Kişisel Verileri Koruma Kurumunun yakın zamanda bazı şirketlerde zorunlu tutacağı “Veri Koruma Görevlisi (DPO) pozisyonu için Kurumun yapacağı eğitime karşı, Türkiye Barolar Birliği (TBB) “yasaya göre bu görev avukatlara verilmelidir” diyerek Danıştay’a başvurdu.
TBB, 06 Aralık 2021 tarihinde Resmi Gazete’de yayımlanan Kişisel Verileri Koruma Kurumunun “Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ” ile Kurumun internet sayfasında 07 Aralık 2021 tarihinde yayımlanan “Veri Koruma Görevlisi Belgelendirme Programı”nın yürütmesinin durdurulması ve iptali istemiyle Danıştay’a başvurduğunu açıkladı.
15 Nisan 2025 tarihinde duruşma yapıldı; Türkiye Barolar Birliği, Ankara, Antalya, İzmir, Samsun, Tekirdağ baroları olrak davaya katıldıklarını duyurdular. Kararın da yakında çıkmasının beklendiği bildiriliyor.
Baroya göre, dört yıllık lisans eğitimi veren fakültelerden mezun olanların veri koruma görevlisi olmasına imkan sağlayan bu düzenlemeler, 1136 Sayılı Avukatlık Kanununun “Yalnız avukatların yapabileceği işler” başlıklı 35. maddesine aykırı durumda. Bu madde ile hukuki danışmanlık yapma, hukuki işlemleri takip etme, dava açma ve savunma yetkisi sadece avukatlara verildiğini kaydeden TBB, Kişisel Verileri Koruma alanının bir hukuk disiplini olması nedeniyle, veri koruma görevlisi adı altında avukat olmayan kişilerce hukuki danışmanlık hizmeti verilmesi açıkça Avukatlık Kanunu’na aykırılık teşkil ettiğini ileri sürüyor.
Bilişim Dernekleri Baronun Başvurusuna İtiraz Etti
Bu duruma karşı bilişim dernekleri itiraz ediyor ve Avrupa Birliği’nin Veri koruma kanunu olan GDPR’daki (madde 37-39 arası) aynı pozisyon için şartları hatırlatıyorlar. Konuyla ilgili olarak Tübider’in açıklaması şu şekilde;
TÜBİDER’den Veri Koruma Görevlisi Sertifikasyonuna Yönelik Açıklama
TÜBİDER Bilişim Sektörü Derneği olarak, Kişisel Verileri Koruma Kurumu’nun 6 Aralık 2021 tarihinde yayımladığı “Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ” ve “Veri Koruma Görevlisi Belgelendirme Programı”nı, Türkiye’nin veri güvenliği ve dijitalleşme hedefleri açısından önemli bir gelişme olarak görmekteyiz.
Ancak İstanbul Barosu ve Türkiye Barolar Birliği tarafından bu düzenlemelere karşı açılan iptal davası, veri koruma alanında çok disiplinli yaklaşımların önüne geçme riski taşımaktadır. Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında tanımlanan “Veri Koruma Görevlisi” rolü, yalnızca hukukçulara değil; bilişim, denetim, süreç yönetimi gibi alanlardan gelen profesyonellere de açıktır.
Kişisel verilerin korunması yalnızca hukuki değil; aynı zamanda teknik, organizasyonel ve süreçsel bir sorumluluktur. Türkiye’de de bu alanda başarı, hukukçularla birlikte bilişim uzmanlarının da aktif şekilde süreçlerde yer almasıyla mümkündür.
Söz konusu iptal talebi kabul edilirse; hem uygulayıcıların yetkinleşme yolu tıkanacak, hem de kurumların ihtiyaç duyduğu rehberlik ve teknik desteğe erişimi zarar görecektir.
TÜBİDER olarak, çok disiplinli yetkinlikleri içeren bir sertifikasyon yapısının sürdürülmesini, ülkemizin GDPR ile uyumlu bir yapıya ulaşması ve dijital dönüşüm hedefleri açısından hayati görüyoruz.
Kamuoyuna saygıyla duyurulur.
Tuncay Işık
TÜBİDER Bilişim Sektörü Derneği – Yönetim Kurulu Başkanı
GDPR Ne Diyor?
Peki AB’nin çok sıkı olmakla ünlü “Veri Koruma Kanunu” bu konuya nasıl bakıyor?
GDPR (Genel Veri Koruma Tüzüğü), Veri Koruma Görevlisi (DPO – Data Protection Officer) için belirli bir meslek şartı getirmiyor. Ancak, DPO’nun taşıması gereken nitelikleri açık şekilde tanımlıyor. GDPR’a göre DPO’nun mutlaka avukat veya hukukçu olması gerekmez. Ancak, kurumun veri işleme faaliyeti karmaşık ve riskli ise, DPO’nun hukuki yetkinlikleri yüksek olmalıdır. Örneğin, hastaneler, bankalar, kamu otoriteleri gibi alanlarda DPO’ların genellikle hukuk eğitimi almış profesyoneller olması tercih edilir.
Avrupa Ülke Uygulama Eğilimi şöyle;
- Almanya Genelde hukukçu veya IT uzmanı, zorunlu DPO yaygın
- Fransa CNIL (kurum) rehberliğinde hukukçu + teknik uzmanlık dengesi
- Hollanda Genelde hukuk danışmanları DPO olarak atanır
- İtalya Hem iç kaynak hem dış danışman olabilir, baro üyesi olması şart değil
Özetle, GDPR, DPO’nun mesleğini değil, yetkinliğini esas alıyor. Ama veri koruma görevinin doğası gereği, hukuk bilgisi kritik önemdedir. DPO’lar ayrıca kuruluşun hangi teknik ve organizasyonel süreçleri anlayabilmeli. Teknik anlamda veri güvenliği konusunda bilgili olmalıdır. Yani “Veri koruma konusunda uzman ve bağımsız çalışabilen biri” olması önemlidir. Bu kişi Avukat da olabilir, Bilişim sektöründen de olabilir.
Kaynak : 