Menu

We provide Audit, Certification and Training services to clients worldwide

website-contact@cfecert.co.uk

GDPR Nedir, GDPR Kapsamı, GDPR Yaptırımları nelerdir?

Mayıs 2018’de, 27 AB üye devletinin tamamında vatandaşlarının dünyanın dijital altyapılarındaki gizliliğini koruyan tek tip bir veri yasası yürürlüğe girdi, buna Genel Veri Koruma Yönetmeliği (GDPR) adı veriliyor.

GDPR (Genel Veri Koruma Tüzüğü), Avrupa Birliği içerisinde olan veri sorumluları ile veri işleyenlerin sorumlulukları ve ilgili kişileri haklarını kapsamaktadır. Yönetmelik ayrıca Avrupa Birliği bünyesinde yerleşik kişilerin verilerini işleyen, Avrupa Birliği dışındaki şirketleri de kapsamaktadır.

Genel Veri Koruma Tüzüğü kapsamında ihlal gerçekleştiren veri sorumluları 20 milyon Euro’ya ya da şirketin yıllık cirosunun %4’üne kadar varan para cezası uygulanabilir.

DPO nedir?

DPO (Veri Koruma Yetkilisi), GDPR (Genel Veri Koruma Tüzüğü) kapsamında yasal şartları taşıyan veri sorumlularının atamakla yükümlü olduğu bir yasal uyum görevlisidir. DPO, görevli olduğu şirkette GDPR yasal uyum sürecini gerçekleştirmek ve şirket içinde bir veri koruma kültürünü teşvik etmek ile görevlidir. Ayrıca, bir DPO, GDPR’a aykırılık sebebi ile kişisel olarak sorumlu değildir. DPO şirket içerisinde tam zamanlı veya yarı zamanlı çalışan bir kişi olabileceği gibi dışarıdan sözleşmeli olarak hizmet alınan bir danışman da olabilir.

GDPR’a göre, DPO (Veri Koruma Yetkilisi) olması gereken kurumlar Kimlerdir?

  • Kamu Kuruluşları ve Organları: Kamu sektöründe faaliyet gösteren kuruluşlar ve organlar, belirli durumlarda bir DPO atamakla yükümlüdür. Kişisel veri işleyen tüm kamu makamları (mahkemeler hariç),
  • Temel Faaliyetleri Veri İşleme Olan Kuruluşlar: Ana faaliyetleri düzenli ve sistematik olarak kişisel veri işlemeye dayanan veya büyük ölçekte hassas veri işleyen kuruluşlar, DPO atamakla yükümlüdür.
  • İzleme Faaliyetleri Yapan Kuruluşlar: Özellikle kamu otoritelerinin yetki ve görevlerini yerine getirmek amacıyla kişisel verileri büyük ölçekte işleyen kuruluşlar, DPO atamak zorundadır.
  • Hassas Veri İşleyen Kuruluşlar: Irk, etnik köken, siyasi görüşler, dini inançlar, sağlık bilgileri gibi hassas verileri büyük ölçekte işleyen kuruluşlar, DPO atama gerekliliği taşır.

Bununla birlikte, kuruluşlar gönüllü olarak da DPO atayabilir ve veri koruma süreçlerini daha iyi yönetmek amacıyla bir DPO görevlendirebilirler. Veri Koruma Yetkilisinin bağımsız ve etkili bir şekilde görev yapabilmesi gerekmektedir. GDPR gereklilikleri ve yükümlülükleri zaman içinde değişebilir.

Neden Kurumunuza DPO (Veri Koruma Yetkilisi) Atamalısınız?

DPO işletmeniz içinde veri koruma anlayışını istikrarlı biçimde sürdürebilmek ve bu konuda gereken tüm yeterliliği ve GDPR’a uyumu sağlamak için çalışmaktadır. Bu kapsamda ayrıca DPO (Veri Koruma Yetkilisi), atamanın işletmenizin itibar yönetimine katkı sağlayacağı hususlar aşağıdaki gibidir.

  • Kişisel verilerin korunması alanındaki hukuki düzenlemeleri doğru yorumlayarak,
  • Veri işleme faaliyetlerinizi mevzuata uygun yürüterek,
  • Faaliyet alanınızı tanıyan bir yetkili tarafından size özel çözümler üreterek,
  • İşletmenizde bir veri koruma kültürünün oluşmasına destek olarak,
  • Kişisel verilerin korunması süreçlerinde yürütülen işlemleri denetleyerek ve düzenli olarak takibini sağlayarak, işletmenizdeki uyum risklerini bertaraf ederek işletmenizin GDPR’a uyumu konusundaki kanuni gereklilikleri yerine getirir.

GDPR Kapsamında DPO (Veri Koruma Yetkilisi) görevleri nelerdir?

