İzlanda

İZLANDA VERİ KORUMA OTORİTESİ’NİN, VERİ KORUMA GÖREVLİSİNİN ÇIKAR ÇATIŞMASI İÇERİSİNDE OLDUĞU GÖREVLERİ İFA ETMEMESİ GEREKTİĞİNE YÖNELİK KARARI

12 Ekim 2022 /

Yazan: Zeynep Öğretmen Kotil

  1. UYUŞMAZLIK ÖZETİ

Bu karar, bir genetik araştırma şirketinin veri koruma görevlisinin, bir veri koruma görevlisinin sahip olması gereken özellikleri ve sağlaması gereken şartları sağlayıp sağlamadığına ilişkin İzlanda Veri Koruma Otoritesi (“İzlanda VKO”)’nin değerlendirmesine ilişkindir. İzlanda VKO, ilgili şirketin veri koruma görevlisinin Genel Veri Koruma Tüzüğü’nün (“GVKT”) 38. maddesine[1] uygun olup olmadığını değerlendirmiştir.

  1. OLAYLAR

2.1. Uyuşmazlığın Başlangıcı

1 Eylül 2020 tarihli yazı aracılığıyla İzlanda VKO’ya yapılan başvuruda, Icelandic Genetic Analysis (“IGA”) isimli şirketin veri koruma görevlisinin pozisyonu hakkında ilgili VKO’dan bir değerlendirme yapması ve şirketin veri koruma görevlisinin, GVKT’de öngörülen şartları taşıyıp taşımadığının tespiti istenmiştir.

İzlanda VKO, ilgili talebi kabul ederek yapılacak olan değerlendirmenin, GVKT’ye aykırılık bulunduğu kabulü ile gerçekleştirilmediğini; GVKT’nin öngördüğü iş birliğini tesis için önemli bir uygulama olduğunu belirtmiştir. Bunun üzerine İzlanda VKO, veri koruma görevlisinin GVKT’nin 38. maddesinde öngörülen gerekliliklere uygun şekilde atanıp atanmadığını değerlendirmeye yarayacak bilgi ve belgeleri talep etmiştir. Ne var ki öngörülen süre içerisinde IGA’dan yanıt alınamamıştır.

İzlanda VKO tarafından ikinci kez gönderilen 7 Ekim 2020 tarihli yazıya da yanıt verilmemesi üzerine gerçekleştirilen 3 Kasım 2020 tarihli telefon görüşmesinde, talep edilen belgelerin sunulması için IGA’ya iki haftalık bir süre tanınmıştır. IGA tarafından, belirtilen sürenin son günü elektronik posta aracılığıyla İzlanda VKO’ya çeşitli belgelerin gönderilmesinin ardından, aynı gün ilerleyen saatlerde ek süre talebinde de bulunulmuştur. Bu talep üzerine şirkete, İzlanda VKO tarafından kesin bir süre verilmiş ve bu süre içerisinde ilgili bilgi ve belgelerin İzlanda VKO’ya sunulmaması halinde idari para cezası uygulanacağı belirtilmiştir.

2.2. IGA’nın Cevabı

23 Kasım 2020 tarihinde IGA tarafından gönderilen cevapta, şirketin mevcut gizlilik kuralları ve operasyon süreçleri açıklanmıştır. Bu süreç ve kurallara ilişkin bilgi ve belgeler sunulmuştur. Veri koruma görevlisinin görev ve yetkileri ile şirket içerisindeki diğer görev ve yetkilerine ilişkin açıklamalara yer verilmiştir. Bahsi geçen diğer görev ve yetkilerin bir kısmının yasal zorunluluklara dayandığı belirtilmiş ve bu zorunlulukların dayanakları açıklanmıştır.

