir zorunluluğun bulunmadığını söyleyerek başlayalım. Ancak yazının ilerleyen bölümlerinde görüleceği üzere bir şirkette Veri Koruma Görevlisinin ne olduğu, ne fayda sağlayabileceği, neler yapabileceği gibi konulara değineceğiz.
Bir şirketin yürürlükteki veri koruma kanunlarına uyumu takip etmekle ve bu kapsamda alınması gerekli tedbirleri almakla görevli veri koruma görevlisini, KVKK ve GPDR açısından değerlendireceğiz.
• Veri Koruma yönetimi önemli mi?
Öncelikle, veri koruma bir uyum ve risk yönetimidir.
Bu yönetimi, bir şirket için (yasal — gayri yasal) tehditlerin savuşturulması, fırsatların yakalanması açısından değerlendirmek gerekir. Zira kanuna uyum sayesinde kanundan kaynaklı idari ve cezai müeyyidelerden korunarak yasal tehditler bertaraf edilirken, veri sızıntısı nedeniyle yaşanması muhtemel yasal olmayan riskler gerekli güvenlik önlemi alınarak minimize edilecektir. Diğer taraftan, uyum çerçevesinde internet sitesinde bir güvenlik politikasına yer verilmesiyle, müşteriler nezdinde güven telkin edilerek iş fırsatları yakalanabilir.
• Veri Koruma görevlisi/yöneticisi ne demektir?
Şirketin yürürlükteki veri koruma kanunlarına uyumu takip etmekle, bu kapsamda alınması gerekli tedbirleri almakla görevlidir. Bu kişi, şirket organizasyonundan biri olabileceği gibi dışarıdan hizmet sağlayan bir kişi de olabilir.
• Veri Koruma yöneticisi görevlendirmek zorunlu mudur?
Veri Koruma yöneticisi atama zorunluluğu ülkeden ülkeye değişmektedir. Öncelikle GDPR açısından baktığımızda bir şirket, esas faaliyetleri açısından bireylerin sistematik olarak izlenmesi veya geniş çapta özel nitelikli veri işlemesi durumunda veri koruma yöneticisi atamakla yükümlüdür. Ve yine GDPR’a göre, grup şirketleri tek bir veri koruma görevlisi atayabilmektedir. Şirketlerin veri koruma görevlisinin irtibat bilgilerini yayımlaması ve bunu veri koruma kuruluna bildirmesi öngörülmüştür. Ayrıca, resmi olarak atama gerektiğinde şirketlerin tüm ülkelerde gerçekleştirdikleri faaliyetler bakımından aynı kişiyi veri koruma görevlisi olarak atadıkları görülmektedir. Nitekim GDPR buna izin vermiştir.
Ülkemizde KVKK açısından böyle bir zorunluluk yoktur. Ancak Veri koruma yapısının yönetimi açısından, yönetici ataması tercih edilebilir. Bu yönde bir tercih kullanıldığında, herhangi bir bildirime veya izne gerek kalmaksızın Veri Koruma yöneticisi belirlenebilir. Bu durumda Veri Koruma yöneticisinin KVKK anlamında hukuki bir yükümlülüğü bulunmayacaktır.
KVKK ile GDPR’ın benzeştiği nokta, temsilci atamadır. GDPR’ın uygulandığı ülkelerde yani Avrupa Ekonomik Alanı’nda (31 ülke — AB üye ülkeleri ile birlikte, İzlanda, Lihtenştayn ve Norveç) yerleşik olmayan, ancak bu bölgedeki kişilerin verilerini işleyen şirketler, burada bir yerleşim yerine sahip olmasa da, GDPR uyarınca Avrupa Ekonomik Alanı içerisinde bir temsilci atamak zorundadırlar. Ülkemizde de, aynı sebeple yabancı şirketlerin veri sorumlusu temsilcisi atama zorunluluğunun bulunduğunu görmekteyiz.
• Veri Koruma Yöneticisi ne yapacak?
Görevi, sadece KVKK uyum projesinitamamlamakla değil, uyumun güncelliğinden ve yönetilmesinden de sorumlu olacaktır. Öncelikle Kanuna uyum sürecini yöneten bu kişinin görevi tanımlanmalıdır.
Şirketin veri mimarisi ve hukuki gereksinimler dikkate alınarak Veri Koruma Yöneticisinin görevleri ekseninde amaçları belirlenmelidir.
