Bir veri koruma sorumlusunun (DPO) atanması hususu AB Genel Veri Koruma Yönetmeliği’nde (GDPR) ayrıntılı olarak düzenlenmiştir. Belirli durumlarda zorunlu DPO ataması yapılmaktadır ve ,DPO rolüne ilişkin yasal yükümlülükler, yeterlilik ve ayrıca yetkiler ayrıca belirlenmektedir. Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca, veri sorumluları için DPO atama yükümlülüğü söz konusu değildir, ancak Veri Sorumluları Sicili Yönetmeliği’ne göre veri sorumlularının kayıt yükümlülüğünün yerine getirilmesi hususu düzenlenmektedir. KVKK kapsamında ve ilgili Yönetmelik kapsamında getirilen veri sorumlusu temsilcisi/irtibat kişisi rolleri ile GDPR kapsamında düzenlenen DPO hususu esasen farklı konular olmakla birlikte uygulamada karıştırılmaktadır.
Veri Koruma Sorumlusu (DPO) Rolünün Genel Veri Koruma Yönetmeliği (GDPR) ve Türk Hukukuna Göre İncelenmesi
GDPR Kapsamında DPO
GDPR uyarınca, DPO ataması, kamu kurumu olarak veri işleme faaliyetleri yürütülmesi ya da ilgili kişilerin geniş kapsam ya da miktarda özel nitelikli verilerin düzenli ve sistematik olarak kontrol edilmesi durumlarında hem veri sorumluları hem de veri işleyenler için zorunludur. Bir şirketler grubu bu yükümlülüğün yerine getirilmesi için tek bir DPO atayabilir, DPO bir çalışan ya da hizmet sözleşmesi ile şirkete bağlı bir üçüncü kişi de olabilir ve DPO’nun iletişim bilgileri yayınlanmalı ve ilgili veri koruma kurumuna iletilmelidir. Bağımsızlık DPO özelliklerinin en başında gelir. GDPR’ın 38. Maddesi DPO’nun veri korumaya ilişkin tüm hususlarda desteklenmesi ve tüm hususlara dâhil edilmesini, görevlerini yerine getirmek için herhangi bir talimat almamaları gerektiğini ve görevlerini yerine getirdikleri için kendilerine yaptırım uygulanamayacağını açıkça düzenlemiştir. DPO organizasyonda doğrudan en üst yönetime rapor verir. Ayrıca DPO’nun kuruluş içinde ya da dışında başka vazife ve görevleri varsa, bu durumda kuruluşlar DPO’nun görevi ile herhangi bir çıkar çatışmasının söz konusu olmamasını temin etmelidir. DPO’nun veri güvenliğine ve gerekli yeterliliklere ilişkin yeterli düzeyde uzmanlığı olması da yine aranan niteliklerdendir.
Uygulamada, DPO’nun avukat ya da siber güvenlik uzmanı olması zorunluluğu söz konusu değildir ancak kişisel verilerin korunması hukukuna ilişkin uzmanlık bilgisi olmalı ve GDPR’ın 39. Maddesinde öngörülen şekilde; kuruluşa veri işleme faaliyetlerine ilişkin ve veri etki değerlendirmesine ilişkin tavsiyede bulunma, ilgili veri koruma otoritesi için irtibat noktası olarak davranma ve uyum kontrolü de dâhil görevleri yerine getirebilecek olmalıdır.
KVKK Kapsamında Veri Sorumlusu Temsilcisi/İrtibat Kişisi
Veri Sorumlusu Sicili Yönetmeliği uyarınca, Türkiye’de yerleşik veri sorumlularının ya da Türkiye’de kişisel veri işleyen yabancı veri sorumlularının, VERBİS olarak adlandırılan Türkiye’deki Veri Sorumluları Siciline kaydolmaları gerekmektedir. Türk veri sorumluları açısından VERBİS’e kayıt olunması için belirli kurallar, ya da eşikler mevcuttur (çalışan sayısı ve Bilanço Rakamları), oysa yabancı veri sorumluları açısından bir eşik öngörülmediğinden, Türkiye’de Veri işleyen her yabancı veri sorumlusu VERBİS’e kayıt olmalıdır.
VERBİS kaydı için, veri sorumluları tarafından Türk vatandaşı olan ya da tüzel kişiliğini haiz bir veri sorumlusu temsilcisi/irtibat kişisi atanmalıdır. Temsilcinin yükümlülükleri yönetmeliğin 11. Maddesinde açıkça belirtildiği üzere, kuruluşlarda veri sorumlusu tüzel kişidir ve orada sorumlu olanlar bireyler değildir. Kişisel verilerin Korunmasına ilişkin sorumluluklar kuruluşun yetkili organları tarafından yerel kanunlarca yerine getirilecektir. Ayrıca şirketi temsile yetkili kişiler KVKK yükümlülüklerini yerine getirmek için de atanabilirler. Ancak bu yükümlülük ile kuruluş veri sorumlusu olarak sahip olduğu yükümlülüklerden muaf tutulmaz. Veri sorumlusu temsilcisi Yönetmeliğe göre belirlenen aşağıdaki asgari yetkilerle atanır:
• Kurum tarafından yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etme
• Kurum tarafından veri sorumlusuna yöneltilen talepleri veri sorumlusuna iletme, veri sorumlusundan gelecek cevabı Kuruma iletme,
• İlgili kişilerin veri sorumlusuna yönelteceği başvuruları veri sorumlusu adına alma ve veri sorumlusuna KVKK uyarınca iletme,
• İlgili kişilere KVKK uyarınca veri sorumlusunun cevabını iletme,
• Veri sorumlusu adına Sicile ilişkin iş ve işlemleri yapma.