  1. İZLANDA VKO’NUN DEĞERLENDİRMESİ

3.1. Veri Koruma Görevlilerinin Yasal Çerçevesi

GVKT madde 37[2] uyarınca, veri sorumlusunun ana veri işleme faaliyetini, hassas nitelikli kişisel verilerin kapsamlı şekilde işlenmesinin oluşturduğu hallerde bir veri koruma görevlisi atanması gerekmektedir. Veri koruma görevlisinin teknik ve hukuki yeterliliği yanında GVKT’nin 39. maddesinde[3] sayılan görevleri yerine getirebilmesi de gerekmektedir. Bununla birlikte, GVKT’ye uygun bir veri koruma görevlisinin varlığından bahsedebilmek için 38. maddede sayılan şartların da sağlanması gerekmektedir.

Madde 29 Çalışma Grubu’nun (Article 29 Data Protection Working Party) veri koruma görevlilerine ilişkin Nisan 2017’de güncellenen rehberinde[4], veri koruma görevlilerinin veri işleme süreçlerine ilişkin kararların alındığı orta ve üst yönetim toplantılarına katılımının önemi vurgulanmıştır. Veri koruma görevlilerine gereken bilgilerin sağlanması, alınan kararlardan ivedilikle haberdar edilmeleri, görevlerini yerine getirebilmeleri için sahip olmaları gereken yetki ve kolaylıkların sağlanması, yeterli destek ve erişime sahip olabilmeleri gerekmektedir.

Veri koruma görevlileri, veri işleme süreçlerini bir bütün olarak değerlendirerek, hukuka aykırılıklar tespit etmeleri halinde, bunu veri sorumlusuna bildirmeli ve gerekli önlemleri almalıdır. Veri koruma görevlileri ayrıca ilgili hukuka aykırılıklara ilişkin veri koruma otoriteleri ile de iş birliği içerisinde olmalı ve gerekli hallerde bu aykırılıkları bildirmeli ve veri koruma otoritesine danışmalıdır. Veri koruma görevlisinin görevlerini yerine getirirken veri sorumlusu veya veri işleyenden talimat almadan bağımsız olarak çalışması gerekmektedir. Bu sebeple veri koruma görevlisi, her daim şirketin en üst karar merciine raporlama yapmalıdır. Görevlerini yerine getirdikleri için cezalandırılmamaları veya görevden alınmamaları gerekir. Veri sorumlusu ile aralarında çıkar çatışması meydana gelmesi halinde, haksız işten çıkarma riskine karşı gerekli koruma mekanizmaları oluşturulmalıdır. Bu noktada, bağımsızlıklarının ve hukuki güvenliklerinin sağlanması son derece önemlidir.

Veri sorumlusunun girebileceği çıkar çatışmaları kadar; şirket içerisinde ifa ettiği diğer görev ve yetkilerinin de üstlendiği veri koruma görevlisi sıfatı ve bu unvanın yüklemiş olduğu sorumluluklar ile çatışmaması mühimdir. Genel olarak, şirketin üst yönetiminde yer alan kimselerin veri koruma görevlisi olarak atandığı hallerde çıkar çatışmasının yaşanabileceği kabul edilmektedir. Bahsi geçen çıkar çatışması, veri koruma görevlisinin, veri işleme faaliyetlerinin yöntem ve amaçlarının belirlenmesinde söz sahibi olduğu hallerde ortaya çıkmaktadır. Bununla birlikte, kişisel verilerin işlenmesine ilişkin bir dava sürecinde veri koruma görevlisinin, veri sorumlusunu veya veri işleyeni temsil etmesi halinde de çıkar çatışmaları meydana gelebilecektir.

Ek olarak; veri koruma görevlisinin varlığı, veri işleme faaliyetinin hukuka uygunluğunu sağlamada veri sorumlusu ve veri işleyenin sorumluluğunu ortadan kaldırmaz.

3.2. Veri Koruma Görevlisi Atama Zorunluluğu

IGA’nın web sitesinde, şirketin amacının İzlandalıların genetik materyalleri üzerinde araştırma yaparak insan doğasına ve hastalıkların nedenlerine ilişkin açıklamalarda bulunmak olduğu belirtilmiştir. GVKT’nin 9. maddesi[5] uyarınca, genetik veriler hassas nitelikli kişisel verilerdir. GVKT’nin 37. maddesi uyarınca IGA’nın bir veri koruma görevlisi ataması kaçınılmazdır.