GDPR’ın 37’nci maddesi ve devamında DPO’nun tanımı, konumu ve görevleri detaylı olarak açıklanmıştır. Buna göre DPO’nun görevleri kısaca aşağıdaki gibidir:

  • Kişisel verilerin korunması mevzuatına göre, ilgili taraflara yükümlülükleri hakkında bilgi vermek ve işletmenize çözüm önerileri ve tedbirler hakkında tavsiyelerde bulunmak,
  • Mevzuat kapsamında, veri işleme süreçlerine dâhil olan çalışanların farkındalık faaliyetlerini yürütmek ve veri sorumlusu ile veri işleyenin, veri koruma mevzuatı çerçevesinde oluşturulan politika ve prosedürlere uyumunu sağlamak ve denetlemek,
  • Mevzuata uyum kapsamında, veri sorumlusu tarafından işlenen verilerle ilgili veri koruma etki değerlendirmesini yapmak ve bu değerlendirmenin performansını ölçümlemek,
  • İlgili veri koruma otoritesi ile iş birliği yapmak,
  • Veri işleme faaliyetine ilişkin konularda veri koruma otoritesi ve ilgili kişi ile temas noktası olmak.

DPO’nun (Veri Koruma Yetkilisi) 5 temel sorumluluğu nelerdir?

GDPR’nin çeşitli Maddelerinde (35, 37, 38 ve 39) DPO için listelenen beş görev vardır.

  1. GDPR’ye Uyumluluğun İzlenmesi
  2. Veri Koruma Etki Değerlendirmesi
  3. Denetim Otoritesi ile iş birliği yapmak
  4. Riske dayalı yaklaşım
  5. Kayıt tutma

DPO’nun (Veri Koruma Yetkilisi) Sahip Olması Gereken Yetkinlikler

  • Ulusal ve Avrupa veri koruma yasaları ve uygulamalarında uzmanlık
  • İleri Düzey GDPR Bilgisi
  • Sektörel ve organizasyonel bilgi birikimi
  • Kuruluşun idari kuralları ve prosedürleri hakkında sağlam bir bilgi
  • Dürüstlük ve yüksek mesleki etik

Türkiye’de Hukuki olarak DPO (Veri Koruma Yetkilisi) Atanması Yükümlülükleri;

Türk hukukunda, belirtildiği gibi DPO ataması zorunlu değildir ancak VERBİS (Veri Sorumluları Sicili veri sorumlularının kaydolmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir) yükümlülüğü altındaki kuruluşlar bir irtibat kişisi ya da veri sorumlusu temsilcisi atamalı ve asgari düzeyde yetkileri onlara tanımalıdırlar.

Veri sorumlusu temsilcisi atanması temsilci için özel sorumluluklar getirmemektedir. Ancak, GDPR kapsamında DPO ataması yapmaya istekli olan kuruluşlar, ticari mümessil atarken Ticaret Hukuku kurallarına riayet etmeli ve veri koruma uzmanlığı ile uyum ve kontrolü sağlayacak bir kişinin seçilmesi, yetkilerin verilmesi ve bağımsızlığın sağlanması gerekmektedir. Bundan sonra birey veri koruma sorumlusu olarak ilgili sorumlulukları sahip olabilir.

Türk Hukukuna uygun olarak bir DPO atanırsa, şirketin ilgili yetkili organı, veri koruma sorumlusunu atadığını, atama için gerekli tüm işlemleri tamamladığını, DPO’ya tüm gerekli yetkileri verdiğini ve onu desteklediğini kanıtladığında, DPO tarafından sebebiyet verilecek herhangi bir görevi kötüye kullanma ya da ihlal söz konusu olduğunda, şirketin DPO’dan cayma imkânı gündeme gelebilecektir.

Şirketlerin vazgeçme imkânının olup olmayacağına ilişkin her durumun detaylıca değerlendirilmesi gerektiğini söylemekte yarar var ancak şirketler DPO rolünü oluşturmak istiyorlarsa, ticari mümessil atanmasına ilişkin en azından asgari Ticaret Hukuku kurallarını dikkate almalı ve GDPR tarafında belirtilen kuralları örnek almalıdırlar. Eğer DPO’nun ilgili veri sorumlusu şirkette herhangi bir bağımsızlığı yoksa ortaya çıkabilecek sorumluluğun DPO’ya yüklenebileceğini düşünülmemektedir.

Bu alanda belirli bir yargı bulunmamaktadır, ancak veri sorumlusu şirketlerin yetkili organlarınca atanan diğer temsilcilerden yola çıkarak, ilgili durumlarda, ticari temsilcisi kişisel olarak sorumlu tutulması söz konusu olabilir.

DPO’nun yükümlülükleri organizasyonun büyüklüğüne, veri işleme faaliyetlerinin karmaşıklığına ve diğer özel koşullara bağlı olarak değişebilir. DPO’nun temel amacı, veri koruma ve gizliliği standartlarını yüksek seviyede tutarak organizasyonun bu alandaki yükümlülüklerini yerine getirmesini sağlamaktır.

