Çalışmamız kapsamında 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında veri sorumlusu ve veri koruma görevlisi kavramları ayrı ayrı incelenecektir. Bu kavramların hemKVKK hem de GDPR kapsamında ele alınıp alınmadıkları, ele alınmışlarsa nasıl tanımlandıkları ve hangi yükümlülük ve yetkilerin verilmiş olduğunu tartışacağız.
1982 tarihli Türkiye Cumhuriyeti Anayasası’nın ikinci kısmı, kişilerin temel hak ve ödevleri hakkındaki düzenlemeleri içermektedir. Anayasa’nın işbu kısmında madde 20’de en önemli temel hak ve ödevlerden biri olan özel hayatın gizliliği düzenlenmiştir. 2010 yılında yapılan Anayasa değişikliği sonucu bu madde çerçevesinde bir değişikliğe gidilerek yeni bir fıkra eklenmiştir. Böylece ilk kez Türk pozitif hukukunda kişisel verilerin korunması hakkı Anayasal bir güvenceye alınmıştır. Kişisel verilerin korunması konusunda gerekli düzenlemelerin kanunla yapılması da Anayasal bir hüküm olarak getirilmiştir.1 Kişisel verilerin korunması kavramının bir temel hak ve ödev olarak düzenlenmesi 2010 yılında olmasına rağmen Anayasa tarafından öngörülen Kanun’un çıkması ise bu tarihten tam olarak 6 yıl sonrasına tekabül etmektedir.
Kişisel Verilerin Korunmasına yönelik olarak bir kanun çıkartılması maksadıyla uzun yıllar boyunca pek çok defa yasama girişimleri olmuştur. İlk olarak 1989 yılında bir komisyon ihdas edilerek kişisel verilerin korunması hakkında bir kanun çıkartmak üzere çalışmalarına başlamıştır. Ne yazık ki bu komisyon çalışmalarını tamamlayamadan dağılmıştır. Bu girişimden tam on bir sene sonra, 2000 yılında, yeni bir komisyon oluşturulmuştur. Üç yıllık bir çalışmanın ardından komisyonca ortaya çıkarılmış olan kanun tasarısı bir türlü yasalaşamamıştır. Bunun üzerine Adalet Bakanlığı harekete geçerek 2008 ve 2014 yılında yeni bir tasarı sunmuş fakat her iki tasarı da kadük kalmıştır. Yani Türkiye Büyük Millet Meclisinde kabul ya da reddolunmadan Meclis’in yasama dönemi sona erdiğinden bir sonuç alınamamıştır.
Son olarak pozitif hukukumuzun en önemli enstrümanlarından biri haline gelmiş olan 6698 sayılı Kişisel Verileri Koruma Kanunu 24 Mart 2016 tarihinde TBMM tarafından kabul edilmiştir. İşbu kanun 7 Nisan 2016 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. 6698 sayılı Kişisel Verilerin Korunması Kanunu hazırlanırken Avrupa Parlamentosu’nun1995’te kabul ettiği 95/46/EC sayılı direktifinden yararlanılmıştır.
Avrupa Birliği, kişisel verilerin korunması konusunda mevzuat hazırlamak konusunda ise Türkiye’den daha atik davranmıştır. Hiç şüphesiz bu durumun ortaya çıkmasındaki en önemli sebep Avrupa Birliği üyesi devletlerin teknolojik olarak gelişmişlik düzeylerinin ileri bir safhada olmasıdır. Zira teknolojik gelişmelerin getirmiş olduğu zafiyetler kişisel verilerin korunmasını zorunlu hale getirmiştir. Elbette böyle bir mevzuatın hazırlanmasını yalnızca teknolojik gelişmelerin yarattığı bir zafiyetle açıklamak mümkün değildir. Bir diğer en önemli neden ise AB’nin sahip olduğu hukuki farkındalık düzeyidir. Böylece AB ülkeleri bu konuda hukuki zeminin oluşturulmasında öncü rol oynamışlardır. İlk olarak 24 Ekim 1995 tarihinde “96/46/AT Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi” yayımlanmıştır. Bu direktif ise değişen çağ karşısında tutunamamış ve yeni ihlalleri önlemekte yetersiz olmuştur.
