Veri koruma görevlisi, Kişisel Verilerin Korunması Kanunu kapsamında hayatımıza giren bir kavram olup konu ile ilgili elimizde fazla bilgi olmasa da olduğu kadarıyla, sizin için açıklamaya ve anlatmaya çalışacağım: Veri koruma görevlisi nedir, ne iş yapar ve nasıl olunur?
Kişisel Verilerin Korunması
Hayatımızın her alanında yer alan ve fakat yasal bir temele tam olarak ancak 2016’da oturtulan kişisel veriler ile ilgili esas kanunumuz 6698 sayılı Kişisel Verilerin Korunması Kanunu’dur: https://mustafabaysal.com/kvkk-kapsami/
Kişisel verilerin işlenmesi, muhafaza edilmesi ve aktarılması başta olmak üzere kişisel verilere ilişkin ana kuralla 6698 sayılı Kanun ile belirlenmiştir.
İşte bu Kanun’a dayanılarak birçok alt mevzuat da oluşturulmuş ve böylece Türkiye’de kişisel verilerin doğru şekilde işlenmesi, muhafaza edilmesi ve başkalarıyla paylaşılabilmesi için kurallar bütünü meydana getirilmiştir.
Bu alt mevzuatlardan birisi de 6 Aralık 2021 tarihinde Resmi Gazetede yayımlanan “Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ” olmuştur. Bu tebliğ ile birlikte hayatımıza yeni bir kavram daha girmiştir: Veri koruma görevlisi.
Veri koruma görevlisi programı
Yukarıda bahsedilen tebliğin ilk maddesinde amacı “(TS) EN ISO/IEC 17024 nolu standarda uygun olarak Veri Koruma Görevlisi Programı dâhilinde kişilerin sertifikasyonuna ilişkin usul ve esasları belirlemek” olarak beyan edilmiştir.
O halde bir sertifikasyon süreci olacak ve bunun sonucunda başarılı olan kimselere “veri koruma görevlisi” sertifikası verilecek, ayrıca bu sertifikasyon (TS) EN ISO/IEC 17024 nolu standarda göre gerçekleştirilecektir.
Veri koruma görevlisi nedir?
Veri koruma görevlisi, Kişisel Verileri Koruma Kurulu tarafından usul ve esasları belirlenen eğitim programını tamamlayan ve personel belgelendirme kuruluşu tarafından yapılan sınavda başarılı olan kimsedir.
Veri koruma görevlisi demek, Kişisel Verilerin Korunması mevzuatı kapsamında yeterli düzeyde bilgi sahibi olan kimse demektir.
Tam da burada yeni bir soru gündeme gelir: Personel belgelendirme kuruluşu nedir?
Personel belgelendirme kuruluşu
Personel belgelendirme kuruluşu, Türk Akreditasyon Kurumu tarafından (TS) EN ISO/IEC 17024 standardı kapsamında akredite edilen, sertifikasyona ilişkin ilgili sınavlarda başarılı olanları belgelendirmeye yetkili kuruluşu ifade eder.
Her bir cevabın yeni bir soru doğurduğunun farkındayım; ancak bu durumda şu sorunun sorulması gerekir: (TS) EN ISO/IEC 17024 nolu standart nedir?
(TS) EN ISO/IEC 17024 nolu standart
TS EN ISO IEC 17024 standardı, personel belgelendirmesi yapan veya yapmak isteyen kuruluşlarda aranan şartları ortaya koymak, yetkinliklerini belgelendirmek, kuruluşun uygulamalarını güvenilir, tutarlı ve karşılaştırılabilir olmasını sağlamak için hazırlanmış bir uluslararası standarttır.1
1https://www.emo.org.tr/misem/egitimler_detay.php?egitimkod=794
Sertifikasyon süreci nasıl işleyecek?
