İLETİŞİM
EN
Digital Maturity Assessment BİGR Danışmanlığı Göç'e Hazır mısınız? AÇIK KAYNAK KODLU SİSTEMLERE GÖÇ Penetrasyon Testi Bilgi Güvenliği Yönetimi Sistemi BGYS Kişisel Verilerin Korunması Kanunu-KVKK TaliaDomain Faronics Uçtan Uca Güvenlik
EN

GDPR ve KVKK’da Tanımlanan Kritik Roller Nelerdir?


GDPR ve KVKK farklı rollerin ve sorumluluklarının tanımlarını içermektedir. Kişisel verilerin korunması kanununa uyumun gerekliliklerini anlamaya veya uygulamaya başlamadan önce temel rolleri anlayıp belirlemek çok önemlidir. Kanunu doğru bir şekilde anlamak ve uygulamak için kilit rolleri anlamalı ve hangi rollerin kurumunuza uygun olduğuna karar vermelisiniz.

Denetleyici

Denetleyici, kişisel verilerin işlenme amaçlarını ve araçlarını belirleyen gerçek veya tüzel kişidir (örneğin, bir çalışanın kişisel verileri işlenirken, işveren denetleyici olarak kabul edilir). Belirli durumlarda müşterek veri sorumlularının bulunması mümkündür. Örneğin, bir şirket birden fazla ülkede faaliyet gösteriyorsa ancak işleme amaçlarıyla ilgili kararlar hem merkezi hem de yerel kuruluşlar tarafından veriliyorsa, senaryo ortak denetleyici olarak nitelendirilir.

Veri sorumlusunun temel sorumluluğu hesap verebilir olmak, yani kanun ile uyumlu eylemlerde bulunmak ve gerektiği şekilde ve gerektiğinde veri sahiplerine ve Denetleyici Otoriteye kanun ile uyumu açıklayabilmektir.

Veri İşleyen

Veri işleyen adına kişisel verileri işleyen bir gerçek veya tüzel kişi (örneğin, müşterisi adına hareket eden bir çağrı merkezi) işleyici olarak kabul edilir. İşleyicinin temel sorumluluğu, imzalanan Veri İşleme Sözleşmesinde belirtilen koşulların her zaman yerine getirilmesini ve kanunda belirtilen yükümlülüklere uyulmasını sağlamaktır.

Veri Koruma Görevlisi (DPO)

Veri Koruma Görevlisi, kanunun gerektirdiği bir liderlik rolüdür ve kanuna uyumluluktan sorumludur. Bu rol vatandaşların kişisel verilerini işleyen şirketlerde mevcuttur. Bir DPO, veri koruma yaklaşımını, stratejisini ve uygulanmasını denetlemekten sorumludur. Kurum DPO atamadan sorumluluğu kurumda mevcut bir kişiye devredebilir.

DPO atanıp atanmaması seçimi şirkette işlenen kişisel verilerin ölçeğine bağlıdır. Örneğin, tıbbi kayıtlar üzerinde analitik hizmetler sunan küçük bir şirket kişisel verileri işledikleri için bir DPO'ya sahip olmalıdır. Orta ölçekli bir üretim şirketin işledikleri tek kişisel veri personelin veya tedarikçinin olduğundan bir DPO'ya sahip olmamayı tercih edebilir.

DPO'nun temel sorumluluğu, kanun ile uyumluluğu sağlamak ve şirket yönetimine ve personeline alınacak doğru önlemler konusunda tavsiyelerde bulunmaktır.

Denetleme/Veri Koruma Kurumu

Veri koruma kurumunun/otoritesinin temel rolü, şirketlere kişisel verileri koruma hakkında tavsiyelerde bulunmak, kanuna uyum konusunda denetimler yapmak, veri sahiplerinden gelen şikayetleri ele almak ve şirketler kasıtlı olarak kanuna uymadığında para cezaları vermektir. Türkiye’de bu görevi Kişisel Verileri Koruma Kurumu yürütmektedir.