Veri Koruma Yöneticisi, amacı doğrultusunda görevini yerine getirirken, yönetim faaliyetini nasıl yürüteceğini ve bu süreçte kullanacağı araçları belirlemesigerekmektedir. Bu araçlar, şirketin iş akışları göz önüne alınarak koordineli bir şekilde belirlenmelidir. Faaliyetlerin nasıl yürütüleceği konusunda, şirket içinde işlerin önem sıralaması, risklilik düzeyi ve maliyet ölçütleri dikkate alınarak bir matris belirlenmelidir. Bu belirleme ile birlikte kullanılacak araçlar ortaya çıkmış olacaktır.
Veri Koruma Yöneticisinin görevi tanımlanırken, kişinin icrai (aktif) bir görevinin olup olmayacağı belirlenmelidir. Yani işletme organizasyonu içinde sadece Yönetim Kuruluna periyodik rapor sunmak suretiyle tavsiye niteliğinde değerlendirmeler mi yapacak, yoksa veri koruma yapısı içerisinde bir takım oluşturarak aktif nitelikte bir görev mi yürüteceği belirlenmelidir. Ancak nasıl çalışacak olursa olsun, her durumda şirket yöneticilerinin emir ve talimatlarıyla bağımlı olmaması gerekmektedir.
Veri Koruma Yöneticisinin görevlerini, şirketin yapısının veri koruma mevzuatına uyumunu gözetmek, göreviyle ilgili planlamalar yapmak, sorunlarla ilgili çözümler getirmek, veri envanteri oluşturmak, veri işleme süreçlerini politika ve prosedürlerle dokümante etmek ve bunları uygulamak, politikaların uygulanması için gerekli eğitim ve denetim çalışmalarını yürütmek, şirket ile 3. taraflar arasında yapılacak veri işleme aşamalarının (sözleşmeler gibi) işleyişini ve sınırlarını belirlemek, veri işleme iş akışları özelinde izleme araçları tesis etmek şeklinde sayabiliriz. Bu sayılanlar, elbette ki sınırlı sayıda değildir, artırılabilir, değiştirilebilir.
• Veri Koruma Yöneticisi nasıl belirlenecek, nereden seçilecektir?
Bir şirketin Veri Koruma yapısı, işletmenin iş yapış süreçleri yani şirketin DNA’sı göz önüne alınarak, teknolojik gelişmeler ışığında ve gerekli hukuki yeterlilikler ve yetkinlikler sağlanarak oluşturulmalıdır.
Dolayısıyla Veri Koruma Yöneticisi;
Hukuk Departmanlarından seçilebilir. Ancak Veri Koruma yapısının sadece hukuki bakış açısından oluştuğunu söylersek bu eksik kalır. Çünkü teknolojik gelişmeler ve işletmenin süreç mimarisi de dikkate alınarak uyum ve akabinde yönetim gerçekleştirilmelidir. Nitekim Veri Korumanın sadece bir mevzuat düzenlemesinden ibaret olduğunu söylemek yanlış olacaktır. Kaldı ki, bu sürecin yönetimi, sadece avukatlara özgü olan adli bir usul süreci yönetimi değildir.
Bilgi teknolojileri (IT) departmanı çalışanları, teknolojik yaklaşımlarının, yatkınlıklarının yeterliliği sebebiyle Veri Koruma Yöneticisi olarak tercih edilebilir ancak, kanunları anlama ve uygulama konusunda zorluk yaşayabilmektedirler. Kanunları anlamak sadece veri korumaya yönelik oluşturulan mevzuatı çözmek anlamına gelmez. Veri korumayı, hukukun bir dalı olarak, tüm hukuki disiplinler ile birlikte düşünmek isabetli olacaktır.
Diğer taraftan, bilgi teknolojileri departmanı, mevcut protokollerin uygulanması (yani veri koruma tedbirlerinin, yetkisiz erişimlerin, bilgi güvenliğinin uygulanması gibi) açısından veri koruma yapısının yönetiminde önemli rol oynamaktadır. Ancak, bu protokolleri uygularken karar ama yetkisinin bulunmadığından IT departmanında çalışan bir kişinin tek başına Veri Koruma yönetimi yapamayacağı ortadadır.
