DPO (Veri Koruma Görevlisi) kimdir?
Bir Veri Koruma Görevlisi (DPO), bir kuruluşun veri koruma uyumunu gözetmekten sorumlu atanmış birey veya fonksiyondur — belirli koşullarda GDPR Madde 37 kapsamında zorunludur ve diğerleri için iyi uygulama olarak tavsiye edilir. DPO kuruluşa danışmanlık yapar, uyumu izler, denetleyici makamlarla işbirliği yapar ve veri sahipleri için temas noktası olarak hareket eder.
GDPR kapsamında DPO ne zaman zorunlu?
- Kamu otoritesi veya organı (yargısal kapasitelerindeki mahkemeler hariç).
- Çekirdek faaliyetler veri sahiplerinin geniş ölçekte düzenli ve sistematik izlenmesini gerektirir.
- Çekirdek faaliyetler özel nitelikli kişisel veri veya suç verisi geniş ölçekli işlemeden oluşur.
DPO gereksinimleri (GDPR Madde 38-39)
- Bağımsızlık: çıkar çatışması yok; en üst yönetime raporlar.
- Kaynaklar: görevleri yerine getirmek için yeterli kaynak ve erişim hakkı.
- Uzmanlık: veri koruma hukuku ve uygulama uzmanlığı; sektör bilgisi.
- Görevleri yerine getirme nedeniyle işten çıkarmadan ve disipline tabi tutulmaktan koruma.
- İletişim bilgileri yayınlanır ve denetleyici makama (DPA) bildirilir.
KVKK kapsamında DPO
KVKK resmi “DPO” rolünü GDPR’daki gibi zorunlu kılmaz; ancak Kurul tebliğleri VERBİS kaydı için “İrtibat Kişisi” rolünü getirir. Daha büyük Türk kuruluşları sıklıkla KVKK ve GDPR uyumunu koordine etmek için bir DPO-eşdeğeri (Veri Koruma Sorumlusu, Veri Koruma Yöneticisi) atar. Yargıtay ve Danıştay kararlarında veri koruma uyumunun yapısal sorumluluğunun şirket içi tanımlı bir role bağlanması beklendiği yorumlanmaktadır. KVKK Veri Koruma Sertifikası, DPO mesleki gelişimini destekleyen yerli akreditasyondur.
DPO ve ilgili roller
- DPO vs. CISO: DPO veri koruma hukukuna odaklanır; CISO bilgi güvenliği teknolojisine ve operasyonlarına odaklanır — örtüşür ama özdeş değildir.
- DPO vs. uyum görevlisi: uyum görevlisi daha geniş düzenleyici manzarayı (mali, iş, sektörel) kapsar; DPO veri korumada uzmanlaşır.
- DPO vs. hukuk müşaviri: DPO’nun GDPR’da tanımlı spesifik yasal işlevleri vardır; hukuk müşaviri genel tavsiye verir ve avukat-müvekkil gizliliği koruması farklıdır.
Yapın: hukuki olarak gerekli olmasa bile DPO atamasını resmi olarak belgeleyin (atama kararı, görev tanımı); bağımsızlık ve yeterli kaynak sağlayın.
Yapmayın: DPO rolünü çıkar çatışması doğuran görevleri olan personele (CISO, CIO, pazarlama direktörü) atamayın — denetleyici makamlar yapısal bağımsızlığı incelerken bunu kırmızı bayrak sayar.