outlined-globe-glyph

DPO (Data Protection Officer) Atanması Ne Zaman Zorunludur?

Data Protection Officer DPO Atanması

Share This Post

GDPR’nin 37. maddesi uyarınca veri sorumlusu ve veri işleyen; işleme faaliyetinin bir kamu kuruluşu veya organı (mahkemeler harici) tarafından gerçekleştirilmesi; temel faaliyet yapısı, kapsamı ve/veya amacı gereği ilgili kişilerin düzenli ve sistematik bir şekilde büyük çaplı olarak izlendiği işleme faaliyetlerinden meydana gelmesi; temel faaliyetlerinin tüzüğün 9. maddesinde düzenlenen özel nitelikli kişisel verilerin ve 10. maddede atıfta bulunulan mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin büyük çaplı olarak işlenmesinden meydana gelmesi hallerinde bir DPO atanması zorundadır.

İlgili kişilerin ‘düzenli ve sistematik’ olarak izlenmesi, hem çevrimiçi hem de çevrimdışı olarak her türlü izleme ve profil oluşturmayı içermektedir. Hedefli reklamcılığı buna örnek olarak verebiliriz.

Mesleki Yeterlilik

Bir kişinin DPO olarak atanabilmesi için birtakım bilgi ve becerilere sahip olması gerekir. GDPR’nin 37. maddesinde açıkça belirtildiği gibi; DPO’nun mesleki nitelikleri ile veri koruma mevzuatı ile uygulamalarına ilişkin uzmanlık bilgisi ve 39. maddede sayılan görevleri yerine getirme kabiliyetine sahip olması gerekir.

Bir DPO, güncel veri koruma mevzuatını sürekli takip etmelidir. GDPR’ye ve yürürlükteki veri koruma mevzuatına tamamıyla hakim olması gerekmektedir.

Bununla birlikte atandığı şirketle, sektörle ve gerçekleştirilen işleme faaliyetleriyle ilgili bilgi sahibi olmalıdır. Ayrıca şirketi teknik açıdan izleyen bağımsız bir organ olarak çalışmalıdır.

DPO Atanması

GDPR DPO’nun içeriden atanabileceği gibi dışarıdan atanabilmesine de imkan tanımaktadır. DPO erişilebilir olduğu sürece birden fazla kuruluş aralarında tek bir DPO atayabilecektir. Dışarıdan atanan DPO, görevlerini bir hizmet sözleşmesi temelinde yerine getirmektedir.

İçeriden atanan DPO ise mevcut bir çalışandır. Tüzüğün 38. maddesi uyarınca bir DPO başka görev ve vazifeleri de yerine getirebilir. Ancak bu ihtimalde, söz konusu görev ve vazifelerin bir çıkar çatışmasına neden olmasını engellemekle yükümlüdür.

Çıkar çatışmasının olmaması, bağımsız bir şekilde hareket etme gerekliliği ile yakından ilgilidir. DPO’ların başka işlevlere sahip olmalarına izin verilmekle birlikte, yalnızca çıkar çatışmalarına yol açmamak kaydıyla başka görev ve vazifeler verilebilir.

DPO kuruluş içinde kişisel verilerin işlenmesinin amaçlarını ve araçlarını belirlemeye yönlendiren bir konuma sahip olmamalıdır. Her organizasyondaki özel organizasyon yapısı nedeniyle, bu durum ayrı ayrı ele alınmalıdır.

Genel bir kural olarak, kuruluş içindeki çatışan pozisyonlar, CEO, CIO, CHRO ve CTO gibi üst yönetim pozisyonlarıdır. WP 29, bu pozisyonların DPO’nun görevlerinde bir çıkar çatışması oluşturduğunu kabul etmekte ve bu pozisyonlardaki kişilerin DPO olarak atanmaması gerektiğini belirtmektedir.

Ayrıca bakınız: DPO (Data Protection Officer) / Veri Koruma Görevlisi

Kaynaklar:

  1. Sharma, S. (2020). Data privacy and Gdpr handbook. Wiley.
  2. Voigt, P. & Bussche, A. (2018). Eu General Data Protection Regulation (Gdpr): a practical guide. Springer International Pu.
  3. https://ico.org.uk/media/for-organisations/guide-to-the-general-data-protection-regulation-gdpr-1-0.pdf

More To Explore

Yapay Zeka (AI) Yasal Uyumluluk
Makaleler

Yapay Zeka (AI) Teknolojisi İle Yasal Uyumluluk

Yapay zeka, sürücüsüz arabalardan akıllı sohbet robotlarına kadar yaşama ve çalışma şeklimizde devrim yaratıyor! Dünya yaşama ve çalışma şeklimizde büyük bir değişimin eşiğindeyken, yapay zeka

Transfer of Personal Data
En Son Gelişmeler

EU ve UK GDPR Kapsamında Kişisel Veri Aktarımı

EU GDPR ve UK GDPR Kapsamında Sınır Ötesi Veri Aktarımı Etki Değerlendirmesi EU GDPR Kapsamında Kişisel Verilerin Aktarılması GDPR madde 44 ve 50, kişisel verilerin

ABD-AB Veri Aktarımında
En Son Gelişmeler

AB-ABD Veri Aktarımında Son Düzlük: Gizlilik Kalkanı 2.0

Amerika Birleşik Devleti (ABD) Başkanı Joe Biden, Avrupa Birliği (AB) ile 2022 Mart’ta imzalanan ABD-AB Veri Gizliliği Çerçeve Anlaşması’nın uygulanması için ABD Sinyal İstihbarat Faaliyetleri