Avrupa Birliği Genel Koruma Tüzüğü’nde(GDPR) bazı durumlarda veri sorumlularının “Veri Koruma Görevlisi” bulundurması şart koşulmaktadır. Veri Sorumluları;

1-Veri işleme faaliyeti bir kamu otoritesi tarafından yürütülüyor ise,

2-Veri sorumlusu ve veri işleyenin ana faaliyetleri büyük çapta bireyleri düzenli ve sistemli olarak gözetlemekten oluşuyor ise,

3-Veri sorumlusu veya veri işleyenin ana faaliyeti büyük ölçüde özel nitelikli kişisel verilerin işlenmesinden oluşuyor ise veri sorumluları Veri koruma Görevlisi atamak zorundadır.

Kişisel Verilerin Korunması Kanunu’nda ise; “Veri Koruma Görevlisi”  ile ilgili düzenleme bulunmamaktadır. Fakat yükümlülüklerin eksiksiz ve doğru bir şekilde yapılmasından ve sürecin mevzuata uygun yönetilmesinden ve güncellenmesinden bir kişinin sorumlu olması kanuna tam uyumun sağlanması için faydalı olacaktır.

GDPR’ye göre kişisel verileri koruma görevlisinin görevleri;

  • Mevzuat uyarınca yükümlülüklerini yerine getiren veri sorumlusuna, veri işleyene ve çalışanlarına bilgi vermek ve tavsiyede bulunmak
  • Veri sorumlusu veya veri işleyenin kişisel verilerin korunması ile ilgili politikalarının yanı sıra kişisel veri işlemede yer alan çalışanların bilinçlendirilmesi ve eğitilmesi ve ilgili denetimlerin mevzuata uygunluğunu takip etmek
  • Talep edildiğinde kişisel verilerin korunmasına etki değerlendirmesi ve başarısı ile ilgili tavsiyelerde bulunmak
  • Kişisel verilerin korunması ile görevli denetim makamı ile işbirliği yapmak
  • Denetim makamına danışılması gereken kişisel veri işleme konularında danışmak ve makamla irtibatı sağlamak şeklinde sıralanmıştır.

Kişisel verileri koruma görevlisinin veri sorumlusu tarafından atanması ya da seçilmesi tek başına yükümlülüğün yerine getirilmesi için yeterli değildir. Veri sorumlusunun veri koruma görevlisine gerekli yetkileri vermesi, kaynakları ayırması ve süreçlere dahil etmesi gerekir. GDPR bu konuyu da detaylı olarak düzenlemiştir. Buna göre;

  • Veri sorumlusu ve veri işleyen, görevliyi kişisel verilerin korunması ile ilgili her sürece zamanında ve uygun bir şekilde dahil etmek zorundadır.
  • Veri sorumlusu ve veri işleyen, görevlinin kendisine yüklenen görevlerini yaparken, görevlerin yerine getirilebilmesi için gerekli kaynakları, kişisel verilere ve işlemlere erişebilmesini, uzmanlığını sürdürebilmesini sağlamakla yükümlüdür.
  • Veri sorumlusu ve veri işleyen, görevlinin görevleriyle ilgili herhangi bir talimat almamasını sağlamalıdır. Görevlerini yerine getirmesinden dolayı veri sorumlusu ve veri işleyen tarafından görevinden alınamaz ve cezalandırılamaz. Görevli, veri sorumlusu ve veri işleyen in en üst yönetim seviyesine dorudan bağlı çalışmalıdır.
  • İlgili kişiler, kişisel verilerinin işlenmesi ile ilgili konularda ve haklarının kullanılmasında Veri Koruma Görevlisi ile irtibata geçebilmelidir.
  • Görevliye başka görev ve sorumluluklar verilebilir. Veri sorumlusu ve veri işleyen verilen diğer görevlerle görevlinin aslı görevlerinin çatışmamasını sağlamalıdır.