İnternetin son yıllarda hayatımıza daha fazla dahil olmaktadır. Günümüzde kişilerin işleri, okulları ve eğlenceleri bilgisayarlar ya da akıllı telefon ve tabletler üzerinden gerçekleştirilmektedir. Birçok servis ve uygulamayı kullandığımız günümüzde verilerimizi birçok şirket ve kurumla paylaşıyoruz. Veri korumanın temel amacı da esasında bu verilerin veri sahibinin onayı dışında kullanımının önüne geçmektir. Aksi bir durumda bireylerin başta özel hayatın gizliliği olmak üzere temel hakları ihlal edilmiş olacaktır. Bu kapsam hem Avrupa Birliği hem de Avusturya yasal düzenlemeler getirerek veri işleyenlerin denetim altına alınması ve ihlal durumunda bunun yaptırımlarla önüne geçilmesini sağlamaya çalışır. Konu ile ilgili olarak aşağıdaki kavram açıklamaları veri korumanın anlaşılması adına daha faydalı olacaktır.
Kişisel Veri: Belirli bir kişiye ya da belirlenebilir özellikteki bir kişiye ait ya da onunla ilgili olan her türlü bilgi.
Verinin İşlenmesi: Kişisel verinin elde edilmesinden sonra bu verinin silinmesi, yok edilmesi ya da kişilerin belirlenebilirlilik özelliği ortadan kalkana yani veri anonim olana kadar geçen süredeki her türlü faaliyet.
Veri Sorumlusu: Verinin işlenmesi için güdülen amacı ve bunun için kullanılacak aracı tespit eden ve verinin kaydedilmesi için gerekli sistemin kurulması ve kurulduktan sonra yönetilmesi işinden sorumlu olan gerçek ya da tüzel kişidir.
Veri Koruma Görevlisi: Dijital ortamda bulunan verilerin korunması adına çalışan ve bunu dahil olduğu eğitim ile sertifikalandırmış kişilerdir.
Düzenli olarak kişisel verileri işleyen şirketlerde DSGVO madde 37 kapsamında bir veri koruma görevlisi gereklidir. Bununla birlikte bir şirkette 20 kişi düzenli olarak veri işleme faaliyetinde bulunuyorsa bu şirketin de bir veri koruma görevlisine sahip olması gerekmektedir. Veri koruma görevlileri verilerin işlenmesi hususundaki faaliyetleri denetler ve uygunluk incelemesi yapar. Veri koruma görevlileri şirket bünyesinde görev yapan kişiler olabileceği gibi bu görev harici olarak da yerine getirilebilmektedir. Harici veri koruma görevlileri şirketin daimî çalışanı olmayan genellik birçok şirkete veri koruma görevlisi olarak hizmet eden kişilerdir. Harici veri koruma görevlisi bu alanda hizmet sağlayan şirketler tarafından sağlanabildiği gibi bireysel olarak bu hizmeti veren kişiler de mevcuttur.
Harici veri koruma görevlilerinin bir şirkete sunacağı hizmetler şu şekilde sıralanabilir:
Veri korumaya ilişkin yasal düzenlemelere uyumluğun denetlenmesi ve kontrolü,
Şirketin işleyiş ve faaliyetlerine etki edebilecek veri koruma geliştirmeleri hakkında danışmanlık,
Veri koruma faaliyetleri sağlanırken ticari faaliyete en az zararı verecek önlemlerin alınmasını sağlama,
İhlal durumlarındaki para cezalarının önlenmesi,
Veri işleme faaliyeti başlamadan olası risklerin hesaplanması,
DSGVO madde 35 kapsamında veri koruma etki değerlendirmesinin uygulanması ve yürütülmesi,
DSGVO madde 5 fıkra 2’ye göre veri koruma belgelerinin hazırlanmasına yardım ve veri sorumlusunun fiillerinin yasallığının sağlanması,
Sözleşme, tüzük ya da diğer hukuki belgelerin hazırlanması ya da uyarlanması,
Operasyonel veri korumasının nasıl yönetileceğinin planlanması ve organizasyonun tanımlanması.
Bu sayılanların yanı sıra birçok farklı detay olmakla birlikte bir harici veri koruma görevlisinin yerine getireceği görevler genel olarak bu şekilde açıklanabilir.