Bunun üzerine 24 Mayıs 2016 tarihinde GDPR adı ile bilinen Avrupa Birliği Genel Veri Koruma Tüzüğü kabul edilmiş ve 25 Mayıs 2018 tarihinde yürürlüğe girmesi üzerinde
anlaşılmıştır.
Bizim 6698 sayılı Kişisel Verileri Koruma Kanunu’muzun dayanağını Anayasa’nın 20. maddesinden alması gibiGDPR(Avrupa Birliği Genel Veri Koruma Tüzüğü) da dayanağını iki önemli metinden almaktadır. Bunların ilki Avrupa Birliği Haklar Bildirgesi olup kişisel verilerin korunması Bildirge’nin 8. maddesinde düzenlenmiştir. Bunların ikincisi ise Avrupa Birliği’nin işleyişine dair antlaşma olup Antlaşma’nın 16. maddesinde kişisel verilerin korunması hakkı göze çarpmaktadır.
Veri sorumlusu kavramı, Kişisel Verileri Koruma Kanunu’nun tanımlar başlıklı üçüncü maddesinin birinci fıkrasının ı bendinde tanımlanmış olup veri koruma görevlisi gibi bir kavram tanımlanmamış ve düzenlenmesine de rastlanılmamaktadır. GDPR’da ise “data controller” ismiyle düzenlenmiş makam Türkçe’ye veri kontrolcüsü olarak çevrilmiş olsa da KVKK’daki veri sorumlusu kavramını karşılamaktadır. “Data controller” kavramı GDPR’ın Tanımlar başlıklı 4. maddenin 7. Fıkrasında ve Kontrolör ve İşleyici başlıklı 4. bölümünde 24. madde ve devamında düzenlenmiştir. KVKK’dan farklı olarak, veri sorumlusu kavramının yanında, GDPR’ın Kontrolör ve İşleyici başlıklı 4. bölümünde 37. madde ve devamında “data protection officer” adıyla veri koruma görevlisi kavramı da düzenleme alanı bulmuştur.
Veri sorumlusu kavramı hakkında yazmaya başlarken şüphesiz öncelikle Kanun’da nasıl tanımlandığına ve Kanun’un veri sorumlusuna ne gibi yükümlülükler yüklediğinden
bahsetmek gerekir.
6698 sayılı Kişisel Verileri Koruma Kanunu’nun tanımlar başlıklı üçüncü maddesinin birinci fıkrasının ı bendine göre veri sorumlusu: “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmıştır. Bununla beraber başkaca hükümlerde veri sorumlusu için çeşitli yükümlülükler getirilmiştir. Veri işleme faaliyetinin 6698 s. KVKK m. 4’teki genel ilkelere uygun yürütülmesi, veriler işlenmeden önce ya da en geç işlenirken verisi işlenen kimse olan ilgili kişiye karşı aydınlatma yükümlülüğünün yerine getirilmesi, 6698 s. KVKK m. 12’de verilerin güvenliği konusunda ihdas edilmiş yükümlülüklerin yerine getirilmesi ve Kanun’un öngördüğü şartları taşıyan veri sorumlularının Veri Sorumluları Sicil Bilgi Sistemi (VERBİS)’ne kayıt olmaları veri sorumluları için düzenlenmiş başlıca yükümlülükler olarak göze çarpmaktadır.
6698 sayılı Kişisel Verileri Koruma Kanunu’na göre tüzel kişiler de veri sorumlusu olabilmektedir. Veri işleme faaliyetlerini gerçekleştiren tüzel kişilerin kendileri veri sorumlusu kabul edilir. Bu kapsamda ise özel hukuk tüzel kişileri ile kamu hukuk tüzel kişileri arasında bir ayrım yapıldığı söylenemez. Şirketlerin ilgili birimlerinin veri sorumlusu olarak kabul edilmeleri mümkün olmaz. Zira 6698 s. KVKK m. 3’e göre veri sorumlusu ancak bir gerçek ya da tüzel kişi olabilecektir. Halbuki şirketin birimlerinin bir tüzel kişiliği olduğundan söz edilemeyecektir. Ancak eğer bir şirketler grubu söz konusu ise o halde her şirketin ayrı bir tüzel kişiliği söz konusudur. Bu durumda tek bir veri sorumlusundan söz etmek yerine ayrı ayrı her şirketin bir veri sorumlusu olduğundan söz etmek gerekir. Aslında veri sorumlusunun başlıca yetkisi veri işleme faaliyetlerine ilişkin kararların alınmasıdır. Kişisel veriler işlenirken hangi amaç güdülmekte ve hangi yöntemlerle bu veriler işlenecek sorularının cevaplarını veri sorumlusu vermektedir. Yani kişisel veriler neden ve nasıl işlenecek sorularının cevabı veri sorumlusunun uhdesine verilmiştir.
