Veri Güvenliğinde AB Kamu Sektörü Tecrübesi: DPO Realitesi
Tüm Avrupa ve dolayısıyla da ülkemizin son birkaç yıldır gündeminde olan önemli konulardan birisi kişisel veri güvenliği konusu. Aslında daha 1980’lerin başında gündeme gelmeye başlamıştı bireyin özel yaşamına dair bilgilerin mahremiyeti. Zira elektronik çağın ve bilgisayar teknolojisinin bugününü öngören gelişmiş Avrupa ülkelerinde, konunun bireylerin özgürlük alanıyla bu denli ilgili olduğunu tespit etmek zor olmamıştı. Ve büyük çoğunluğu AET yıllarında alınan mesafe, AB çağında semeresini verdi ve “kişisel veri güvenliğinin global anayasası” olan GDPR, 2016 yıllında kabul edildi. 28 Mayıs 2018 tarihi itibariyle de tüm hükümleriyle yürürlüğe girdi.
VERİ KORUMA GÖREVLİSİ (DPO) NEDİR?
Peki kurumsal, bireysel, sektörel ya da küresel boyutta GDPR neler öngörüyor? Önceki dönemde getirilen düzenlemeler tamamen kalktı mı? Hemen cevap verecek olursak, esasen kişisel verilerin korunmasıyla ilgili temel kavramlar, ilkeler, sorumlu ve sorumluluklar konularında bir önceki düzenleme olan 1995 tarihli 95/46 sayılı Direktifteki düzenlemelerin korunduğu söylenebilir. Ancak, kişisel verilerin korunması alanında ortak mevzuat ve uygulama, düzenleyici /otorite kurum, caydırıcı yaptırım ihtiyacı ve bu yazının konusu olan Data Protection Officer (DPO) belirlenmesi zorunluluğu gibi AB ölçeğinde ve AB ile ticaret yapan diğer ülkeleri de etkileyecek yeni düzenlemeler söz konusu. Nitekim GDPR’ın hemen akabinde AB resmi kurumlarına münhasır ayrı bir düzenleme ( Regulation 2018/1725) ile öncelikle veri işleyen resmi kurumların GDPR’a uyumunu sağlamak amaçlandı.
Evet, az önce değindiğimiz gibi, yeni dönem için resmi ya da özel statüdeki tüm veri sorumlularına, veri güvenliği ve uygulama konusunda danışmanlık yapacak Veri Koruma Görevlisinin (DPO) belirlenmesi/atanması gerekliliği olmuştur. Hemen hatırlatalım, DPO kavramı aslında yeni değil. GDPR öncesi dönemi düzenleyen 95/46 sayılı Direktif’e göre kurumlar için DPO atanması zorunluluğu yoktu. Ancak uygulamaya bakıldığında birçok birlik üyesi ülkede hayata geçirildiğini görüyoruz. GDPR’ a göre kurum içinden ya da dışından görevlendirilebilecek olan bu kişinin veri sorumlusu, veri sahipleri ve otorite kurumlar nezdindeki pozisyonu, yetki ve sorumlulukları tartışıladursun, şurası bir gerçek ki, artık özel ya da kamu sektöründe bireylerin verilerini işleyen bir veri sorumlusuysanız müşavirlik hizmet alımı benzeri yeni bir gider kaleminiz olacak gibi!
İLK VERİ KORUMA GÖREVLİSİ
Ülkemizde henüz kavramsal ve pratik alanda yerini bulmayan bu yeni uzmanlık alanı AB ölçeğinde özellikle AB resmi kuruluşlarında çoktan yerleşmiş durumda. AB bağımsız veri koruma otoritesi olan European Data Protectıon Supervısor (EDPS)’ın web sitesine baktığınızda, başta Avrupa Konseyi, Avrupa Komisyonu, Avrupa Parlamentosu, AB Adalet Divanı gibi kurumlar olmak üzere toplamda 67 kurum/ajans vb. organizasyon için (bazılarında birden fazla olmak üzere) DPO görevlendirildiğini görüyoruz.
Bu yazımızda, bu kurumlar arasında yer alıp sadece AB için değil tüm dünya için de önemli olan AB Merkez Bankası’nın (EU Central Bank) DPO’su olan Barbara EGGL ile yapılan röportajdan akılda kalması gereken noktaları sizlerle paylaşmak istedim. Zira, böylesine önemli ve resmi statüdeki bir AB Kurumunda oldukça yeni olan bu netameli alanda “ilk” Veri Koruma Görevlisi (DPO) olmanın yaşattığı tecrübeleri dinlemeyi önemli buluyorum.
2015 yılı Haziran ayından bu yana Merkez Bankasının DPO’su olarak görev yapan EGGL’ın bu kurumun en önemli birimlerinde daha önce görev yaptığını anlıyoruz. Paranın kaynağı olan Merkez Bankasının Kişisel veri ile olan ilişkisinin nerelerde yoğunlaştığını anlatarak başlıyor EGGL. İnsan kaynakları yönetimi, elektronik ya da fiziki ortamlarda kamu ile olan etkileşimler, Bankanın danışmanlık faaliyetleri, sektördeki diğer banka yöneticilerine dair yetkilendirme vb teknik ve idari görevleri işleme tafiği bakımından en yoğun alanlar olarak sayıyor. Ve AB’nin kamusal nitelikli birçok kurumunun yaklaşık aslında 15 yıllık DPO tecrübesiyle özel sektöre göre yeni döneme avantajlı girdiğini vurguluyor.
Genelde telefon ve e-posta ile kendisine tavsiye taleplerinin ulaştırıldığını belirten EGGL, soruların genel olarak veri işleme faaliyetlerinin iş hayatının dinamikleriyle uyumlu şekilde sürdürülebilmesi noktasında yoğunlaştığını belirtiyor. Görevini yaparken zamanını en çok yüzü yüze yaptığı toplantılara ayırdığını, çünkü yeni döneme uyumla ilgili birçok konunun anlaşılması için birebir görüşmelerin en etkili yol olduğunu üstüne basarak vurguluyor. Özellikle GDPR sonrasında AB kurumlarına yönelik çıkarılan ve uyum sürecinin uygulamaya dönük boyutunu daha katı kurallara bağlayan düzenleme sonrasında DPO olarak çalışmanın nasıl bir durum olduğu sorusuna ise, hem kolay hem de zor yönlerinin olduğunu söylüyor EGGL. GDPR ile birlikte farkındalık seviyesinin artmış olmasının, kuralların daha da belirginleşmesinin işlerini kolaylaştırdığını, öte yandan günlük yaşamın dijitalleşme ile daha komplike hale geldiğini, neredeyse her gün yeni bir olayla karşılaştığını ve bunlara çözüm bulmasının gerektiği için sorumluluğunun arttığını ifade ediyor.
Yeni dönemde geçerli olan, sorumlu tarafından daha veri işleme faaliyetinin henüz tasarlandığı aşamada veri sahibinin hakkının korunması konusunun dikkate alınması prensibinin (privacy by design) Merkez Bankasında nasıl uygulandığı sorusuna ise; tamamen “farkındalığı artırma” faaliyetlerini aksatmadan uygulamak olarak cevap veriyor. Yasal olarak kendisine verilmiş olan yetkinin sonucu olarak da, veri korumaya ilişkin kanaatlerini özellikle hali hazırda devam elektronik işleme süreçlerine dahil edebildiğini belirtiyor.
AB’nin en önemli resmi kurumlarında birinin DPO’su olarak, bu alanda başarılı olmak için en önemli üç başlığın ne olabileceği sorulduğunda, ilk olarak çalışılan kurumu ve işleme faaliyetlerini çok iyi tanımak gerektiğini vurguluyor. İkinci olarak, iş hayatının gerçekliklerini göz önüne alarak meselelere açık ve pozitif bir yaklaşım sergilemek (kesin bir dille evet ya da hayır dememek, iyi düşünerek ihtimalleri göz önünde bulundurmak) gerektiğini söylüyor. Son olarak da DPO olarak yasal konumunuzu ve görevlerinizi iyi bilmeniz gerekir diyor.
DPO’NUN SORUMLULUKLARI
Geçmiş tecrübesini de göz önüne alarak, bir DPO’nun yapması ya da yapmaması gereken şeylerin ne olduğu kendisine sorulduğunda, öncelikle, her ne kadar GDPR öncesi dönemin zor geçtiğini ifade ederek, yeni dönemde korkuya kapılmaya gerek olmadığını, zira GDPR sayesinde gizlilik için yere daha sağlam basıldığını belirtiyor. Bununla birlikte, konuyla ilgili otorite ve düzenleyicilerle sürekli temas halinde olmalarını tavsiye ediyor. Telefon, e-posta ya da yüzü yüze her türlü teması kurmalarını öğütlüyor. Ve en önemlisi de DPO olarak yaptıkları her işi, önerilerini belgelendirmelerini tavsiye diyor.
GDPR ile getirilen en önemli yenilik olan ve Merkez Bankasında da uygulanan DPIA (Veri Koruma Etki Değerlendirmesi) hakkında bilgi vermesi isteniyor. EGGL, EDPS tarafından kendisine Bankada bu çalışmayı yapması tavsiye edildiğinde ilk önce şok yaşadığını ifade ediyor. Zira her şeyden önce çalışmanın kapsamının hiçbir kurum tarafından iyi bilinmediğini, etrafta birçok taslak rehber çalışma olduğunu, ancak uygulamaya geçmiş ve denenmiş bir tecrübe olmadığını gördüğünü belirtiyor. Ancak, Bankadaki diğer paydaşlarıyla birlikte konunun yaratıcılık gerektirdiği sonucuna vardıklarını, veri işleme süreçlerini iyice analiz edip olası riskleri listelemekle başlamak gerektiğini düşünmüşler. Uzunca bir risk listesi yaptıktan sonra bunları hafifletici önlemlerin neler olabileceğini listelemişler. EGGL ironik bir tanımla DPIA in çok da ütopik ya da ileri düzey bilimsel bir konu olmadığını, ancak önemli bir vakıa olarak karşımızda durduğunu belirtiyor.
AB düzenlemelerini ve tecrübelerini geriden takip eden bir ülke olarak, bireyin özel yaşamına dair bir konuda tüm sektöre örnek olmasını beklediğimiz kamu kurumlarımızın bu alanda atacağı adımları merakla bekliyoruz.
KAYNAK Röportaj: EDPS
