Bilişim Sektörü Ortak Deklarasyonu

Veri Koruma Görevlisi Sertifikasyonuna İlişkin Gelişmeler Hakkında Kamuoyuna Duyurumuzdur

Kişisel verilerin korunması, dijital çağın en kritik alanlarından biri haline gelmiş ve gerek kamu politikalarının gerekse özel sektör yatırımlarının merkezinde yer almaya başlamıştır. Bu kapsamda ülkemizde 2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Türkiye’nin dijitalleşme sürecindeki en temel yasal çerçevelerden biridir.

Kişisel Verileri Koruma Kurumu’nun 6 Aralık 2021 tarihli Resmi Gazete’de yayımladığı “Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ” ile aynı tarihte duyurulan “Veri Koruma Görevlisi Belgelendirme Programı”, bu çerçevenin geliştirilmesi yolunda önemli bir adımdır.

Ancak, İstanbul Barosu ve Türkiye Barolar Birliği tarafından bu düzenlemelerin yürütmesinin durdurulması ve iptali talebiyle Danıştay’a başvuruda bulunulmuş olması, ülkemizin veri koruma politikalarının geleceği adına endişe vericidir.

Uluslararası Uygulamalar ve Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR)

Avrupa Birliği'nin 2016/679 sayılı Genel Veri Koruma Tüzüğü (GDPR) çerçevesinde tanımlanan “Data Protection Officer” (DPO) yani "Veri Koruma Görevlisi", organizasyonların hukuk, bilişim, süreç yönetimi ve denetim gibi çok disiplinli alanlara hakim profesyonellerden oluşabilecek bir uzmanlık rolü olarak tanımlanmıştır. GDPR, DPO’nun yalnızca hukukçulardan oluşacağına dair bir zorunluluk getirmemektedir.

Aksine, teknik ve organizasyonel önlemleri değerlendirebilecek, süreçleri analiz edebilecek, bilgi güvenliği ilkelerine hâkim uzmanlar bu göreve getirilebilmektedir. Bugün Avrupa’da kamu kurumları ve özel şirketlerde görev yapan DPO’lar arasında bilişim teknolojileri, bilgi güvenliği, işletme, mühendislik ve hukuk alanlarından gelen çok sayıda profesyonel bulunmaktadır. İngiltere, Almanya ve Hollanda gibi ülkelerde bu görev için çok disiplinli sertifikasyon programları uygulanmakta, hukukçularla birlikte farklı disiplinlerden uzmanların da sorumluluk alması teşvik edilmektedir.

Türkiye’de Disiplinlerarası Yaklaşımın Gerekliliği

Veri koruma görevliliği, sadece “hukuki danışmanlık” alanı değil; aynı zamanda bilgi sistemleri yönetimi, siber güvenlik, risk değerlendirme, süreç denetimi ve insan kaynakları gibi pek çok alanla iç içe geçmiş bir uygulama pratiğidir. Nitekim KVKK kapsamındaki yükümlülüklerin yerine getirilmesinde, sadece yasal mevzuata değil aynı zamanda bu verilerin işlendiği teknolojik altyapılara dair bilgiye de sahip olunması gerekmektedir.

Bugün Türkiye’de, veri güvenliği politikalarının uygulanması, KVKK uyumluluk projelerinin yürütülmesi ve kişisel verilerin işlenmesine dair teknik süreçlerin yönetilmesinde yalnızca hukukçular değil, bilişim sektörü profesyonelleri de aktif sorumluluk taşımaktadır. Söz konusu danışmanlıklar; hukukçuların, bilişimcilerin ve iç denetçilerin birlikte çalışmasıyla sağlıklı şekilde yürütülebilmektedir.

Sertifikasyon Programının Önemi ve Baroların Yaklaşımına Dair Görüşümüz

Bilişim Sektörü Temsilcileri olarak, KVKK’nın belirlediği hedeflere ulaşılmasında nitelikli insan kaynağının artırılmasını desteklemekteyiz. Kişisel Verileri Koruma Kurumu tarafından geliştirilen sertifikasyon mekanizması, bu ihtiyacın sistemli bir şekilde karşılanmasına yönelik önemli bir adımdır.

Baroların itirazına konu olan sertifikasyon programının yürütmesinin durdurulması halinde, bu alanda oluşan uzman havuzu zedelenecek, şirketler ve kamu kurumları uygulayıcı rehberlikten mahrum kalacaktır. Ayrıca, veri koruma gibi çok boyutlu bir konuda sadece hukukçulara yetki verilmesi, uygulamanın dar bir alana sıkışmasına yol açacak, Türkiye'nin dijitalleşme hedeflerine zarar verecektir.

Sonuç ve Çağrımız

Türkiye Cumhuriyeti'nin kalkınma planlarında yer aldığı gibi, KVKK'nın bir sonraki adımı olarak kabul edilen GDPR düzeyinde bir uygulama sistemine ulaşılabilmesi için, veri koruma süreçlerinin çok disiplinli yaklaşımlarla yönetilmesi elzemdir.

Bu nedenle;

• Veri koruma görevliliği, yalnızca hukuki değil; teknik, organizasyonel ve süreçsel bilgi birikimi gerektiren bir uzmanlık alanıdır.

• Uluslararası uygulamalarda olduğu gibi, Türkiye’de de hukukçularla birlikte bilişim uzmanları ve farklı disiplinlerden profesyonellerin bu alanda görev alabilmesi sağlanmalıdır.

• Sertifikasyon süreci, bilgi ve beceriyi objektif olarak ölçen ve mesleki yetkinliği belgeleyen bir sistem olarak sürdürülmelidir. Bilişim Sektörü Temsilcileri olarak bu gelişmeleri yakından takip etmekte, üyelerimizin ve sektörümüzün menfaatlerini korumak adına gerekli girişimlerde bulunacağımızı kamuoyuna saygıyla bildiririz.

Sakarya Ticaret ve Sanayi Odası 31. Meslek Komitesi