VERİ KORUMA GÖREVLİSİNE İLİŞKİN USUL VE ESASLAR HAKKINDA TEBLİĞ RESMİ GAZETE’DE YAYIMLANDI. PEKİ, SÜREÇ NASIL İŞLEYECEK?
6 Aralık 2021 tarihli ve 31681 sayılı Resmi Gazete ile Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ (“Tebliğ”) yayımlanmış ve yürürlüğe girmiştir. Böylelikle “veri koruma görevlisi” kavramı hakkında mevzuatımızda ilk kez bir düzenleme yapılmışsa da Tebliğ’de yer alan ifadelerin net olmaması; Tebliğ’in uygulanmasına ilişkin pek çok soru işaretini de birlikte getirmiştir.
Tebliğ kapsamında, (TS) EN ISO/IEC 17024 standardına uygun olarak akredite olan ve Kurum tarafından yetkilendirilen “personel belgelendirme kuruluşları” tarafından yürütülecek sertifikasyon faaliyetleri ve kişilerin sertifikasyonuna ilişkin usul ve esaslar belirlenmiştir.
Tebliğ kapsamında mevzuatımıza “veri koruma görevlisi” kavramı getirilerek kişisel verilerin korunmasına ilişkin yükümlülüklerin veri sorumluları tarafından sağlanmasına yardımcı olmak ve bu konuda yetkin personelin yetiştirilmesi ve belirlenebilmesi amaçlanmaktadır.
Tebliğ ile öncelikle veri koruma görevlisi belgelendirme programı kapsamında bir eğitim programı öngörülmüş ve veri koruma görevlisi unvanına hak kazanmak isteyenlere bu eğitim zorunlu tutulmuştur. Buna göre söz konusu eğitim programını tamamlayanlara Kurum tarafından katılım belgesi verilecektir. Katılım belgesine sahip kişiler, veri koruma görevlisi sertifikası sınavlarına başvuru hakkı kazanacaktır. Sınavda başarılı olarak veri koruma görevlisi unvanını kullanmaya hak kazanan kişilerin ise sertifikalandırıldıkları program kapsamında kişisel verilerin korunması mevzuatı açısından yeterli bilgiye sahip olduğu ve sertifikalarının geçerlilik süresi boyunca (Olağan şartlarda dört yıl olarak öngörülmüştür.) bu unvanı kullanabileceği düzenlenmektedir.
Türk Akreditasyon Kurumu “personel belgelendirme kuruluşlarını” akredite etmek ile yetkilendirilmiş olup sertifikasyon süreçleri yetkilendirilen kuruluş tarafından yürütülebilecektir. Hâlihazırda bu yönde akredite edilen bir kuruluş bulunmamaktadır.
Tebliğ ile Sertifika Takip ve Doğrulama Bilgi Sistemi (“SERTABİS”) de kurularak sertifikasyon sürecinin şeffaf ve etkin şekilde yürütülmesi, sertifika sahibi kişilerin ve sertifikaların kapsamı ile geçerlilik süresinin kamuya açık bir şekilde sorgulanabilmesi amaçlanmaktadır.
Tüm bunlar ile birlikte belirtmek gerekir ki, Tebliğ’e konu olan veri koruma görevlisinin veri sorumluları nezdinde atanmasına ilişkin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK“) yasal bir yükümlülük bulunmamaktadır. Diğer bir deyişle, Tebliğ ve KVKK dâhil olmak üzere; yürürlükteki mevzuat kapsamında veri koruma görevlisi atanması zorunlu bir husus değildir. Aksine “Veri sorumlusunun ve/veya veri işleyenin bünyesinde veri koruma görevlisi istihdam etmesi, veri sorumlusunun ve veri işleyenin Kanuna ve ilgili mevzuata uyma sorumluluğunu ortadan kaldırmaz.” ifadeleri ile veri koruma görevlisi istihdam etmenin veri sorumlusunun hukuki sorumluluğunu ortadan kaldırmayacağı açıkça belirtilmiştir.
Veri Koruma Görevlisi sertifika sınavına başvuru şartı olarak en az dört yıllık lisans eğitimi veren herhangi bir fakülteden mezun olunmasının yeterli görülmesi ise uygulayıcılar tarafından tereddütle karşılanmaktadır. Zira hukuk eğitimi almamış kişilere “veri koruma görevlisi” unvanı verilmesi ve hukuki sorumluluğun veri sorumlusu tüzel kişilerin üzerinde olması veri koruma görevlisine güvenerek hareket eden tüzel kişiler açısından ciddi mağduriyetler doğurabileceği değerlendirilmektedir.
Sertifikasyon sürecinin yürütülmesine ve akreditasyon süreçlerine ilişkin diğer hususlar henüz netleştirilmemiş olup Kurum’un duyuruları ilgili veri sorumluları tarafından takip edilmelidir. Konu hakkında ayrıca bir gelişme olması halinde haberdar olmak için internet sitemizi takip edebilirsiniz.
Daha fazla bilgi için lütfen irtibata geçin;
Furkan Ökse | furkan.okse@kyolegal.com