GDPR’nin 37. maddesi uyarınca düzenli ve sistematik şekilde işleme ve büyük çapta izleme faaliyeti gerçekleştiren kuruluşlar DPO atamak ve ilgili veri koruma otoritesine bildirim yapmak zorundadır.

GDPR’nin 27. maddesi uyarınca AB dışında kurulu ancak AB/EEA sınırları içerisinde mal ve hizmet sunan kuruluşlar AB’de mukim bir DPR tayin etmek zorundadır.

DPO’nun birincil rolü görev yaptığı kuruluşun personelinin, müşterilerinin, tedarikçilerinin veya diğer kişilerin (veri sahiplerinin) kişisel verilerinin yürürlükteki veri koruma mevzuatına uygun olarak işlemesini sağlamaktır. DPR ise ilgili AB otoriteleri ve veri sahipleri ile temsilcisi olduğu kuruluş arasında köprü görevi üstlenir.

250’den fazla çalışanı olan kuruluşlar içerisinde işlenen verilere dair süreç analizi ve faaliyet kaydının tutulması gerekmektedir.

Veri sahipleri ve kuruluşlar arasındaki dengesizlikleri azaltmak için bireylere verilerinin işlenmesi üzerinde belirli haklar verilmiştir. Bunlar; kendi verilerine erişme hakkı, bilgi edinme hakkı, silme (unutulma) hakkı, düzeltme hakkı, veri taşınabilirliği hakkı, itiraz etme hakkı gibi haklardır. Veri sorumlularının bu haklara dair gerekli altyapıları kurması gerekmektedir.

Yeni işleme faaliyetlerinin ortaya çıkması durumunda, veri sorumluları veri işleme faaliyetine başlamadan önce amaçlanan işlemin olası etkisini inceleyerek bu riskleri dikkate almalıdır. GDPR’nin 35. maddesi uyarınca ilgili veri işleme faaliyetinin bireylerin temel hak ve özgürlükleri için yüksek risk oluşturabileceği durumlarda DPIA yapılması gerekmektedir.

Kuruluşlar veri işlerken veri sahiplerinin hak ve özgürlüklerini zedeleyebilecek herhangi bir riski önleyecek ve en aza indirecek süreçleri tasarlamak ve veri işleme faaliyetinin her aşamasında kişisel verilerin korunması hakkının etkilerini dikkate alarak gerekli tüm teknik ve idari tedbirleri uygulamakla yükümlüdür.

Verilecek ürün ve hizmetlerin, tasarım safhasının başından itibaren mahremiyet ilkelerine uyum sağlayacak biçimde ele alınan risk yönetimi odaklı veri mimari metodolojisine göre yapılandırılması gerekmektedir.

Bu doğrultuda iş süreçlerinin mahremiyete uygun şekilde tasarlanması (Privacy By Design & Default) ve sağlam bir yönetişim modeli kurulması oldukça önemlidir.

Uygunluk kararı/yeterli düzeyde korumaya sahip üçüncü ülkelerin belirlenmesi, standart sözleşme hükümleri (SCC’s), bağlayıcı şirket kuralları (BCR), davranış kuralları (CoC) ve sertifikasyon mekanizmaları, veri sahipleri için uygulanabilen haklar ve hukuki çareler (derogations) dahil olmak üzere kişisel verilerin sınır ötesi aktarımı ve EEA içerisinde dolaşımı üzerine belirlenen bazı önemli kurallardır.

Sınır ötesi veri aktarımı yapan kuruluşların konuya dair gereken özeni göstermesi gerekmektedir.