Sertifikasyon sürecinin nasıl işleyeceği, aşağıdaki adımlar ile özetlenebilir:
- Öncelikle Kişisel Verileri Koruma Kurumu bir program yayımlayacak (Program; Kişisel Verileri Koruma Kurulu tarafından ana hatları belirlenerek yayımlanan veri koruma görevlisinin sertifikasyon faaliyetlerine ilişkin şartların belirlendiği dokümandır).
- Programları kullanmak isteyen “personel belgelendirme kuruluşları” Kurum’a başvuracak ve bu programları kullanabilmek için Kurum’dan ön izin alacak, yani program kullanma onayı isteyecek.
- Eğer bu başvuru Kurum tarafından uygun görülürse, Kurum ile “personel belgelendirme kuruluşu” arasında program kullanma onayı için bir sözleşme imzalanacak.
- Sözleşmenin imzalanmasından itibaren en geç 6 ay içinde, personel belgelendirme kuruluşu sözleşme ile birlikte TÜRKAK’a ( Türk Akreditasyon Kurumunu) akreditasyon başvurusunda bulunacak.
- Personel belgelendirme kuruluşu TÜRKAK tarafından akredite edilirse, artık Kurum’a yetkilendirme için başvuracak.
- Kurum tarafından yetkilendirme yapılırsa, personel belgelendirme kuruluşu; veri koruma görevlisi sertifikası vermek için faaliyet başlayabilecek.
- Böylece “personel belgelendirme kuruluşu” programı eğitimlerinde kullanmak hakkına sahip olacak.
Veri koruma görevlisi sınavına kimler başvurabilir?
Veri koruma görevlisi sınavına başvurmanın ilk şartı, geçerli bir katılım belgesine sahip olmaktır. Bu katılım belgesinin sınav tarihinden önceki 4 yıl içinde alınmış olması gerekir. Tebliğe göre ayrıca halihazırda veri koruma görevlisi sertifikası olanlar da sınava, eğitimlere katılmadan başvurabilmektedir.
Katılım belgesi nedir?
Katılım belgesi Kişisel Verileri Koruma Kurulu tarafından usul ve esasları belirlenen eğitim programını tamamlayanlara Kurum tarafından verilen belgeyi ifade eder.
Bu programları uygulama yetkisi, akredite personel belgelendirme kuruluşlarında olacağına göre, katılım belgeleri de bu personel belgelendirme kuruluşları tarafından verilecektir.
Veri koruma görevlisi sınavını kim yapacak?
Bu sınavı yapma yetkisi personel belgelendirme kuruluşlarına ait olacaktır. Yukarıda da izah edildiği üzere, personel belgelendirme kuruluşlarının akredite olması için gereken şartların ağırlığı düşünüldüğünde, sınavı bu kuruluşların yapması da son derece normal olsa gerekir.
Veri koruma görevlisi sertifika eğitim ücreti
Personel belgelendirme kuruluşu tarafından program kapsamında alınacak ücretleri belirlemek ve güncellemek yetkisi Kişisel Verileri Koruma Kuruluna aittir. Bu ücretleri Kurul her yıl Ocak ayında ilan eder.
Veri koruma görevlisi sertifikası geçerlilik süresi
Veri koruma görevlisi sertifikası, sınav sonucunun açıklanmasından itibaren 4 yıl için geçerlidir. İsteyen veri koruma görevlisi, 4 yıl dolmadan da sertifikasını yenilemek için personel yetkilendirme kuruluşuna başvurabilir.
Böylece anlaşılıyor ki; Kişisel Verileri Koruma Kurumu günceli takip eden, kendini yenileyen ve mevzuatı iyi bilen veri koruma görevlilerinin varlığını arzu etmektedir.
SERTABİS nedir?
Veri koruma görevlisi sertifikalarının takibini sağlamak amacıyla bir de bilgi sistemi kurulacaktır. İşte Kurumun sertifikasyon faaliyetinin tarafsız, şeffaf ve etkin sürdürülmesini sağlamak ve kamuya açık bir biçimde sorgulama imkânı tanımak amacıyla kuracağı sistemin adı Sertifika Takip ve Doğrulama Bilgi Sistemi olup bunun kısa adı da SERTABİS’tir.