Şirketlerin yasal mevzuata ve şirket politikalarına uyumu, teftiş, mevzuat uyum, iç kontrol birimleri tarafından denetlenmektedir. Bu kapsamda bir mevzuat olan kişisel verilerin korunmasını, şirketin iş akışları özelinde hukuki ve teknik açıdan inceler ve denetlerler. Bu birimler için görev ihdas etmek, süreç tasarlamak söz konusu olmayıp, mevcut düzlemde uyumun denetimini gerçekleştirirler. Nitekim bir birimi, hem tasarlama hem de denetimle görevlendirmek, en nazik ifadeyle isabetli bir yaklaşım değildir. Ancak bu birimler, faaliyetlerine kişisel verilerin korunması özelinde bir denetim ve kontrol görevi eklemelidir. Bu çerçevede, sözü geçen birimlerin hem veri koruma yapısı tasarlayıp yönetmesi, hem de bunu denetlemesi, şirket içi menfaat çatışmasına sebep olacaktır. Dolayısıyla, bu birimlere sadece mevcudun denetimi faaliyetinde bulunmaları açısından yaklaşılmalıdır. Ayrıca, iç kontrol, teftiş gibi birimlerin, menfaat çatışmasına engel olmak adına mevcut organizasyondan bağımsız ancak ve sadece yönetim kuruluna, denetim komitesine bağlı olarak faaliyet gösterdiği unutulmamalıdır.
Sözün özü, Veri Koruma Yöneticisinden ziyade, veri koruma takımında bulunması gerekenler kişiler, bahsettiğimiz departmanlardan oluşturulabilir. Bu takımın başına ise şirketin yapısına göre Veri Koruma Yöneticisi atanabilir.
Risk düzeyi yüksek olan, kanuna uyum sağlamada menfaati yüksek olan ve sadece asgari kanuna uyum değil, çağdaş uygulamaları şirket uygulamaları haline getirmek isteyen şirketler, Veri Koruma Yönetimi için ayrı bir departman oluşturabilir. Bu şirketlere göre daha küçük olanlar, bahsettiğimiz ilgili departmanlardan çalışanlar seçerek, sadece yöneticisinin mevcut organizasyondan bağımsız olduğu, kurul veya komite niteliğinde bir yapı oluşturabilirler.
Unutulmamalı ki, veri koruma yönetiminin oluşturulması düşünülürken, bütçe gerçekleri de göz önüne alınmalıdır. Dolayısıyla, kusursuz, mükemmel bir yapıdan ziyade, başlangıçta asgari gereklilikler ve risk düzeyi dikkate alınarak hedefleme yapılmalıdır.
Tavsiyemiz, hukuk müşavirliği yönetiminde, IT eşliğinde ve süreçleri oluşturulmuş bir denetim mekanizması gözetiminde bir takım, kurul, komite oluşturulabilir.
Küçük işletmeler için, organizasyon içinden bir Veri Koruma Yöneticisi belirlenerek, ayrı bir departman oluşturmaksızın mevcut personele ek görevler ve eğitimler verilerek veri koruma yapısı oluşturulabilir. Veri koruma yöneticisinin KVKK anlamında aynı zamanda bir irtibat kişisinden seçilebildiğini uygulamada görmekteyiz.
Bir işletmenin veri koruma konusunda periyodik olarak danışmanlık alması faydasına olacaktır. Zira veri koruma yapısının ve kanuna uyum projesinin tamamlanmasından, kişilerin eğitimi ve veri koruma yapının denetimine kadar, mevcut organizasyonunda bir yapı bulundurmayan işletmeler için dışarıdan bir danışmanın uzmanlık alanından ve tecrübelerinden faydalanılması isabetli olacaktır. Ancak bir işin, tamamen danışmana delege edilmesi, işletmenin önceliklerinin, iş sürekliliğinin geri planda kalmasına neden olabilecektir. Çünkü, her kişinin önem verdiği hususlar ve bunlara yönelik bakış açısı farklılık arz eder. Bu nedenle işletmenin ve danışmanın entegre bir takım çalışması yürütmesi, işletmenin menfaatine olacaktır.
Diğer Blog Yazılarına Göz Atın
Apsis Editör Ekibi
2019 yılından bugüne kadar devlet teşvikleri alanında faaliyet gösteren Apsis Danışmanlık Hizmetleri, sağlık turizmi, imalat sanayi, ihracatçı işletmeler ile çeşitli KOSGEB ve TÜBİTAK projelerinde terzi usulü anlayışı profesyonel bir yaklaşımla yerine getirerek milyonlarca lira devlet desteğini işletmelere kazandırmaktadır.