Kişisel Verileri Koruma Kurulunun 30/01/2020 tarihli ve 2020/71 sayılı Kurul kararına göre veri sorumlusunun tespit edilebilirlik kriterleri belirlenmiştir. Buna göre:
karar veren kişi veri sorumlusu olarak kabul edilmektedir.
Yukarıda da bahsettiğimiz gibi kişisel verilerin işlenmesi konusundaki yükümlülükler çoğunlukla veri sorumlusunun uhdesindedir. Bu durum kişisel verilerin işlenmesi sürecindeki diğer aktörler ve veri sorumlusu arasında kolayca ayrım yapılabilmesi ihtiyacını doğurmuştur. Zira bu yükümlülükleri uhdesine almış olan veri sorumlusunun yükümlülüklerini tam olarak yerine getirmesi ve gerektiğinde menfaat ihlalinin önlenmesi yahut yaptırım uygulanması açısından veri sorumlusu ve veri işleyen kavramlarının farklarının ortaya konulması şarttır.
Veri işleyen kavramı 6698 s. Kişisel Verileri Koruma Kanunu’nun tanımlar başlıklı üçüncü maddesinin birinci fıkrasının ğ bendinde düzenleme alanı bulmuştur. Buna göre veri sorumlusundan aldığı yetkiyle verileri işleyen gerçek veya tüzel kişiye veri işleyen denir. Lakin veri işleyen bu verileri işlerken kendi adına bir faaliyet yürütmemektedir. Yani veri işleyen, yürütmüş olduğu veri işleme faaliyetini tamamen veri sorumlusunun adına yapmaktadır. Yine gözden kaçırmamak gerekir ki Kanun, veri işleyenin de bir gerçek ya da tüzel kişi olduğunu düzenlemiştir. Bu sebeple veri sorumlusu bir tüzel kişi şirketin departmanları veri işleyen olarak kabul edilemez. Zira şirketin tüzel kişiliği vardır; departmanlarının ise böyle bir kişiliği olduğundan söz edilemez. Veri işleyen, veri sorumlusundan aldığı yetkiyle eline geçen verileri kendisi bir faaliyet gerçekleştirerek toplamamaktadır. Kaldı ki veri işleyen işbu verileri kendi menfaatleri çerçevesinde kullanamaz. Veri sorumlusundan aldığı verileri yine veri
sorumlusunun dikte ettiği şekilde saklamakla mükelleftir.
Kişisel Verileri Koruma Kurumu’nun hazırlamış olduğu 2016 tarihli “Veri Sorumlusu ve Veri İşleyen” isimli kitapçıkta veri işleme faaliyetinin teknik kısımları konusunda veri işleyen sorumlu gösterilirken; bu faaliyetlere ilişkin kararların alınmasında ise veri sorumlusu yetkili gösterilmiştir.
Kurulun 2020/71 sayılı kararında veri sorumlusu, “kimseden emir ve talimat almayan, özerk ve bağımsız ve veri işletme faaliyetinde emir ve talimat veren” kişi olarak tanımlanmıştır. Veri işleyenin ise mutlaka veri sorumlusu adına hareket etmesi ve ancak veri sorumlusundan almış olduğu yetkiler çerçevesinde aksiyon alması gerekmektedir.
Kanun’da her ne kadar veri işleyen kavramı tanımlanmış olsa da ayrı bir başlık altında düzenlenmemiş olması ve yalnızca kısa göndermelerle refere edilmesi hukuki bir problemdir.
6698 sayılı Kişisel Verileri Koruma Kanunu 7 Nisan 2016 tarihli Resmi Gazete yayımlanarak yürürlüğe girmiştir. Veri işleme faaliyetlerinin kanunda gösterildiği şekilde işlenmesine ilişkin yükümlülükler yayım tarihinden itibaren geçerli olmuştur. Kanun’un yayımlanmasından önce işlenmiş veriler için ise veri sorumlularına 2 yıllık bir süre tanınarak Kanun’a uygun hale getirilmesi istenmiştir.