Veri koruma görevlisi olabilmek için yerine getirilmesi gereken şartlardan biri sertifika almaktadır. Açılan sınavlardan başarılı olan Datenschutzbeauftragter vasfını elde ederler. Veri koruma görevlisi son yıllarda ilgi gören bir iş kolu haline gelmiştir. Veri koruma görevlileri başarılı ve sürdürülebilir bir kurumsal işleyiş için gereklidirler. Böylesine kritik bir role sahip oldukları için de sertifikalı olarak çalışmaları öngörülmektedir. Sertifika için birçok kişi buna özel dersler veren sertifika kurslarına yazılmaktadırlar. Belirli süreli bir eğitimden geçen adaylar edindikleri bilgileri sınavda kanıtladıktan sonra sertifika almaya hak kazanlar veri koruma görevlisi olarak çalışmaya başlayabilmektedir. Sertifika ile bir şirkette çalışılabileceği gibi birçok şirkete harici olarak da hizmet vermek mümkündür. Fakat verilen sertifika süresiz değildir ve 3 yıl geçerlidir.
Avusturya’da veri koruma ile ilgili olarak temelde iki yasal düzenleme söz konusudur. Bunlar Avrupa Birliğinin kabul etmiş olduğu Genel Veri Koruma Yönetmeliği (DSGVO) ve Veri Koruma Yasası (DSG)’dır. Veri Koruma Yasası hükümleri incelendiğinde hükümlerinin tamamlayıcı nitelikte olduğu görülmektedir. Bunun anlamı Veri Koruma Yasası’nda öngörülen kuralların esasında Avrupa Birliği Genel Veri Koruma Yönetmeliği’ne atıf yapar nitelikte olmasıdır. Genel Veri Koruma Yönetmeliği bu bağlamda genel bir çerçeve oluşturmaktadır ve uygulanması gereken kuralları ve görevleri tanımlamaktadır. Avrupa Birliği’ne uyum süreci kapsamında da Avusturya kanuni düzenlemesini bu şekilde öngörmüştür. Yani Avusturya’da veri koruma hakkında uygulanan hukukun Avrupa Birliği çevrelerinde karşılaşılan genel düzenlemeleri takip ettiği söylenebilir.
Kişilerin servisleri ve uygulamaları kullanırken verilerinin bir şirket ya da kurumla paylaştığını belirtmiştik. Bu şirket ve kuruluşların verileri topluyor olması, bunların depolanması ya da kullanılması durumları verisini veren kişi açısından hak ihlaline yol açabileceği gibi bazı riskler de doğurur. Bu riskler gizli kalması istenen verilerin açığa çıkması, verilerin çalınması ile farklı amaçlarla kullanılması ya da veri işleyenim izin verilenin dışında bir amaçla veriyi kullanıyor olması olarak sıralanabilir. Veri koruma etki tahmini de tam burada devreye girmektedir. Bir kişinin verisinin işlenmesi sebebiyle oluşabilecek riskleri tespit etmek ve tespit edilen bu risklerin en kısa sürede ve etkili bir şekilde azaltılması için oluşturulan süreç veri koruma etki değerlendirmesidir. Bu bağlamda veri koruma etki değerlendirmesi risk yönetimi ve uyumluluk alanlarında kanıtlanabilirlik açısından büyük önem taşır. Veri koruma etki değerlendirmesi şartlarına uyum sağlamayanlara yetkili kurumların para cezası vermesi bile söz konusu olmaktadır. Veri koruma etki değerlendirmesini yapması gereken veri işleyenlerin bunu yapmaması, yanlış yapması ya da yetkili mercie başvuru yapması gereken durumlarda bunu yapmaması halinde 10.000€ ya da önceki senedeki cirosunun (yurtiçi ve yurtdışı her ikisi de dahil) %2sine kadar cezalar söz konusu olmaktadır. Bu iki ihtimalden hangisi daha yüksek ise ona göre idari ceza verilmektedir. Durum böyle olunca veri koruma etki değerlendirmesi şirketler tarafından önem verilen ve titiz davranılması bir konudur.
Kişisel verilerin aşağıdaki tabloda görüldüğü üzere iki şekilde saklanması mümkündür. Bunlardan biri dijital dünyanın getirisi olan elektronik saklama yöntemleridir. Diğeri ise daha geleneksel bir yöntem olan somut belgeler şeklindedir. Kişisel verilerin saklanmasına ilişkin yasaların izin verdiği ortamlardan biri tercih edilmeli ve saklama hukuka uygun bir şekilde gerçekleştirilmelidir. Bu bağlamda verinin korunmasının bakımı gündeme gelmektedir.
Veri işleyenin verileri saklamak için gerekli özen ve yükümlülüklerini yerine getirmesi lazımdır ve bakım korumayı gerçekleştirmesi gerekir. Bununla birlikte kullanım amacı doğrultusunda saklanması gerekmeyen verilerin imhası söz konusu olur. Verilerin imhası kullanılan saklama metoduna göre değişiklik gösterebilir. Örneğin sunucuda yer alan verilerin kullanımı için kanun tarafından öngörülen süre dolduğunda bu verilere veri işleyenin ulaşımının engellenmesi ve verilerin silinmesi gerekir.