Mayıs 2018’de yürürlüğe giren Avrupa Birliği Genel Veri Koruma Tüzüğü’nde (“GDPR veya Tüzük”) belirlenen koşulların oluşması halinde Tüzüğün ilgili 37. ve 38. maddelerinde yer alan Veri Koruma Görevlisi (“Data Protection Officer veya DPO”) veya ilgili 27. Maddesinde yer alan Veri Sorumlusu Temsilcisi (“EU Representative veya DPR”) atanması gerekmektedir.
Bir işletmenin DPO ataması için o işletmenin temel faaliyetlerinin; doğası, kapsamı ve amaçları gereği, ilgili kişilerin büyük ölçekte düzenli ve sistematik olarak izlenmesini gerektiren işleme faaliyetlerinden oluşması veya işletmenin temel faaliyetlerinin büyük ölçekte özel nitelikli kişisel veri veya ceza mahkumiyeti ile suçlara ilişkin verileri içermesi aranır. İşletmenin kişisel verilerin korunması mevzuatına uyumunu sağlamakla görevli olan; işletmeden bağımsız hareket eden ve doğrudan üst düzey yönetime raporlama yapan bir pozisyondur.
Öte yandan; Avrupa Birliği Ekonomik Alanı (“EEA veya Birlik”) içerisinde kurulmamış bir işletme, EEA içerisindeki ilgili kişilerin ücret ödemelerinden bağımsız olarak onlara mal ve/veya hizmet sunarak kişisel veri işliyor veya EEA içerisindeki mukimlerin davranışlarını takip ediyorsa DPR ataması gerekmektedir.
Somut faaliyetlerin özelliğine göre atanabilecek her iki görevlinin de göreceği iş ve işlemlerde, işletmenin GDPR’de yer alan “Hesap Verilebilirlik” ve “Yönetişim” gibi önemli prensipleri karşılayacağını rahatlıkla söyleyebiliriz.
DPO ve DPR Arasındaki Farklar Nelerdir?
Bu iki önemli pozisyon açısından birtakım farklılıklar bulunmaktadır. Bu önemli farkları teker teker irdeleyecek olursak:
GDPR’nin Bölgesel Kapsam başlıklı 3. maddesi paralelinde bir DPR’nin EEA içerisinde kurulu olması ve faaliyetlerini Birlik içerisinde sürdürüyor olması aranır.
Bir DPO veya DPR’nin, veri sahiplerinin verilerinin işlendiği ülke veya ülkelerde kurulu olması Tüzük kapsamında zorunluluk arz etmez ancak; doğru uygulama örneği olarak aynı ülke veya ülkeler dahilinde konumlanan bir DPO veya DPR’nin atanması işletme açısından kolaylık sağlayacaktır.
Bir DPO’nun hesap verilebilirlik prensibi uyarınca yalnızca “ulaşılabilir gerçek kişi” vasfını haiz olması gerekirken; bir DPR’nin kişi veya organizasyon olması arasında bir ayrım gözetilmemiştir.
Bir DPO, işletmede görev alan personel içerisinden atanabilirken; DPR’nin işletme dışı, bağımsız bir kişi veya organizasyon olması aranır.
Bir DPO veya DPR ilgili veri koruma otoritelerine karşı iletişim noktası görevi üstlenebilmektedir.
Aynı şekilde her iki pozisyon da farklı işletmeler için DPO veya DPR görevi görebilmektedir.
Bir DPO, veri sorumlusu veya veri işleyen işletmeyi bilgilendirip, tavsiyeler sunup aynı zamanda uyum süreçlerini takip ederken; DPR, veri sorumlusu veya veri işleyen işletmeyi GDPR yükümlülüklerine ilişkin yalnızca temsil etmektedir.
DPO, mesleki sır saklama yükümlülüğü altında çalışmalarını sürdürürken DPR için aynı yükümlülüğün bulunmadığını belirtmek gerekir.
Bir DPO gerçekleştireceği iş ve işlemler sebebiyle, veri sorumlusu veya veri işleyen işletme tarafından azledilemez veya cezalandırılamazken bir DPR üstlendiği görev sebebiyle ilgili işletme tarafından sorumlu tutulabilir ve azledilebilir.
SONUÇ:
İlgili unvanlara dair kapsamı yalnızca Birlik hukukunda değil aynı zamanda Brexit ile Avrupa Birliği’nden ayrılan Birleşik Krallık’ta, Singapur’da, Çin ve Brezilya gibi ülkelerin iç hukuklarında görüyoruz. Keza 06/12/2021 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ ile Türk hukukunda da ilgili pozisyonlara benzer bir “Veri Koruma Görevlisi” unvanı getirilmiştir.
Ayrıca bakınız, Google FLoC Projesinin Fişini Çekti
Kaynakça:
https://eur-lex.europa.eu/eli/reg/2016/679/oj
https://iapp.org/media/pdf/resource_center/bird_and_bird_gdpr_guide_may_2020.pdf
DPO – DPR Danışmanlık Hizmetlerimiz hakkında daha ayrıntılı bilgi almak için bizimle iletişime geçebilirsiniz.