Kişisel Verileri Koruma Kurumu 06.12.2021 tarihinde yayınladığı Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ ile Veri Koruma Görevlisi kavramını literatüre dahil etmiştir.
Konu henüz oldukça sıcak olup anlaşılmayı bekleyen birçok nokta mevcuttur.
Bu yazıda şu ana kadar yayınlanan verilerden yola çıkarak cevabı olan ve olmayan sorular üzerinden bir değerlendirme yapılacaktır.
“Veri Koruma Görevlisi” programına neden ihtiyaç duyulmuştur?
Öncelikle sektörde KVKK danışmanı vasfıyla faaliyet gösteren birçok danışmanın KVKK konusunda gerekli hukuki ve teknik mevzuata hakim olup olmadığı bilinmemektedir.
Buna ek olarak KVKK konusunda “Veri Sorumlusu” olan kurumlarla çalışan tüm uzmanların dikkatini çeken en temel konulardan biri genellikle kurumların içlerinde KVKK konusunda bilgi sahibi olan uzman eksikliğidir. Bu uzman kurum personelleri arasında olmadığı gibi kuruma sürekli olarak destek verecek bir dış kaynak ile de sağlanmamaktadır. Bunun yerine kurumlar genelde sadece zorunlu VERBİS kaydı sürecini atlatmayı sağlayacak bir danışmandan faydalanmakla yetinmektedir.
Sertifikalı “Veri Koruma Görevlisi” programı ile öncelikle KVKK konusunda yetkinliği belgelenmiş uzman personel yetiştirilmesi sağlanabilir. Bunun devamında ise “Veri Sorumlusu” ve “Veri İşleyen” kurumlar bu uzman personelleri istihdam ederek uzman personel eksikliklerini kapatabilir.
KVKK uyumu kapsamında kurumların “Veri Koruma Görevlisi” istihdam etmeleri şart mıdır?
Yayınlanan güncel tebliğ veya başka bir mevzuat kapsamında bu şekilde bir zorunluluk henüz ortaya konmuş değildir. Ancak orta ve uzun vadede kurumların bu şekilde iç veya dış kaynaklı personel istihdam etmelerine yönelik bir düzenleme gelmesi beklenen durumdur.
“Veri Koruma Görevlisi” sertifikası kim tarafından verilecektir?
İlk akla gelenin aksine sertifikayı Kişisel Verileri Koruma Kurumu vermeyecektir. Bunun yerine Türk Akreditasyon Kurumu (TÜRKAK) tarafından TS EN ISO/IEC 17024 numaralı personel belgelendirme standardına göre yetkilendirdiği belgelendirme kuruluşları sertifikayı verecektir.
Süreç temel anlamda aşağıdaki gibi işleyecektir.
- Belgelendirme yapmak isteyen kuruluşlar öncelikle programa dahil olmak için KVKK tarafına başvuracaktır.
- KVKK ile belgelendirme yapmak isteyen kurum arasında programın işletilmesine dair bir protokol yapılacaktır.
- KVKK ile belgelendirme kuruluşu arasında protokol tamamlandıktan sonra belgelendirme kuruluşu akreditasyon için TÜRKAK tarafına başvuracaktır.
- Belgelendirme kuruluşu gerekli hazırlıkları yaptıktan sonra TÜRKAK tarafından denetlenerek akredite edilecektir.
- Belgelendirme kuruluşu “Veri Koruma Görevlisi” kapsamında eğitim ve sınav programı açacaktır.
- Programı başarı ile tamamlayan kişiler “Veri Koruma Görevlisi” alacaktır
“Veri Koruma Görevlisi” sertifikası alanlar nasıl denetlenecektir?
Tebliğ’de verilen bilgiye göre bu kapsamda Sertifika Takip ve Doğrulama Bilgi Sistemi (SERTABİS) kurulacaktır. Bu sistem üzerinden sertifika sahibi kişilerin bilgileri, sertifikaların kapsamları, tarihleri, numaraları, geçerlilik süreleri ve personel belgelendirme kuruluşunun bilgileri öğrenilebilecektir.
“Veri Koruma Görevlisi” sertifikasının geçerlilik süresi ne kadardır?
Sertifikanın geçerlilik süresinin şu an için 4 yıl olması öngörülmektedir?
“Veri Koruma Görevlisi” programının ne zaman etkin bir şekilde kullanımı beklenebilir?
İlgili tebliğ yayınlanmış olmakla beraber netleştirilmeyi bekleyen noktaların ve sürecin ilerlemesi için biraz daha zamanın gerekliliği ortadadır?
Örneğin;
- Uygulanacak programının kapsamı
- Akreditasyon için belgelendirme kuruluşlarının (KVKK özelinde) taşıması gereken nitelikler
- Belgelendirme kuruluşları tarafından uygulanacak eğitim ve sınav detayları
net olmayan konulara örnek verilebilir.
Buna ek olarak;
- Belgelendirme kuruluşlarının KVKK ile protokol yapmaları
- Belgelendirme kuruluşlarının TÜRKAK tarafından akredite edilmeleri (veya var olan 17024 akreditasyonlarının KVKK kapsamında gözden geçirilmesi)
- Belgelendirme kuruluşlarının sertifikasyon programını ortaya koymaları
zaman gerektirecek unsurlar olarak göze çarpmaktadır.
Bu kapsamda “Veri Koruma Görevlisi” uygulamasının sahadaki pratik yansımasının biraz zaman alacağını öngörmek makul olacaktır.
“Veri Koruma Görevlisi” programının başarısı için hangi riskler öngörülebilir?
Kişisel Verilerin Korunması Kanunu kapsamında yapılan uygulamalarda kimi eksiklikler mevcut olsa da, kanunun devreye girmesinin başlı başına bir başarı olduğu yapılan uygulamalar ile kişisel verilerin mahremiyeti konusunda önemli mesafeler kat edildiğini kabul etmek gerekir.
“Veri Koruma Görevlisi” programının devreye girmesi de bunun gibi başlı başına önemli bir adımdır. Ancak gerek belgelendirme kuruluşları gerekse de sertifika sahipleri üzerinde sıkı bir denetim mekanizması uygulanması programın devamı için önem arz etmektedir. Aksi takdirde sektörde kurum veya kişi bazlı uygulanan bazı sertifikalar ile benzer bir akıbetin yaşanması çok büyük bir risk olarak ortadadır.
Bu noktada Kişisel Verileri Koruma Kurumu’nun bu zamana kadar yaptığı uygulamalarda süreçlerini görece olarak hassas ve başarılı bir şekilde yürütmüş olması bu programın başarısı için umut verici bir referans noktası olmaktadır.