Sertabis’te aşağıdaki bilgiler yer alır:
- Katılım belgesinde yer alan bilgiler
- Personel belgelendirme kuruluşunun bilgileri ve statülerinde gerçekleşen değişiklikler ile sertifika sahibi kişilerin bilgileri
- Program kapsamında yapılan sınavların tarihlerinin yanı sıra sınavda başarılı olan kişilerin; sertifika tarihleri, sertifika numaraları, sertifika geçerlilik süreleri ve sertifika statülerine dair bilgiler
Personel belgelendirme kuruluşu, sertifika verdiği kişilerin kimlik ve iletişim bilgilerini, sertifika tarihini, numarasını ve statüsünü sertifikasyon tarihinden itibaren 15 gün içinde SERTABİS’e yükler. Bu bilgilerde herhangi bir değişiklik olması hâlinde, söz konusu değişiklik öğrenilmesinden itibaren 15 gün içinde SERTABİS’e yüklenir.
Veri koruma görevlisi sınav sonuçlarına itiraz
Eğitim programı kapsamında ve sınava ilişkin yapılacak itirazlar öncelikle ilgili personel belgelendirme kuruluşuna yapılır.
Personel belgelendirme kuruluşu itirazı reddederse ya da 30 gün içinde cevap vermezse, başvurusu sahibi kuruluşun cevabını öğrendiği tarihten itibaren 30 gün içinde ve en geç başvurusundan itibaren 60 gün içinde bu defa Kişisel Verileri Koruma Kurumuna başvurabilir.
Önce personel belgelendirme kuruluşuna başvurulmadan doğrudan Kişisel Verileri Koruma Kurumuna itirazda bulunulamaz.
SONUÇ
Veri koruma görevlisi hakkında birçok soruya yukarıda cevap vermiş olsam da asıl soruyu sona bırakmayı tercih ettim? Veri koruma görevlisi ne iş yapacak ve veri koruma görevlisi neden var?
Bu konuda elimizde bir mevzuat metni olmadığı için ancak tahminde bulunmak mümkün olabilir. Bu kapsamda kanaatim şu şekildedir:
- Veri koruma görevlisi, gerek eğitimi ve gerekse sınavı göz önüne alındığında, ikinci bir iş güvenliği uzmanlığı olacak gibi görünüyor.
- Böylece bünyesinde çalıştığı ya da hizmet verdiği veri sorumlusunun KVKK mevzuatına tam uyum sağlaması hususunda veri koruma görevlisi hem yetkili hem de sorumlu olacaktır.
- İleride bu sertifikasyonun ve unvanın istihdam oluşturmak adına da çok önemli katkıları izlenecektir.
Kişisel Verileri Koruma Kurumu’nun ileride belirli standartlar belirleyeceğini ve ciro/çalışan sayısı vb. kriterlere göre veri koruma hizmeti alınmasını zorunlu tutacağını öngörüyorum.
Konu ile ilgilenenlerin ve gelecekte de önemini koruyacak bir meslek sahibi olmak isteyenlerin, sertifikasyon öncesi şartları haiz olmaları durumunda, veri koruma görevlisi olmak şansını kaçırmamalarını tavsiye ederim.
Not: Veri koruma görevlisi sertifikasyonuna ve istihdamına ilişkin her yeni düzenlemede, bu yazı kendisini güncelleyecektir.
Veri Koruma Görevlisi ile ilgili sık sorulan sorular:
Veri koruma görevlisi unvanı ne kadar geçerli?
Veri koruma görevlisi unvanı ancak sertifika geçerli olduğu müddetçe kullanılabilir.
Veri koruma görevlisi sertifikası kaç yıl geçerlidir?
Veri koruma görevlisi sertifikası, sınav sonucunun ilan edildiği günden itibaren 4 sene boyunca geçerlidir. Bu süre içinde yenilenmezse, veri koruma görevlisi unvanı sürenin sonunda yitirilir.
