Kişisel Verileri Koruma Kurumu tarafından hazırlanan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esas Hakkında Tebliğ (“Tebliğ”) 06.12.2021 tarihli ve 31681 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girdi.
Tebliğ (TS) EN ISO/IEC 17024 numaralı standarda uygun olarak Veri Koruma Görevlisi Programı dâhilinde kişilerin sertifikasyonuna ilişkin usul ve esasları belirlemektedir. Kişisel Verilerin Korunmasına yönelik hukuk doktorası, çeşitli akademik çalışmaları ve bu konuda bir kitabı da bulunan aynı zamanda Cumhurbaşkanlığı Finans Ofisi Danışmanı, TÜSİAD Veri Koruma ve Teknoloji Hukuku Çalışma Grubu Başkanı, Blockchain Türkiye Platformu (BCTR) Yürütme Kurulu Üyesi, Türkiye Odalar ve Borsalar Birliği (TOBB) FinTech Sektör Meclisi Üyesi ve SRP-Legal Kurucu ve Yöneticisi Av. Dr. Çiğdem Ayözger Öngün Tebliğ’in kişisel verilerin korunması gibi hassas bir konuda KVK Kurumu’nun bugüne değin başarıyla yürüttüğü tüm süreçlerin niceliği açısından sertifikasyon mekanizmasının önemli katkılar sağlayacağını değerlendirerek, Tebliğ ile KVK uzmanı olmayanların bu konuda kendilerini topluma ve kurumlara uzman olarak tanıtmalarının önüne geçileceğini değerlendirdi.
Tebliğ kapsamında öne çıkan konuları şu şekilde özetledi:
- Veri Koruma Görevlisi unvanına sahip kişilerin kişisel verilerin korunması mevzuatı açısından yeterli bilgiye sahip oldukları kabul edilecek ve bu unvanı sertifika geçerlilik süresi olan 4 yıl boyunca kullanabilecekler.
- Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) ile paralel olarak, mevzuatımıza Veri Koruma Görevlisi (“DPO”) kavramı dahil edilmiştir. Tebliğ uyarınca Veri Koruma Görevlisi; sertifikasyon sınavında başarılı olarak veri koruma görevlisi unvanını kullanmaya hak kazanan gerçek kişiyi ifade etmektedir.
- Veri sorumlusunun ve/veya veri işleyenin bünyesinde Veri Koruma Görevlisi istihdam etmesi, Kişisel Verilerin Korunması Kanun’una ve ilgili mevzuata uyma sorumluluklarını ortadan kaldırmayacaktır.
- Veri Koruma Görevlisi Sertifikası sınavına başvurma hakkı, sınav tarihinden önceki son 4 yıl içinde katılım belgesi almış olanlara veya geçerli bir veri koruma görevlisi sertifikasına sahip olmak koşuluyla, programda belirlenen şartları haiz olanlara tanınacaktır.
- Sertifikasyon faaliyetinin tarafsız, şeffaf ve etkin sürdürülmesini sağlamak amacıyla kamuya açık bir biçimde sorgulama imkânı tanıyan Sertifika Takip ve Doğrulama Bilgi Sistemi (“SERTABİS”) kurulacaktır.
- SERTABİS’ te katılım belgesinde yer alan bilgiler, personel belgelendirme kuruluşunun bilgileri ve statülerinde gerçekleşen değişiklikler ile sertifika sahibi kişilerin bilgileri, program kapsamında yapılan sınavların tarihlerinin yanı sıra sınavda başarılı olan kişilerin; sertifika tarihleri, sertifika numaraları, sertifika geçerlilik süreleri ve sertifika statülerine dair bilgiler yer alacak.
- Program kapsamında şikâyet veya itiraz başvuruları personel belgelendirme kuruluşuna yapılacaktır ve personel belgelendirme kuruluşuna şikâyet veya itiraz yolu tüketilmeden Kuruma başvuru yapılamayacaktır.
- Personel belgelendirme kuruluşları Türk Akreditasyon Kurumu (“TÜRKAK”) tarafından akredite edilip, TÜRKAK akreditasyonu tamamen veya kısmen askıya alabilir veya kuruluşun kapsamını daraltabilir.
Dr. Öngün, sertifikasyon mekanizmasının doğru işlerliğinin akredite olmuş personelin sadece yurtiçi çalışmalar bakımından değil, konuya ilişkin olarak uluslararası arenada yürütülecek çalışmalara da önemli katkıları olacağını ve mevzuat kapsamında Veri Koruma Görevlisi kavramının GPDR ile paralel olacak şekilde benimsenmiş olmasını önemli bir gelişme olarak değerlendirdi.