Kişisel Verileri Koruma Kurumundan:
PERSONEL SERTİFİKASYON MEKANİZMASINA İLİŞKİN USUL VE ESASLAR HAKKINDA TEBLİĞ
BİRİNCİ BÖLÜM
Amaç, Kapsam, Dayanak ve Tanımlar
Amaç
MADDE 1 - (1) Bu Tebliğin amacı, (TS) EN ISO/IEC 17024 nolu standarda uygun olarak Veri Koruma Görevlisi Programı dahilinde kişilerin sertifikasyonuna ilişkin usul ve esasları belirlemektir.
Kapsam
MADDE 2 - (1) Bu Tebliğ, (TS) EN ISO/IEC 17024 standardına uygun olarak akredite olan ve Kurum tarafından yetkilendirilen personel belgelendirme kuruluşları tarafından yürütülecek sertifikasyon faaliyetleri ile veri koruma görevlilerini ve adaylarını kapsar.
Dayanak
MADDE 3 - (1) Bu Tebliğ, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 22 nci maddesinin birinci fıkrasının (e) bendi ve 17/1/2018 tarihli ve 2018/11296 sayılı Bakanlar Kurulu Kararı ile yürürlüğe konulan Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliğinin 7 nci maddesinin birinci fıkrasının (g) ve (ı) bentleri ile 18 inci maddesinin birinci fıkrasının (a) bendine dayanılarak hazırlanmıştır.
Tanımlar
MADDE 4 - (1) Bu Tebliğin uygulanmasında;
a) Akreditasyon: Türk Akreditasyon Kurumu tarafından; belgelendirme, doğrulama, yeterlik testi sağlama ile diğer uygunluk değerlendirme kuruluşlarının ulusal ve uluslararası kabul görmüş teknik kriterlere göre değerlendirilmesini, yeterliğinin onaylanmasını ve düzenli aralıklarla denetlenmesini,
b) Başkan: Kişisel Verileri Koruma Kurumu Başkanını,
c) Kanun: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununu,
ç) Katılım belgesi: Kurul tarafından usul ve esasları belirlenen eğitim programını tamamlayanlara Kurum tarafından verilen belgeyi,
d) Kurul: Kişisel Verileri Koruma Kurulunu,
e) Kurum: Kişisel Verileri Koruma Kurumunu,
f) Personel: Sertifika almak isteyen gerçek kişiyi,
g) Personel belgelendirme kuruluşu: Türk Akreditasyon Kurumu tarafından (TS) EN ISO/IEC 17024 standardı kapsamında akredite edilen, sertifikasyona ilişkin ilgili sınavlarda başarılı olanları belgelendirmeye yetkili kuruluşu,
ğ) Program: Kurul tarafından ana hatları belirlenerek yayımlanan veri koruma görevlisinin sertifikasyon faaliyetlerine ilişkin şartların belirlendiği dokümanı,
h) Program kullanma onayı: Kurul tarafından yayımlanacak kişisel verilerin korunması alanındaki sertifikasyona konu programların, personel belgelendirme kuruluşu tarafından kullanılabilmesini sağlayan Kurum ön iznini,
ı) SERTABİS: Kurum tarafından, sertifikasyon faaliyetinin tarafsız, şeffaf ve etkin sürdürülmesini sağlamak amacıyla oluşturulan, personel belgelendirme kuruluşunun ve sertifika sahibi kişilerin bilgilerinin yanı sıra sertifikaların kapsamlarının, tarihlerinin, numaralarının, geçerlilik sürelerinin ve personel belgelendirme kuruluşunun bilgilerinin sorgulanabildiği, Sertifika Takip ve Doğrulama Bilgi Sistemini,
i) Sertifikasyon: Kanun ve ilgili mevzuat çerçevesinde, sertifika almak için gereken şartları taşıyan ve sınavda başarılı olanların belgelendirilmesi işlemini,
j) Sınav: Adayların bilgi, beceri ve yetkinliklerinin değerlendirilmesi amacıyla personel belgelendirme kuruluşları tarafından programa ve akreditasyon kurallarına göre gerçekleştirilen değerlendirme sürecini,
k) Sözleşme: Personel belgelendirme kuruluşunun yetkilendirme kapsamında Program kullanma onayı için Kurum ile yapacağı sözleşmeyi,
l) Standart: Uluslararası Standardizasyon Teşkilatı tarafından kabul edilen "(TS) EN ISO/IEC 17024 Uygunluk Değerlendirmesi Personel Belgelendirmesi Yapan Kuruluşlar İçin Genel Şartlar" standardını,
m) TÜRKAK: Türk Akreditasyon Kurumunu,
n) Veri koruma görevlisi: Sınavda başarılı olarak veri koruma görevlisi unvanını kullanmaya hak kazanan gerçek kişiyi,
o) Yetkilendirme: TÜRKAK tarafından akredite edilmiş personel belgelendirme kuruluşuna Kurum tarafından bu Tebliğ kapsamında faaliyete başlamak için verilen izni ifade eder.
(2) Bu Tebliğde yer almayan tanımlar için Kanunda ve Standartta yer alan tanımlar geçerli olacaktır.
İKİNCİ BÖLÜM
Genel Esaslar
Genel esaslar
MADDE 5 - (1) Sertifikasyon işlemleri bu Tebliğde ve Standartta belirtilen usul ve esaslara uygun olarak yürütülür.
