GDPR’nin 37. maddesi uyarınca veri sorumlusu ve veri işleyen; işleme faaliyetinin bir kamu kuruluşu veya organı (mahkemeler harici) tarafından gerçekleştirilmesi; temel faaliyet yapısı, kapsamı ve/veya amacı gereği ilgili kişilerin düzenli ve sistematik bir şekilde büyük çaplı olarak izlendiği işleme faaliyetlerinden meydana gelmesi; temel faaliyetlerinin tüzüğün 9. maddesinde düzenlenen özel nitelikli kişisel verilerin ve 10. maddede atıfta bulunulan mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin büyük çaplı olarak işlenmesinden meydana gelmesi hallerinde bir DPO atanması zorundadır.
İlgili kişilerin ‘düzenli ve sistematik’ olarak izlenmesi, hem çevrimiçi hem de çevrimdışı olarak her türlü izleme ve profil oluşturmayı içermektedir. Hedefli reklamcılığı buna örnek olarak verebiliriz.
Mesleki Yeterlilik
Bir kişinin DPO olarak atanabilmesi için birtakım bilgi ve becerilere sahip olması gerekir. GDPR’nin 37. maddesinde açıkça belirtildiği gibi; DPO’nun mesleki nitelikleri ile veri koruma mevzuatı ile uygulamalarına ilişkin uzmanlık bilgisi ve 39. maddede sayılan görevleri yerine getirme kabiliyetine sahip olması gerekir.
Bir DPO, güncel veri koruma mevzuatını sürekli takip etmelidir. GDPR’ye ve yürürlükteki veri koruma mevzuatına tamamıyla hakim olması gerekmektedir.
Bununla birlikte atandığı şirketle, sektörle ve gerçekleştirilen işleme faaliyetleriyle ilgili bilgi sahibi olmalıdır. Ayrıca şirketi teknik açıdan izleyen bağımsız bir organ olarak çalışmalıdır.
DPO Atanması
GDPR DPO’nun içeriden atanabileceği gibi dışarıdan atanabilmesine de imkan tanımaktadır. DPO erişilebilir olduğu sürece birden fazla kuruluş aralarında tek bir DPO atayabilecektir. Dışarıdan atanan DPO, görevlerini bir hizmet sözleşmesi temelinde yerine getirmektedir.
İçeriden atanan DPO ise mevcut bir çalışandır. Tüzüğün 38. maddesi uyarınca bir DPO başka görev ve vazifeleri de yerine getirebilir. Ancak bu ihtimalde, söz konusu görev ve vazifelerin bir çıkar çatışmasına neden olmasını engellemekle yükümlüdür.
Çıkar çatışmasının olmaması, bağımsız bir şekilde hareket etme gerekliliği ile yakından ilgilidir. DPO’ların başka işlevlere sahip olmalarına izin verilmekle birlikte, yalnızca çıkar çatışmalarına yol açmamak kaydıyla başka görev ve vazifeler verilebilir.
DPO kuruluş içinde kişisel verilerin işlenmesinin amaçlarını ve araçlarını belirlemeye yönlendiren bir konuma sahip olmamalıdır. Her organizasyondaki özel organizasyon yapısı nedeniyle, bu durum ayrı ayrı ele alınmalıdır.
Genel bir kural olarak, kuruluş içindeki çatışan pozisyonlar, CEO, CIO, CHRO ve CTO gibi üst yönetim pozisyonlarıdır. WP 29, bu pozisyonların DPO’nun görevlerinde bir çıkar çatışması oluşturduğunu kabul etmekte ve bu pozisyonlardaki kişilerin DPO olarak atanmaması gerektiğini belirtmektedir.
Ayrıca bakınız: DPO (Data Protection Officer) / Veri Koruma Görevlisi
Kaynaklar:
- Sharma, S. (2020). Data privacy and Gdpr handbook. Wiley.
- Voigt, P. & Bussche, A. (2018). Eu General Data Protection Regulation (Gdpr): a practical guide. Springer International Pu.
- https://ico.org.uk/media/for-organisations/guide-to-the-general-data-protection-regulation-gdpr-1-0.pdf
