Tebliğ, 6698 sayılı Kişisel Verilerin Korunması Kanunu[1] (“Kanun”) Madde 22 fıkra 1 (e) bendi ile Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliği[2] Madde 7 fıkra 1 (g) ve (ı) bentleri ve Madde 18 fıkra 1 (a) bendi uyarınca hazırlanmış olup, temel olarak (i) veri koruma görevlisine ilişkin hükümleri, (ii) personel belgelendirme kuruluşlarının akreditasyon verebilmek için uymaları gereken şartları ve (iii) Sertifika Takip ve Doğrulama Bilgi Sistemi’ni (“SERTABİS”) düzenlemektedir.

Akreditasyon Süreci

Avrupa Birliği mevzuatında düzenlenmiş olan veri koruma görevlisi, veri sorumlusunun kişisel veri koruma mevzuatına uyumunun sağlanmasıyla görevli, önemli yetkileri olan, veri sorumlusundan bağımsız hareket eden ve doğrudan üst düzey yönetime raporlama yapan bir kişidir. Tebliğ ile getirilen düzenlemeler ışığında, veri koruma görevlisi sıfatının kazanılmasına ilişkin esaslar belirlenmiştir.

(TS) EN ISO/IEC 17024 standardına uygun olarak akredite edilmiş olan ve Kurum tarafından yetkilendirilen personel belgelendirme kuruluşları, detayları Kurum tarafından hazırlanacak eğitim programında belirlenecek usul ve esasları takip ederek, programa katılım sağlayan başvuruculara katılım belgesi verebileceklerdir. Katılım belgesine sahip olan ve belgelendirme kuruluşları tarafından yürütülecek olan sınavlarda başarı gösteren başvuru sahipleri, “veri koruma görevlisi” sıfatını kazanacaklardır.  Veri koruma görevlilerine, ilgili eğitim programına katılım göstermek ve program sonunda yapılacak sınavı başarıyla tamamlamak dışında herhangi bir teknik veya mesleki ön yeterlilik koşulu öngörülmemiştir.

Veri Koruma Görevlilerine İlişkin Temel Esaslar

Veri koruma görevlilerinin, aldıkları eğitim program kapsamında kişisel verilerin korunması mevzuatına dair yeterli bilgiye sahip oldukları kabul edilecek ve 4 yıl boyunca bu unvanı kullanmaları mümkün olacaktır. Veri koruma görevlilerinin, bu sürenin bitiminde belgelendirme kuruluşlarının düzenleyeceği sınava tekrar girip yeniden sertifika almaları gerekmektedir.

SERTABİS

Tebliğ,  aynı zamanda sertifikasyon faaliyetlerinin tarafsız, şeffaf ve etkin bir şekilde sürdürülmesini sağlamak amacıyla, SERTABİS’i de düzenlemektedir.

Sonuç

Tebliğ ile birlikte, (i) kişisel verilerin korunmasına ilişkin yetkinliği belgelenmiş uzmanların yetiştirilmesi ve veri koruma görevlilerin yaygınlaştırılması; (ii) ilgili alanda uzman kişiler ile çalışarak gün geçtikçe daha da önem kazanan veri güvenliğinin sağlanması hususunda daha emin adımlar atması; ve (iii) SERTABİS sistemi ile, akredite edilen veri koruma görevlilerine ilişkin şeffaflığın ve kamu güveninin sağlanması gibi başlıca hususlar gözetilmektedir. Son olarak özellikle belirtilmesi gereken bir diğer husus ise, veri koruma görevlisi barındırmanın veri sorumlusunun ve veri işleyenin Kanuna ve ilgili mevzuata uyma yükümlülüğünü ortadan kaldırmayacak olmasıdır.