3.3. Süreçlere Uygun ve Zamanında Ulaşma

IGA tarafından sağlanan bilgilerde, şirketin aktif bir Gizlilik Komitesi (Privacy Committee) bulunduğu belirtilmiştir. İlgili komitenin en az ayda bir kez toplandığı ve planlanan veri işleme faaliyetinin gözden geçirilerek bu değerlendirme sona erene kadar ilgili veri işleme faaliyetine ilişkin herhangi bir aksiyon alınmadığı ifade edilmiştir. Veri koruma görevlisi, bu komitenin bir parçasıdır ve kişisel verilerin korunmasına ilişkin süreçlere uygun ve zamanında müdahil olabilmektedir.

3.4. Kişisel Verilere Erişim ve İşleme Faaliyetleri

Şirket tarafından iletilen bilgilerde, IGA’nın veri koruma görevlisinin şirketin tüm çalışanlarından ve departmanlarından kişisel verilerin işlenmesine ilişkin tüm bilgi ve belgeleri gecikmeksizin talep etmeye yetkili olduğu belirtilmiştir. Veri koruma görevlisi, şirketin üst yönetimine, işleme faaliyetlerinin güvenliğine ilişkin değerlendirme yapılması gerektiğini tavsiye edebilmektedir.

IGA tarafından sağlanan bilgi ve belgeler eşliğinde, veri koruma görevlisinin görevini gereği gibi yerine getirebilmesi için gerekli kaynakların yanı sıra kişisel verilere ve işleme faaliyetlerine erişim sağlandığı kanaatine varılmıştır.

3.5. İş Yerinde Bağımsızlık ve Olası Çıkar Çatışmaları

IGA tarafından gönderilen cevapta, veri koruma görevlisinin veri işleme kararına ilişkin hiçbir zaman inisiyatif almadığı ve müdahalede bulunmadığı belirtilmiştir. Bu kararın belirli araştırmalar neticesinde araştırmacılar tarafından verildiği, bu sebeple herhangi bir çıkar çatışmasının bulunmadığı belirtilmiştir.

İzlanda VKO, veri koruma görevlisinin şirketteki diğer görevleri ile veri koruma görevlisi sıfatının çıkar çatışmasına sebebiyet verdiği hallerde bu görevin bir başkasına devredilmesi gerektiğini belirtmiştir. Çıkar çatışmasının varlığı değerlendirilirken, diğer unsurların yanında veri koruma görevlisinin şirket yönetimindeki pozisyonu mutlaka dikkate alınmalıdır.

IGA’nın vermiş olduğu cevaplarda, şirketin veri koruma görevlisinin aynı zamanda müdür yardımcısı olarak görev yaptığı ve günlük işlerinde bağlı olduğu müdüre yardımcı olduğu; bununla birlikte, şirketin kıdemli avukatı olarak da görev üstlendiği ve şirketin üçüncü kişilerle yaptığı sözleşmeler ile şirketin hukuki süreçlerine müdahil olduğu anlaşılmaktadır. Bununla birlikte ilgili veri koruma görevlisi, yönetim kurulundaki üç kişiden biri ve yönetim kurulunun da sekreteri konumundadır.

Yukarıda belirtilen hususlar göz önüne alındığında, İzlanda VKO, IGA’nın veri koruma görevlisinin hem şirketin üst yönetiminde yer alması hem de avukatlık görevini ifa etmesi sebebiyle çıkar çatışması yaşayabileceğine kanaat getirmiştir. Hal böyleyken; atanan veri koruma görevlisinin GVKT’nin 39. maddesi ile öngörülen rol ve görevlere uygun olmadığına, ilgili maddenin 6. fıkrasında belirtilen çıkar çatışmasının kaçınılmaz olduğuna kanaat getirilmiştir.