KVKK’nın veri sorumlularına getirdiği yükümlülükler temelde beş başlık altında toplanabilir:
1- Veri Sorumlusunun Aydınlatma Yükümlülüğü
2- Veri Sorumlusunun Veri Güvenliğine İlişkin Yükümlülüğü
3- Veri Sorumluları Siciline Kayıt Yükümlülüğü
4- İlgili Kişiler Tarafından Yapılan Başvuruların Veri Sorumlusu Tarafından
Cevaplanması Yükümlülüğü
5- Kişisel Verileri Koruma Kurumu Tarafından Verilen Kararların Yerine Getirilmesi
Yükümlülüğü
6698 s. Kişisel Verileri Koruma Kanunu m. 10 ve 11’de veri sorumlusunun aydınlatma yükümlülüğü düzenlenmiştir. KVKK m. 18’de ise aydınlatma yükümlülüğüne aykırı hareket eden veri sorumluları için uygulanacak yaptırım düzenlenmiştir.
Kanun, kişisel verileri işlenen ilgili kişilere bir çeşit bilgi edinme hakkı tanımıştır. Buna göre veri işleme faaliyeti çerçevesinde verisi işlenen kimsenin verilerinin işlenme sürecinden haberdar olması hedeflenmiştir. İlgili kişiye bu çerçevede; verilerini kimin işleyeceği, bu verilerin hangi saik ve hukuki dayanaklarla işleneceği, hangi saikle hangi üçüncü kişilere aktarılabileceği hususunda bilgi verilmek zorundadır.
Kanun’un 10. maddesine göre veri sorumlusu, aydınlatma yükümlülüğü çerçevesinde kanun gereği vermesi zorunlu olan bilgileri kendisi bizzat verebileceği gibi yetkilendirdiği bir kişi aracılığıyla da verebilir. Veri sorumlusu veya veri sorumlusunun temsilcisinin kim olduğu, verilerin işleme faaliyetinin hangi saikle yapılacağı, hukuki dayanakları ve aktarıldığı zaman hangi amaçla ve kimlere aktarılacağı konularındaki aydınlatma yükümlülüğü 6698 s. KVKK m. 10’da düzenlenmiştir. Ayrıca KVKK m. 11’de başkaca hakları sayılan ilgili kişiye aydınlatma yükümlülüğü çerçevesinde çeşitli konularda başvuru ve bilgi edinme hakkı
getirilmiştir:
Buna göre ilgili kişinin, kişisel verilerinin işlenip işlenmediğini öğrenme hakkı, verilerinin hangi üçüncü kişilere aktarıldığını bilme hakkı ve en önemlisi hukuka aykırı işlenmesi halinde veri işleme faaliyetinden doğan zararlarının tazminini isteme hakkını haizdir.
Veri sorumlusu, ilgili kişinin verilerini işlerken açık rızasını alarak ve Kanuni şartlara uygun hareket ediyor olsa bile aydınlatma yükümlülüğünden kaçınamaz. Veri işleme
faaliyetinin olduğu her durumda ilgili kişi mutlaka bilgilendirilmelidir. Aksi halde Kanun’un öngördüğü yaptırımlarla karşılaşılacaktır. Bu yaptırım da KVKK m. 18 gereği alt sınırı 5.000TL olan ve üst sınırı 100.000 TL olan idari para cezasıdır.
6698 sayılı Kişisel Verileri Koruma Kanunu m. 12’de kişisel veri güvenliğine ilişkin olarak veri sorumlusuna yüklenen sorumluluklar düzenleme altına alınmıştır. Buna göre veri sorumlusunun başlıca üç adet kanuni yükümlülüğü bulunmaktadır:
Bu sebeple veri sorumlusu gerekli güvenlik tedbirlerini almalıdır. Bu tedbirlerin mahiyeti ise yalnızca hukuki veya yalnızca idari değildir; veri sorumlusu her türlü teknik, idari
ve hukuki tedbire başvurabilir.