Bu açıdan bakıldığında, KVKK kapsamındaki veri sorumlusu temsilcisi/irtibat kişisi ile, GDPR kapsamındaki DPO rolü ile aynı sorumlulukları ve yetkileri taşımamaktadır.
Kişisel Veri Koruma Kurumuna göre irtibat kişisi olarak atanmasına rağmen, özel bir görev ile atanmadıkça ya da ilgili kanunlara göre yetki verilmedikçe, irtibat kişisinin/temsilcinin herhangi bir sorumluluğu söz konusu değildir. VERBİS için atanan temsilciler zaten şirketi temsile yetkili ise, kuruluş tarafından çıkarılan geçerli bir yetkilendirme/ atama kararı olmadığında, tek başına temsile yetkili olması, irtibat kişisinin KVKK kapsamında veri koruma sorumluluğu açısından meydana gelen yükümlülükleri de taşıyacağı anlamına gelmemektedir.
Türk Hukuku’na göre DPO Atanması
Türk hukukunda, belirtildiği gibi DPO ataması zorunlu değildir ancak VERBİS yükümlülüğü altındaki kuruluşlar bir irtibat kişisi ya da veri sorumlusu temsilcisi atamalı ve asgari düzeyde yetkileri onlara tanımalıdırlar.
Veri sorumlusu temsilcisi atanması temsilci için özel sorumluluklar getirmemektedir. Ancak, GDPR kapsamında DPO ataması yapmaya istekli olan kuruluşlar, ticari mümessil atarken Ticaret Hukuku kurallarına riayet etmeli ve veri koruma uzmanlığı ile uyum ve kontrolü sağlayacak bir kişinin seçilmesi, yetkilerin verilmesi ve bağımsızlığın sağlanması gerekmektedir. Bundan sonar birey veri koruma sorumlusu olarak ilgili sorumlulukları haiz olabilir.
Türk Hukukuna uygun olarak bir DPO atanırsa, şirketin ilgili yetkili organı, basiretli bir tacir gibi hareket ederek veri koruma sorumlusunu atadığını, atama için gerekli tüm işlemleri tamamladığını, DPO’ya tüm gerekli yetkileri verdiğini ve onu desteklediğini kanıtladığında, DPO tarafından sebebiyet verilecek herhangi bir görevi kötüye kullanma ya da ihlal söz konusu olduğunda, şirketin DPO’ya rücu imkânı gündeme gelebilecektir.
Şirketlerin rücu imkânının olup olmayacağına ilişkin her durumun detaylıca değerlendirilmesi gerektiğini söylemekte yarar var ancak şirketler DPO rolünü oluşturmak istiyorlarsa, ticari mümessil atanmasına ilişkin en azından asgari Ticaret Hukuku kurallarını dikkate almalı ve GDPR tarafında belirtilen kuralları örnek almalıdırlar. Eğer DPO’nun ilgili veri sorumlusu şirkette herhangi bir bağımsızlığı yoksa ortaya çıkabilecek sorumluluğun DPO’ya yüklenebileceğini düşünmüyoruz. Bu alanda belirli bir içtihat bulunmamaktadır, ancak veri sorumlusu şirketlerin yetkili organlarınca atanan diğer temsilcilerden yola çıkarak, ilgili durumlarda, ticari mümessillerin kişisel olarak sorumlu tutulması söz konusu olabilir.
Türkiye’deki kuruluşlar kendi çalışanları arasında bir kişiyi temsilci olarak atamayı ve Türkiye’de bir varlığı olmayan yabancı şirketler ise sadece VERBİS yükümlülüğünü yerine getirmek için 3. Kişi hizmet sağlayıcıları temsilci olarak atamayı tercih etmektedirler. Bu itibarla DPO rolü Türkiye’de uygulamada nadiren görülmektedir ve genel olarak halihazırda DPO uygulaması bulunan kuruluşlarda da tam olarak GDPR anlamında DPO yetkileri ve rolü verilmemekte ya da bu amaçla gerekli ticaret hukuku anlamında yetkilendirme yapılmamakta, tam bağımsız olarak görevlerini yerine getirmeleri için organizasyonu temsil ve ilzam yetkisi verildiği görülmemektedir.
First published by IAPP - Privacy Perspectives, in 29.07.2021
-----