  1. KARAR VE ÖNERİLER

Yapılan değerlendirmeler sonucunda;

  • Veri koruma görevlisinin atanması, veri işleme süreçlerine dahil edilmesi, görevini yerine getirebilmesi için gerekli bilgi ve belgelerin sağlanması, erişimin tesis edilmesi gerekliliklerinin IGA tarafından yerine getirildiği sonucuna varılmıştır.
  • Veri koruma görevlisinin bağımsızlığının sağlanamadığına, şirket içerisindeki diğer görevlerinin veri koruma görevlisi sıfatı ile çıkar çatışması içerisinde olduğuna kanaat getirilmiştir.

Bu doğrultuda;

  • Mevcut veri koruma görevlisinin, çıkar çatışması yaratan diğer görev ve sorumluluklarının sonlandırılması yönünde talimat verilmiştir.
  • Cevaplarda yaşanan gecikme hakkında Covid-19 süreci göz önünde bulundurularak idari para cezası uygulanmamasına karar verilmiştir.

***

Karara aşağıdaki link üzerinden erişebilirsiniz:

https://gdprhub.eu/index.php?title=Persónuvernd_(Iceland)_-_2020061979&mtc=today

[1] GVKT, md. 38: Veri koruma görevlisinin konumu – (1) Veri sorumlusu ve veri işleyen, veri koruma görevlisinin kişisel verilerin korunmasına ilişkin tüm konulara uygun bir şekilde ve zamanında müdahil olmasını sağlar.

(2) Veri sorumlusu ve veri işleyen, 39. maddede atıfta bulunulan görevlerin gerçekleştirilmesi, kişisel veriler ile işleme faaliyetlerine erişilmesi ve uzmanlık bilgisinin aynı seviyede tutulması için gereken kaynakları sağlayarak bu görevlerin yerine getirilmesi hususunda veri koruma görevlisine destek verir.

(3) Veri sorumlusu ve veri işleyen, veri koruma görevlisinin bu görevlerin yerine getirilmesi ile ilgili olarak hiçbir talimat almamasını sağlar. Veri koruma görevlisi, görevlerinin yerine getirilmesi nedeniyle veri sorumlusu ya da veri işleyen tarafından işten çıkarılamaz veya cezalandırılamaz. Veri koruma görevlisi doğrudan veri sorumlusu veya veri işleyenin en üst yönetimine rapor verir.

(4) İlgili kişiler, kişisel verilerinin işlenmesi ve bu Tüzük kapsamındaki haklarının kullanımı ile ilgili tüm hususlarla alakalı olarak veri koruma görevlisiyle irtibata geçebilir.

(5) Veri koruma görevlisi, Birlik veya Üye Devlet hukuku uyarınca, görevlerinin yerine getirilmesi ile ilgili olarak sır saklama veya gizlilik ilkelerine bağlıdır.

(6) Veri koruma görevlisi başka görevleri ve vazifeleri de yerine getirebilir. Veri sorumlusu veya veri işleyen, söz konusu görev ve vazifelerin bir çıkar çatışmasına neden olmamasını sağlar.

[2] GVKT, md. 37: Veri koruma görevlisinin belirlenmesi – (1) Veri sorumlusu ve veri işleyen aşağıdaki durumlarda her halükârda bir veri koruma görevlisi belirler:

(a) işleme faaliyetinin kendi yargı yetkisi çerçevesinde hareket eden mahkemeler haricindeki bir kamu kuruluşu veya organı tarafından gerçekleştirilmesi;

(b) veri sorumlusu veya veri işleyenin temel faaliyetlerinin yapıları, kapsamları ve/veya amaçları gereği ilgili kişilerin düzenli ve sistematik bir şekilde büyük çaplı olarak izlenmesini gerektiren işleme faaliyetlerinden meydana gelmesi veya

(c )veri sorumlusu veya veri işleyenin temel faaliyetlerinin 9 madde uyarınca özel kategorilerdeki verilerin ve 10. maddede atıfta bulunulan mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin büyük çaplı olarak işlenmesinden meydana gelmesi.