Veri işleyen; işbu faaliyetini veri sorumlusundan aldığı yetkiye dayanarak, veri sorumlusu adına işlemektedir. Bu noktada gereken önlemlerin alınması yalnızca veri işleyenin
yahut yalnızca veri sorumlusunun borcu değildir. Bu durumda her ikisi de bu tedbirlerin alınması noktasında müteselsilen sorumludur.
6698 s. Kişisel Verileri Koruma Kanunu m. 12 çerçevesinde veri sorumlularının denetim yükümlülüğü kurumu ihdas edilmiştir. Buna göre veri sorumluları, Kanuni bir veri
işleme faaliyeti yürütülmesi için denetleme mekanizması görevini göreceklerdir. Bizatihi olmasa bile üçüncü kişi veya kişiler aracılığıyla bu denetim faaliyetlerini yaptırmak
zorundadırlar. İşlenen veriler konusunda veri işleme faaliyetini yürüten aktörlerin bu veriler hakkında gizlilik prensibine uyması gerekmektedir. Bu bir nevi sır tutma yükümlülüğüne benzetilebilir. Buna göre veri sorumlusu ve veri işleyen, bu verileri görevleri sona erse dahi açıklayamaz ve amacı dışında kullanamaz. Eğer işlenmiş olan kişisel veriler bir şekilde kötü niyetli üçüncü kişilerce ele geçirilmesi durumunda verilerin güvenliği ilkesi gereği veri sorumluları, durumu derhal Kişisel Verileri Koruma Kurulu’na bildirmekle mükelleftir.
Veri sorumlularının kaydolması gereken bir sicil oluşturulması da Kanun’un getirdiği en önemli yeniliklerden biridir; ancak kanuni olarak bazı istisnalar getirilmekle beraber
VERBİS denilen bu sicile kaydolmak tüm veri sorumluları için zorunlu değildir. Kurulun bir kararında VERBİS’e kaydolması zorunlu olan veri sorumluları üç başlıkta toplanmıştır:
Veri Sorumluları Sicili’ne (VERBİS) kaydolmak zorundadırlar.
Veri sorumluları, Kanun’un uygulanmasıyla yükümlüdür. İlgili kişiler veri işleme faaliyeti noktasında Kanun’un uygulanmasını talep edebilirler. Bu durumda veri sorumlusu 30 günü aşmamak kaydıyla kanuni süre içinde işbu talepleri cevaplandırmak zorundadır. Bunun için ilgili kişi kural olarak bir ücret ödemez; ancak belli bir maliyet gerekiyorsa o halde Kurul’un belirleyeceği asgari ücret tarifesi uygulanır. Eğer cevap yetersiz ise veya başvuru cevapsız bırakılmışsa bu durumda Kurul’a şikayet yolu açıktır.
Kişisel Verileri Koruma Kurulu kararlarının uygulanması ihtiyari bir karar değildir. Kurul kararları veri sorumluları açısından tıpkı Anayasa Mahkemesi kararlarının Türkiye
Cumhuriyeti yargı organlarının üzerinde olduğu gibi bir etkiye sahiptir. Yani bu kararlar herkes için bağlayıcıdır. Veri sorumlusu kararın kendisine tebliğinden itibaren 30 gün içinde gereğini yapmak zorundadır. Böylece ihlal ortadan kaldırılmış olur.
Veri sorumlusu kavramı Avrupa Birliği Genel Veri Koruma Tüzüğü’nde de karşılığı bulunabilen bir kavramdır. Kısaca GDPR olarak adlandırılan Genel Veri Koruma Tüzüğü’nde veri sorumlusu kavramı “data controller” olarak karşımıza çıkmaktadır. Türkçe’ye veri kontrolcüsü ya da veri sorumlusu olarak çevrilen bu kavram tanım ve uygulama noktasında KVKK’da tanımlanan veri sorumlusu kavramını karşılamaktadır. Genel Veri Koruma Tüzüğü’nün tanımlar başlıklı 4. maddesinin 7. fıkrasında ve kontrolör ve işleyici başlıklı 4. bölümünün 24. maddesi ve devamında düzenlenmiştir.
GDPR’ın tanımlar başlıklı 4. maddesinin 7. fıkrasındaki veri sorumlusu kavramına karşılık gelen “controller” kavramı “yalnız başına veya başkalarıyla birlikte kişisel verilerin
işlenmesine ilişkin amaçlar ve yöntemleri belirleyen gerçek veya tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organdır…” şeklinde tanımlanmıştır.
