Kişisel Verileri Koruma Kurumunun 06/12/2021 tarihli ve 31681 sayılı Resmî Gazete’de yayımlanan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ ile birlikte getirdiği Veri Koruma Görevlisi (VKG) kavramını anlamak için birkaç açıdan mevcut durumumuza bakmamız gerekir diye düşünüyorum.
1- Mevcut Kanun üzerinde yapılan değişiklik çalışmaları kapsamında (GDPR uyum açısından yapılacak iyileştirmeler, geliştirmeler)
2- Veri sorumlularının kanuna uyum süreçlerinde yaşadıkları sıkıntılar, uyum çalışmalarının istenen seviyede başarıya ulaşamaması (Bunun da bir çok nedeni var. Şu an da yine burada da gereksiz bir şekilde gündeme getirilen bu süreçlerin Avukatların gerçekleştirmesi gereken süreçler mi, Danışmanlar mı, Bilgi Güvenliği Uzmanlarımı vs bir çok kafa karışıklıkları yaratan suni gündemler yaratılmış olması, Kanunun bu çerçevede Veri Sorumluları tarafında tam anlamıyla gereken farkındalığı yaratamaması, Veri sorumluları tarafında kanuna uyum çalışmaları kapsamında yapılan çalışmalarda iş süreçlerine entegrasyon, sürdürülebilirlik, denetim gibi noktalarda ihtiyaç duyulan kaynak planlamalarının ( İnsan, Para, v.b) doğru bir şekilde yapılamamış olması, Veri sorumluların kendi organizasyonu içinde bu uyumu sürdürecek, takip edecek yeterlilikte ve yetkinlikte çalışan personellerin bulunmaması daha bir çok şey sayabiliriz…)
3- Kurumun yapısı itibarıyla Veri Sorumlularında yürütülen uyum süreçlerinin denetimini yapma, yapabilme gibi bir fonksiyonun bulunmaması
Bu açılardan ele aldığımızda VKG kavramı; GDPR daki DPO kavramının, yapılan kanun güncelleme çalışmaları kapsamında Veri Koruma Görevlisi olarak 6698 Sayılı kanun içinde de ele alınması zaten beklenen bir durumdu. Burada asıl konu işlevselliği, görev ve sorumluluk alanları ile kapsamı neler olacak?
Ben şahsen tebliğde de birkaç cümleden anladığım kadarıyla Kanunda yapılacak değişikliklerde VKG kavramı Veri Sorumlusu kavramını değiştirecek bir rolde olmayacak. Yani kanunen bütün sorumluluk yine Veri Sorumluların da olacak.
VKG Kapsamının da kanunda yapılacak değişiklikler içinde bu anlamda yine VERBİS te belirlenen kriterlere benzer bir yapıda oluşturulacağını düşünüyorum. Belli ölçekte, belli nitelikte ağırlık olarak veri tutan, belli çalışan sayısına sahip gibi belirlenecek kriterler ile VKG atamasının Veri Sorumluları tarafında zorunlu tutulacağını düşünüyorum.
VKG’ nin görev ve sorumluluklarının belirlenmesi süreçlerinde de; Veri Sorumluları ile kurum arasındaki bağın güçlendirilmesi, uyum süreçlerinin yukarıdaki örneklerinden bahsettiğim Veri Sorumluları tarafında yaşanan sıkıntıların VKG kavramı ile birlikte asgariye indirilmesi ve uyum başarısının yükseltilmesine yardımcı olması öncelikli hedefler olarak belirleneceğini düşüyorum. Bu paralel de görev ve sorumlukların detay bazda belirleneceğini düşünüyorum. Bekleyip göreceğiz.. İlerleyen dönemler de bu kavramın kanuna uyum süreçlerinin önemli elementlerinden biri olacağı açıkça görülüyor.
Sonuç olarak; Veri Sorumlularının, VKG için belirlenen yeterlilik şartlarını sağlayan uyum süreçlerinde yer alan çalışanları kendi bünyelerinde istihdam etmeleri (Mevcut personel ya da personellerin yeterliliklerinin arttırılması) ya da dışarıdan bu yeterlilik şartlarını sağlayan, uyum süreçlerinde tecrübeli kişilerden hizmet almaları mevcut kanuna uyum süreçlerine olumlu ve etkin katkı sağlayacağı görüşündeyim.
YAZAR
TUNCAY SÖZERİ - ISO 27001 & ISO 27701 Baş Denetçi Eğitmeni
Whatsapp Hattı