AB vatandaşlarının verilerini işliyorsanız, AB içinde bir Temsilci atamanız gerekebilir.

GDPR, Türkiye gibi üçüncü ülkelere kişisel veri aktaran AB dışındaki veri sorumluları için temsilci atama yükümlülüğü getirilmiştir.

DPO (Veri Koruma Yetkilisi) Atanması Yükümlülükleri Nelerdir?

Veri Koruma Yetkilisi (DPO)’nin atandığı organizasyonlarda yerine getirmesi gereken bazı temel yükümlülükler aşağıda sıralanmıştır:

  1. Bağımsızlık ve Uzmanlık: DPO, görevlerini bağımsız bir şekilde yerine getirmelidir. DPO’nun başka bir işlevde görev alması, çıkar çatışmalarına yol açabileceği için genellikle önerilmez.

*Ayrıca, DPO’nun veri koruma konusunda yeterli uzmanlığa sahip olması önemlidir.

  1. Veri Koruma Programının Yönetimi: DPO, organizasyonun veri koruma programının tasarımı, uygulanması ve izlenmesi konusunda sorumluluk taşır. Veri koruma politikalarının oluşturulması, veri işleme faaliyetlerinin değerlendirilmesi ve güncellemelerin yapılması gibi süreçlerin denetimini sağlar.
  1. Personel Eğitimi ve Farkındalığı: DPO, organizasyonun içinde veri koruma ve gizlilik konularında farkındalık yaratma ve personeli eğitme rolünü üstlenir. Çalışanlara veri koruma kurallarını anlatarak veri güvenliğinin arttırılmasına katkı sağlar.
  1. Veri İhlalleri ile İlgili İzleme ve Bildirim: DPO, olası veri ihlallerini izlemeli ve gerektiğinde ilgili veri koruma otoritelerine ve etkilenen kişilere bildirim yapma süreçlerini yönetir. Veri ihlalleri hakkında ayrıntılı kayıtlar tutar ve ilgili taraflara bilgi sağlar.
  1. Veri Konularının Haklarına İlişkin İsteklerin Yönetimi: DPO, veri konularının (bireylerin) GDPR kapsamında sahip olduğu haklarla ilgili yapılan talepleri yönetir. Bu, bilgi erişimi, düzeltme, silme ve taşıma gibi hakları içerir.
  1. İlgili İç ve Dış Paydaşlarla İletişim: DPO, veri koruma otoriteleri, iç denetim birimleri ve ilgili personel arasında veri koruma konularında etkin iletişim sağlar. Aynı zamanda, veri konularının sorularına yanıt vermek ve şikayetleri ele almak da DPO’nun sorumlulukları arasındadır.
  1. Veri İşleme Faaliyetlerinin Değerlendirilmesi: DPO, organizasyonun veri işleme faaliyetlerini değerlendirir ve veri koruma ilkelerine uyumunu denetler. Veri işleme faaliyetlerinin risk analizlerini yapar ve gerektiğinde düzeltici tedbirlerin alınmasını sağlar.
  1. Yetkili Makamlarla İlişkiler: DPO, veri koruma otoriteleri ile etkili iletişim sağlar. Bu, herhangi bir denetim veya soruşturma durumunda yetkili makamlarla iş birliği yapmayı içerebilir.

GDPR’a Göre Kimler DPO (Veri Koruma Yetkilisi) Olabilir?

Genel Veri Koruma Tüzüğü’ne (GDPR) göre Veri Koruma Yetkilisi (DPO) olarak atanabilecek kişilerin belirlenmiş bazı nitelikleri taşıması gerekmektedir. DPO’nun bağımsızlığını ve veri koruma konularındaki uzmanlığını sağlamak amacıyla;

  • Profesyonel Yetkinlik,
  • Bağımsızlık, Çalışanın Uygun İşlevi,
  • Organizasyon İçinde Konum,
  • Harici DPO (Organizasyon, harici bir DPO hizmeti satın alarak da bu gerekliliği yerine getirebilir. Bu, bağımsızlık ve uzmanlık sağlama açısından faydalı olabilir)
  • Grup DPO dur.

DPO’nun atanması ve görevleri, veri koruma ve gizliliği alanında yüksek standartların sağlanmasını amaçlamaktadır. Bu nedenle, DPO atama süreci dikkatlice değerlendirilmeli ve gerektiğinde profesyonel destek alınmalıdır.

CFE Academy bünyesinde alacağınız Genel Veri Koruma Tüzüğü ve/veya Veri koruma Yetkilisi eğitimleriyle farkındalıklarınızı arttırabilir ve kendinize yatırım yapabilirsiniz.

Bizlere sales@cfecert.co.uk adresinden ulaşabilirsiniz.

Posted in Bilgi Güvenliği, Genel
Dünya çapındaki müşterilerimize Denetim, Belgelendirme ve Eğitim hizmetleri sunuyoruz
Keşfedin
İLETİŞİM
© copyright CFECERT (2025)