Kişisel verilerin hangi saiklerle, nasıl işleneceği veri sorumlusu tarafından belirlenmektedir. GDPR kapsamında veri sorumlusunun yetkisini refere eden iki kelime ön plana çıkarılmaya devam edilmektedir. Avrupa Komisyonuna göre veri sorumlusu, veri işleme faaliyetinde neden ve nasıl sorusunun cevabını verecek olan makamdır. Avrupa Komisyonu ayrıca müşterek veri sorumlusu olabileceğini kabul etmiştir. Buna göre GDPR kapsamında müşterek veri sorumlusu kavramı söz konusudur. Fakat bu müşterek veri sorumluları kendi sorumluluk alanlarını belirleyen bir anlaşmaya varmalıdırlar. Bu anlaşmanın detayları ise ilgili kişilere mutlaka iletilmelidir. Veri işleyen ise GDPR kapsamında “data processor” olarak düzenlenmiştir. Yine aynı şekilde veri işleyen kişi bunu kendi adına değil; veri sorumlusunun
adına yapmaktadır.
KVKK’ya nazaran daha detaylı bir yükümlülük düzenlemesi yapılmıştır. Sorumluluk rejiminin daha detaylı olmasının nedenlerinden biri de GDPR’da veri sorumlusu ve veri
işleyenden başka veri koruma görevlisi gibi bir kurumun ihdas edilmiş olmasındandır.
Buyükümlülükleri:
Veri sorumlusu, veri işleme faaliyetini gerçekleştirirken mutlaka GDPR mevzuatına uygun olarak bu faaliyetini gerçekleştirmelidir. Bu adaptasyonu gerçekleştirmek için de gerekli her türlü önlemi almak zorundadır. Bu tedbirlerin mahiyeti ise hukuki, idari ve teknik olabilir. GDPR m. 5’te kişisel verileri işleme faaliyetini yürüten veri sorumlusunun altı ilkeye uyması beklenmektedir. Bu ilkeler:
Veri sorumlusu, GDPR mevzuatına ve belirlenen ilkelere uygun olarak işleme faaliyeti yürüttüğünü mutlak surette ispat etmelidir. Aldığı tedbirlerin yerinde ve yeterli olduğunu, şartların değişmesiyle aldığı tedbirlerin de bu değişen şartlara göre uyarlandığını ispatlamalıdır.
Veri Koruma Görevlisi adlı bir makam 6698 sayılı KVKK’da düzenlenmemiştir. GDPR’da ise kontrolör ve işleyici başlıklı 4. bölümde 37. madde ve devamında “data protection officer” olarak düzenleme alnı bulmuştur.33 Data protection officer kavramının Türkçe’ye çevirisinde bazı tartışmalar ve anlaşmazlıklar mevcuttu. KVKK’da düzenlenmeyen bir kurum olduğundan ve Kurulca 2021 Aralık ayı sonuna kadar bir tebliğ yayımlanmadan önce bu kavramı veri koruma görevlisi veya veri koruma memuru olarak çevirenler vardı. Memur kelimesi bu makam için kullanılması çok yerinde olmayan bir kavramdı. Zira memur kavramı devlet için çalışan görevliler hakkında kullanılagelen bir kavramdır. Bu sebeple kurum içinde çalışan bir kimseyi tanımlayan officer kelimesi için görevli kavramının kullanılması yerinde olacaktır. O halde data protection officer kavramı için veri koruma görevlisinin kullanılması isabetlidir.34 Zira Aralık 2021’de Kurul tarafından yayımlanan ilgili Tebliğ’de Kurul’un da veri
koruma görevlisi kavramını kullandığını görmekteyiz.
GDPR kapsamında düzenleme alanı bulan veri koruma görevlisi, veri sorumluları tarafından atanan ve veri sorumlularının GDPR hükümlerine göre görevlerini yerine getirmesi hakkında yetkili olan kişidir. Veri koruma görevlisi veri sorumlusu tarafından veri sorumlusu tüzel kişinin bir çalışanı olabileceği gibi üçüncü bir kişi de olabilmektedir. GDPR veri koruma görevlisinin görevleri hakkında detaylı düzenlemeler yapmamıştır. Bunun yerine başlıca iki kriter vardır: Bunlar biri GDPR mevzuatı ve uygulaması konusunda uzman bilgisine sahip olması ve ikincisi de veri koruma görevlisi görevini yerine getirebilecek yeteneklere sahip olmasıdır.
