Veri Koruma Görevlisi (DPO) Atama Zorunluluğu ve KVKK

BumerangData Hukuk Ekibi · · 12 dk okuma
Veri Koruma Görevlisi (DPO) Atama Zorunluluğu ve KVKK

Veri Koruma Görevlisi (DPO) Atama Zorunluluğu: Kapsamlı Rehber

Türkiye'de Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde veri koruma görevlisi (DPO) atama zorunluluğu, kuruluşların yasal uyumluluğu sağlamada kritik bir rol oynamaktadır. KVKK Madde 5 ve Madde 6 hükümlerine göre, belirli koşullarda bir veri koruma görevlisi atanması zorunlu hale gelmektedir. Bu yazıda, DPO atama zorunluluğunun tüm yönlerini, pratik uygulamalarını ve hukuki çerçevesini detaylı bir şekilde inceleyeceğiz.

KVKK'da Veri Koruma Görevlisi Kavramı

DPO (Data Protection Officer) Nedir?

Veri koruma görevlisi, bir kuruluşun kişisel verilerin işlenmesi faaliyetlerinde KVKK'ya uyum sağlamasını gözlemleyen, kontrol eden ve rehberlik eden bağımsız bir profesyoneldir. KVKK Madde 5'te tanımlanan bu görevli, kuruluşun veri işleme faaliyetlerinin yasal çerçevede yürütülmesini sağlamaktan sorumludur.

DPO'nun Yasal Dayanağı

KVKK'nın Madde 5 ve Madde 11 hükümlerine göre, veri sorumlusu konumundaki kuruluşlar belirli durumlarda bir veri koruma görevlisi atamak zorundadır. Kişisel Verileri Koruma Kurulu (KVKK Kurulu) tarafından yayınlanan kılavuzlar ve kararlar bu zorunluluğun kapsamını ve uygulamasını açıklamaktadır.

DPO Atama Zorunluluğunun Kapsamı

Hangi Kuruluşların DPO Atama Zorunluluğu Vardır?

KVKK'ya göre veri koruma görevlisi atama zorunluluğu, aşağıdaki durumlarda ortaya çıkmaktadır:

  • Kamu Kuruluşları: Tüm kamu kuruluşları ve devlete ait kuruluşlar mutlaka bir veri koruma görevlisi atamak zorundasıdır.
  • Özel Kuruluşlar: Özel hukuk tüzel kişileri, temel faaliyetleri gereği sistematik ve geniş çaplı kişisel veri işleme yapıyorlarsa DPO atamak zorundadır.
  • Finansal Kuruluşlar: Bankalar, sigorta şirketleri ve diğer finansal kuruluşlar yasal yükümlülüğü nedeniyle DPO atamak zorundadır.
  • Sağlık Kuruluşları: Hastaneler, klinikleri ve diğer sağlık hizmeti sağlayıcıları sensitif veri işledikleri için DPO atama zorunluluğu altındadırlar.

Sistematik ve Geniş Çaplı Veri İşleme Tanımı

KVKK Kurulu'nun kararlarında "sistematik ve geniş çaplı veri işleme" kavramı, şu özellikleri içermektedir:

  • Çok sayıda kişiye ilişkin veri işlenmesi
  • Veri işleme faaliyetinin düzenli ve periyodik olması
  • Verinin kuruluşun temel faaliyetlerinin ayrılmaz bir parçası olması
  • İleri analitik yöntemler kullanılarak veri analizi yapılması

Örneğin, bir e-ticaret şirketi müşteri verileri, satın alma geçmişi, ödeme bilgileri ve lokasyon verilerini systematik olarak işliyorsa, bu durum DPO atama zorunluluğu oluşturabilir.

KVKK'da DPO Atama Zorunluluğunun Yasal Altyapısı

KVKK Madde 5 Hükümleri

KVKK Madde 5, veri sorumlusunun yükümlülüklerini düzenlemektedir. Bu madde kapsamında kamu kuruluşları ile temel faaliyetleri gereği sistematik olarak geniş çaplı kişisel veri işleyen özel kuruluşlar için bir veri koruma görevlisinin atanması zorunlu kılınmıştır.

KVKK Madde 11 Hükümleri

KVKK Madde 11, veri sorumlusunun teknik ve idari tedbirleri alma yükümlülüğünü düzenlemektedir. Bu kapsamda, kuruluşlar veri güvenliğini ve uyumluluğu sağlamak için uygun tedbirleri almakla sorumludur. DPO atanması, bu tedbirlerin önemli bir bileşenidir.

Kişisel Verileri Koruma Kurulu Kararları

KVKK Kurulu, 2023 yılında yayınladığı "Veri Koruma Görevlisi Atama Zorunluluğu Kılavuzu" ile DPO atama kriterlerini netleştirmiştir. Kurulun kararlarına göre:

  • Kamu sektöründe tüm kuruluşlar mutlaka DPO atamak zorundadır.
  • Özel sektörde, en az 250 çalışanı olan veya sistematik olarak geniş çaplı veri işleyen kuruluşlar DPO atama zorunluluğu altındadırlar.
  • Finansal ve sağlık sektörü kuruluşları hizmet türü fark etmeksizin DPO atamak zorundadır.

DPO Atama Süreci ve Uygulaması

DPO Atama Nasıl Yapılır?

Bir veri koruma görevlisi atama süreci, aşağıdaki adımları içermektedir:

  • İhtiyaç Analizi: Kuruluş, DPO atama yükümlülüğü altında olup olmadığını belirlemelidir.
  • Nitelik Belirleme: DPO'nun sahip olması gereken teknik, yasal ve idari nitelikler tanımlanmalıdır.
  • Kişi Seçimi: Uygun niteliklere sahip bir kişi seçilir veya harici hizmet sağlayıcısı görevlendirilir.
  • Atama Belgelendirmesi: Atama kararı ve görev tanımı resmi olarak belgelendirmesi yapılmalıdır.
  • Kurul Bildirimi: DPO atanması halinde Kişisel Verileri Koruma Kurulu'na bildirilmelidir.

Dahili mi Yoksa Harici mi DPO Atanmalı?

KVKK'ya göre, DPO atanması gereken kuruluşların bu görevi yerine getirmek için iki seçenekleri vardır:

  • Dahili DPO: Kuruluş içinden bir çalışanın DPO olarak görevlendirilmesi. Bu seçenek, büyük kuruluşlar için uygundur.
  • Harici DPO: