Başkanlık Teşkilatı - Kişisel Verileri Koruma Kurumu

3. TÜRKİYE’DE VERİ SORUMLUSUNUN 6698 SAYILI KİŞİSEL

3.3. Kişisel Verileri Koruma Kurumu

3.3.2 Başkanlık Teşkilatı

Kanun’un 25. maddesi Başkanlığın oluşum ve görevlerini düzenlemiştir. Buna göre; “Başkanlık; Başkan Yardımcısı ve hizmet birimlerinden oluşur. Başkanlık, belirlenen görevleri daire başkanlıkları şeklinde teşkilatlanan hizmet birimleri aracılığıyla yerine getirir.”

Başkanlığın görevleri 25. maddenin 4. fıkrasında sayılmıştır. Buna göre Başkanlık;

- “Veri Sorumluları Sicilini tutmak,

- Kurum’un ve Kurul’un büro ve sekreterya işlemlerini yürütmek,

- Kurum’un taraf olduğu davalar ile icra takiplerinde avukatlar vasıtasıyla Kurum’u temsil etmek, davaları takip etmek veya ettirmek, hukuk hizmetlerini yürütmek,

- Kurul üyeleri ile Kurum’da görev yapanların özlük işlemlerini yürütmek, - Kanunlarda mali hizmet ve strateji geliştirme birimlerine verilen görevleri

yapmak,

- Kurum’un iş ve işlemlerinin yürütülmesi amacıyla bilişim sistemlerinin kurulmasını ve kullanılmasını sağlamak,

- Kurul’un yıllık faaliyetleri hakkında veya ihtiyaç duyulan konularda rapor taslaklarını hazırlamak ve Kurul’a sunmak,

- Kurum’un stratejik plan taslağını hazırlamak,

- Kurum’un personel politikasını belirlemek, personelin karişyer ve eğitim planlarını hazırlamak ve Kurul’a sunmak,

- Kurum’un stratejik plan taslağını hazırlamak,

- Kurum’un personel politikasını belirlemek, personelin kariyer ve eğitim planlarını hazırlamak ve uygulamak,

- Personelin atama, nakil, disiplin, performans, terfi, emeklilik ve benzeri işlemlerini yürütmek,

- Personelin uyacağı etik kuralları belirlemek ve gerekli eğitimi vermek - Kurum’un ihtiyacı olan her türlü satın alma, kiralama, bakım, onarım,

yapım, arşiv, sağlık, sosyal ve benzeri hizmetleri yürütmek, - Kurum’a ait taşınır ve taşınmazların kaydını tutmak,

- Kurul veya Başkan tarafından verilen diğer görevleri yapmak.” İle görevlendirilmiştir.

Kurumun’un hizmet birimleri Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliği 13. maddesinde sayılmıştır.

Veri Yönetimi Dairesi Başkanlığı: Kişisel verilerin işlenmesine ilişkin usul ve esasların belirlenmesi, veri sorumlusu, temsilcisi ve irtibat kişisinin görev, yetki ve sorumluluklarına ilişkin iş ve işlemleri yürütme, Sicil ile ilgili iş ve işlemleri yürütme, aydınlatma yükümlülüğünü yerine getirmeyenler hakkındaki iş ve işlemleri yürütme, veri silme, yok etme ve anonimleştirme usulleri ile ilgili çalışmaları yürütme gibi görevleri yerine getirir.

İnceleme Dairesi Başkanlığı: Veri sorumlusuna başvuru ve Kurul’a yapılan şikâyete ilişkin iş ve işlemler, Kurul’a yapılan şikayetlerle ilgili ön inceleme ve esas incelemeleri, şikayet üzerine veya resen incelemeyle ilgili işlemler, Kurul tarafından verilen kararları yerine getirmeyenler hakkındaki iş ve işlemler, Kurul’a ait yazışmaları yapmak, karar ve yazışmalara ilişkin arşiv oluşturmak ve bunları muhafaza etmek gibi görevleri yerine getirir.

Hukuk İşleri Dairesi Başkanlığı: Kurum’un taraf olduğu dava ve icra takiplerinde Kurum’u temsil etme, Başkan ve Kurul tarafından intikal ettirilen konularda hukuki görüş bildirme, Kişisel verilerin yurtdışına aktarılmasında yeterli korumanın bulunduğu ülkelerin belirlenmesinde ilişkin işlemleri yürütme gibi görevleri yerine getirir.

Veri Güvenliği ve Bilgi Sistemleri Dairesi Başkanlığı: Veri güvenliği ile ilgili iş ve işlemleri yürütme, veri koruması amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü tedbirin alınması hususundaki işlemleri yürütme, özel nitelikli kişisel verilerin işlenmesi için alınması gereken önlemleri belirlemekle ilgili çalışmaları yürütme, veri aktarımına ilişkin alınması gereken güvenlik önlemlerini belirleme gibi görevleri yerine getirir.