Veri koruma görevlisi her ne kadar veri sorumluları tarafından atanıyor olsa da bütün faaliyetlerini bağımsız olarak gerçekleştiren, hiçbir yerden hiçbir şekilde talimat almayan ve böylece şirket içindeki kişisel veri işlenme hususunu takip eden kişidir. Veri koruma görevlisinin başlıca görevleri GDPR hükümlerine uygunluğun takibi, farkındalık artırıcı eğitimler düzenlemesi, uygunluğun denetimi, kurul ile işbirliği ve iletişim/irtibat noktası olması olarak sayılabilir.
Kanaatimce GDPR veri koruma görevlileri için tıpkı mahkemelerin bağımsızlığı ve hakimlik teminatına benzer bir düzenleme getirmiştir. Buna göre veri koruma görevlileri görevlerinde bağımsız olup hiçbir şekilde emir ve talimat alamazlar; ayrıca yaptıkları görev nedeniyle teminata sahiptirler. Üstelik doğrudan üst düzey yöneticilere raporlama yapma hakları vardır. GDPR’a göre şu koşullarda bir veri koruma görevlisi atanacaktır:
KVKK, veri sorumluları için her ne kadar denetim yükümlülüğü getiren hükümlere sahipse de bizim hukukumuza göre veri sorumlusu başlı başına bir denetim mekanizması değildir. Veri sorumlusu her iki hukuk düzeninde de verilerin neden ve nasıl işleneceğinin cevabını veren bir makamdır halbuki veri koruma görevlisi GDPR tarafından tam bir uyum ve denetim mekanizması olarak donatılmıştır.
KVKK’da bu konuda bir düzenleme yer almamaktadır. Ancak Kişisel Verileri Koruma Kurulu tarafından 6 Aralık 2021 tarihinde “Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ” isimli bir tebliğ yayımlanmıştır.39 Bundan bir gün sonra 7 Aralık 2021 tarihinde ise bu tebliğ kapsamında “Veri Koruma Görevlisi Belgelendirme Programı” duyurulmuştur.40 Bunun üzerine Ankara ve İzmir baroları harekete geçerek ilgili düzenlemelerin iptalini Danıştay’da dava etmişlerdir. Zira Baroların iddialarına göre kişisel verileri koruma alanı bir hukuk disiplinidir. 1136 sayılı Avukatlık Kanunu m. 35’e göre ise hukuki danışmanlık ve işlemleri yapma yetkisi sadece avukatlara aittir. Bu durumda ilgili tebliğin, dört yıllık lisans mezunu herkesin olabileceği bir veri koruma görevlisi makamı ihdas etmesinin bu kanuna aykırı olduğunu iddia etmişlerdir. Ayrıca dava dilekçelerinde, Kanun’la düzenlenmeyen bir makamın idarenin düzenleyici işlemleriyle getirilmesinin normlar hiyerarşisine ve hukuka aykırı olduğunu öne sürmüşlerdir.
Tebliğ üzerine çıkan tartışmalardan sonra Kişisel Verileri Koruma Kurulu ise 10 Aralık 2021 tarihinde bu konuda bir duyuru yayımlamıştır. Buna göre ilgili tebliğin yalnızca bir sınav ve sertifikasyon düzenlemesi içerdiğini, veri koruma görevlisi için bir görev tanımı yapılmadığını yahut veri sorumlusunun böyle bir görevli ataması yapmasının istenmediğini, ilgili tebliğe göre veri koruma görevlisi kabul edilecek kişilerin yalnızca kişisel verileri koruma alanı hakkında bilgi sahibi kabul edileceğini, bu kimselere herhangi bir yetki verilmediği ve GDPR’daki veri koruma görevlisi kavramı ile tebliğde düzenlenmiş olan veri koruma görevlisi kavramlarının birbirlerinden farklı olduğunu ilan etmiştir.
Kaynak:kvkk.gov.tr
GDPR ve Türk Hukuku Açısından Veri Sorumlusu ve Veri Koruma Görevlisi
Av.Muhammet Furkan KOCA