  • Bir veri koruma görevlisine her işletmeden kolay bir şekilde erişilebilmesi koşuluyla, bir teşebbüsler grubu tek bir veri koruma görevlisi
  • Veri sorumlusu veya veri işleyenin bir kamu kuruluşu ya da organı olduğu hallerde, çeşitli kamu kuruluşları veya organların teşkilat yapısı dikkate alınarak, bunlara yönelik olarak tek bir veri koruma görevlisi belirlenebilir.
  • maddede atıfta bulunulanlar haricindeki durumlarda, veri sorumlusu veya veri işleyen ya da birlikler ve veri sorumlusu ya da veri işleyen kategorilerini temsil eden diğer organlar bir veri koruma görevlisi belirleyebilir veya [AB] Birlik veya üye devlet hukuku çerçevesinde gerektiği hallerde, bir veri koruma görevlisi belirler. Veri koruma görevlisi söz konusu birlikler ve veri sorumlularını ya da veri işleyenleri temsil eden diğer organlar adına hareket edebilir.
  • Veri koruma görevlisi mesleki nitelikler ve özellikle, veri koruma hukuku ve uygulamalarına ilişkin uzmanlık bilgisi ve 39. maddede atıfta bulunulan görevleri yerine getirme kabiliyetine dayalı olarak belirlenir.
  • Veri koruma görevlisi veri sorumlusu veya veri işleyenin bir çalışanı olabilir veya görevlerini bir hizmet sözleşmesine dayalı olarak yerine
  • Veri sorumlusu veya veri işleyen, veri koruma görevlisinin irtibat bilgilerini yayımlar ve denetim makamına

[3] GVKT, md. 39: Veri koruma görevlisinin görevleri – (1) Veri koruma görevlisinin en azından aşağıdaki görevleri bulunur:

(a) veri sorumlusu veya veri işleyen ile işleme faaliyetleri gerçekleştiren çalışanların bu Tüzük ile Birlik veya üye devletlerin diğer veri koruma hükümleri uyarınca yükümlülükleri hususunda bilgilendirilmesi ve onlara tavsiyede bulunulması;

(b )bu Tüzük’e, Birlik veya üye devletlerin diğer veri koruma hükümlerine uyumluluğu ve sorumlulukların verilmesi, işleme faaliyetlerine müdahil personelin bilinçlendirilmesi ve eğitimi ve ilgili denetimler de dahil olmak üzere veri sorumlusu veya veri işleyenin kişisel verilerin korunmasına ilişkin politikalarına uyumluluğun izlenmesi;

(c) talep üzerine veri koruma etki değerlendirmesine ilişkin tavsiyede bulunulması ve 35. madde uyarınca bu değerlendirmenin performansının izlenmesi;

(d) denetim makamıyla iş birliği yapılması;

(e) 36. maddede atıfta bulunulan ön istişare de dahil olmak üzere işleme faaliyetine ilişkin konularda denetim makamına yönelik bir temas noktası olarak hareket edilmesi v uygun olduğu hallerde, diğer her türlü konu ile ilgili olarak danışılması.

(2) Veri koruma görevlisi, görevlerini yerine getirirken, işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçlarını dikkate alarak, işleme faaliyetleri ile ilişkili riski göz önünde bulundurur.

[4] Article 29 Data Protection Working Party, Guidelines on Data Protection Officers (‘DPOs’), 16/EN, WP 243 rev.01, 5 Nisan 2017, bkz. https://ec.europa.eu/newsroom/article29/items/612048, Erişim Tarihi: 15.09.2022.

[5] GVKT, md. 9: Özel nitelikli kişisel verilerin işlenmesi- Irk veya etnik köken, siyasi görüşler, dini veya felsefi inançlar ya da sendika üyeliğinin ifşa edildiği kişisel verilerin işlenmesi ve bir gerçek kişinin kimlik teşhisinin yapılması amacıyla genetik veriler ile biyometrik verilerin, sağlık ile ilgili verilerin veya bir gerçek kişinin cinsel yaşamı veya cinsel eğilimine ilişkin verilerin işlenmesi yasaktır.

Bunlara da bakmak isteyebilirsin

İzlanda Veri Koruma Kurumu’nun 2020010552 sayılı 17.11.2021 Tarihli Kararı
22 Aralık 2021

Leave a Reply

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.

error: Content is protected !!