Rehberlik, Araştırma ve Kurumsal İletişim Dairesi Başkanlığı: Kişisel verilerin korunması ile ilgili standartların belirlenmesi, yetkilendirme ve sertifika işlemleri, kamu kurum ve kuruluşları, gerçek ve tüzel kişiler ile gönüllü kuruluşlara faaliyetlerinde yol gösterecek plan ve programlar oluşturma ve rehberlik etme, Kurujm’un yurtiçi ve yurtdışı faaliyetlerini raporlama ve arşivleme gibi görevleri yerine getirir.

İnsan Kaynakları ve Destek Hizmetleri Dairesi Başkanlığı: Kurum’un insan kaynakları politikasını belirleme, personelin kariyer ve eğitim planlarını hazırlama

ve uygulama, Kurum’un hizmet içi eğitim planını hazırlama ve eğitim programları düzenleme gibi görevleri yerine getirir.

Strateji Geliştirme Dairesi Başkanlığı: Kurum’un stratejik planını hazırlama, amaç ve hedeflerini, hizmet kalite standartlarını ve performans kriterlerini belirleme, Kurum’un hesap planları ve muhasebe kayıtlarıyla ilgili işlemleri yürütme gibi görevleri yerine getirir.

3.4.Veri Sorumlusu

Veri sorumlusu Kanunun 3. maddesinin 1. fıkrasının (ı) bendinde de tanımlandığı üzere; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Bu kişiler gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilir129_{. Kişisel Verileri} Koruma Kurumu’na göre (Çalışmanın bundan sonraki bölümlerinde “Kurum” olarak anılacaktır.), tüzel kişiler, veri işleme konusunda direkt olarak veri sorumlusu olduklarından, hukuki sorumluluk da tüzel kişinin şahsında doğacaktır130_{. Bu tanımlamadan yola çıkarak, özel bir şirketin, faaliyetleri} kapsamında işlemiş olduğu kişisel veriler dolayısıyla şirket içerisinde herhangi bir çalışanı sorumlu olarak göstermesi halinde, söz konusu şirketin hukuka aykırı şekilde kişisel veri işlemesi sonucu, sorumlu olarak belirlenen çalışan sorumlu kabul edilmeyecek, aksine sorumluluğunun doğmasını engellemeye çalışmasına karşın şirketin tüzel kişiliği üzerinde sorumluluk gündeme gelecektir.

Veri sorumlusunun Kanun’da önemli bir konumu vardır. Kanun’da belirtilmiş sorumluluklar veri sorumlusunun üzerinde doğmaktadır. Bu sorumluluklara aykırı davranılması halinde de yaptırımlarla karşı karşıya kalacak olan kişi veri

129_{https://www.tbmm.gov.tr/sirasayi/donem26/yil01/ss117.pdf , s.7, Erişim Tarihi: 18.12.2018.} 130_{Kişisel Verileri Koruma Kurumu,}

sorumlusudur. Bu nedenle veri sorumlusunun belirlenmesi, tüm sorumluluk ve yaptırımların belirlenmesi ve uygulanması açısından önem arz etmektedir. Yukarıda verilen Kanun tanımından da görüleceği üzere, veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen konumunda da olabilir. Kanunun 3. maddesinin 1. fıkrasının (ğ) bendinde belirtilen ve daha sonra detaylı olarak anlatılacak olan “veri işleyen”131_{, veri sorumlusunun verdiği yetkiye} dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Bu tanımdan da anlaşılacağı üzere, Kanun veri sorumlusuna, kişisel verileri bizzat işlemese dahi üçüncü kişiler aracılığıyla işleme imkânı vermiş, buna dayanarak da 12. maddenin 2. fıkrasında; veri sorumlusunu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda, bu kişilerle birlikte müştereken sorumlu tutmuştur.

Uygulamada, belirli bir veri işleme sürecinde, kimin ya da neyin veri sorumlusu olduğunu belirlemekte çeşitli sıkıntılar ile karşılaşılabilir. Bu sıkıntı kendini özellikle geniş ve karmaşık yapılanmalarda ve elektronik iletişim ağlarında gösterir132

. Veri sorumlusu ve veri işleyen rolleri dikkatli bir biçimde belirlenmelidir, veri sorumluları veri işleyenlerle çalışabileceği gibi, alt veri işleyenlerle de çalışma durumu gündeme gelebilecektir, bu ihtimal dahilinde rollerin çatışmaması adına veri sorumlusu tarafından roller ve sorumluluk haritası çıkartılması bu konuda sorumlulukların belirlenmesinde taraflara yardımcı olabilecektir133.

Belgede Avrupa Birliği Genel Veri Koruma Regülasyonundaki Veri Koruma Görevlisi kavramı ile Türk hukukundaki Veri Sorumlusu Temsilcisi ve İrtibat Kişisi kavramlarının karşılaştırılması (sayfa 79-83)