(2) Sertifikasyon için aşağıdaki esaslar uygulanır:
a) Personel belgelendirme kuruluşu tarafından, sertifikasyon faaliyetlerinin tüm süreçlerinde tarafsızlığın ve şeffaflığın sağlanması gerekmektedir.
b) Sertifikasyon faaliyetleri esnasında herhangi bir eksiklik ve aksaklık yaşanmaması adına personel belgelendirme kuruluşunun gerekli ve yeterli personele, kaynağa, fiziki, teknik ve idari altyapıya sahip olması gerekmektedir.
c) Veri sorumlusunun ve/veya veri işleyenin bünyesinde veri koruma görevlisi istihdam etmesi, veri sorumlusunun ve veri işleyenin Kanuna ve ilgili mevzuata uyma sorumluluğunu ortadan kaldırmaz.
ç) Katılım belgesi, veri koruma görevlisi unvanını kullanma ve veri koruma görevlisi olarak faaliyet gösterme imkanı sağlamaz.
(3) Katılım belgesine ilişkin usul ve esaslar Kurul tarafından belirlenerek ilan edilir.
ÜÇÜNCÜ BÖLÜM
Veri Koruma Görevlisi
Veri koruma görevlisi
MADDE 6 - (1) Katılım belgesini alan kişilerden sınavda başarılı olanlar veri koruma görevlisi unvanını kullanmaya hak kazanırlar.
(2) Veri koruma görevlisinin sertifikalandırıldıkları program kapsamında kişisel verilerin korunması mevzuatı açısından yeterli bilgiye sahip olduğu kabul edilir.
(3) Veri koruma görevlisi, sadece sertifikalarının geçerlilik süresi boyunca bu unvanı kullanabilir.
DÖRDÜNCÜ BÖLÜM
Program, Başvuru, Ölçme ve Değerlendirme, Geçerlilik ve Ücretler
Program kullanma onayı ve sözleşme
MADDE 7 - (1) Kurumun yayımladığı programın, personel belgelendirme kuruluşu tarafından akreditasyon sürecinde başvuru aşamasında kullanılabilmesi ancak Kurulun program kullanma onayını müteakiben sözleşmenin imzalanmasıyla mümkündür.
(2) Personel belgelendirme kuruluşu, programı Kurum tarafından yayımlanan güncel haliyle, herhangi bir değişiklik yapmaksızın kullanmak zorundadır.
(3) Personel belgelendirme kuruluşu, sözleşmenin imzalanmasını müteakiben 6 ay içinde sözleşme ile birlikte TÜRKAK'a akreditasyon başvurusunda bulunmalıdır. Bu süre içerisinde başvuruda bulunulmaması halinde sözleşme hükümsüz hale gelir.
Yetkilendirme
MADDE 8 - (1) TÜRKAK tarafından akredite edilen personel belgelendirme kuruluşu, belge vermeye başlamak için Kuruma yetkilendirme başvurusunda bulunmak zorundadır. Yetkilendirilmeyen personel belgelendirme kuruluşu bu Tebliğ kapsamında faaliyet gösteremez.
Yetkilendirmenin durdurulması
MADDE 9 - (1) TÜRKAK tarafından akreditasyonu tamamen veya kısmen askıya alınan ya da kapsamı daraltılan personel belgelendirme kuruluşunun, bu durumu 7 gün içinde Kuruma bildirmesi zorunludur.
(2) TÜRKAK tarafından akreditasyonun tamamen veya kısmen askıya alınması ya da kapsamının daraltılması hallerinde, TÜRKAK tarafından belirlenen askıya alma veya kapsam daraltma süresi boyunca, personel belgelendirme kuruluşunun yetkilendirmesi Kurum tarafından durdurulur.
(3) Yetkilendirmesi durdurulan personel belgelendirme kuruluşu, durdurma süresi boyunca sertifikasyon faaliyetlerine devam edemez.
Yetkilendirmenin iptal edilmesi
MADDE 10 - (1) TÜRKAK tarafından akreditasyonu geri çekilen personel belgelendirme kuruluşunun, bu durumu 3 gün içinde Kuruma bildirmesi zorunludur.
(2) Personel belgelendirme kuruluşunun akreditasyonunun geri çekilmesi halinde veya sertifikasyon faaliyetine yönelik niteliği ve yeterliği ile ilgili olarak Kuruma sunulan bilgi ve belgelerin gerçeğe aykırı olduğunun tespiti ya da programın kapsamının dışında sertifikasyon faaliyetlerinin yürütüldüğünün anlaşılması hallerinde, personel belgelendirme kuruluşunun yetkilendirilmesi Kurum tarafından iptal edilir.
(3) Personel belgelendirme kuruluşunun yetkilendirmesinin iptal edildiği bilgisi, Kurumun resmi internet sitesinde ilan edilir.
(4) Akreditasyonu geri çekilen personel belgelendirme kuruluşunun, bu durumu süresi içinde Kuruma bildirmemesi halinde, yetkilendirmesi iptal edildikten sonra yeniden program kullanma onayı alabilmesi için yetkilendirmenin iptali kararının üzerinden 6 ay geçmesi gerekmektedir.
Veri koruma görevlisi sertifikası sınavlarına başvuru
MADDE 11 - (1) Sınav tarihinden önceki son 4 yıl içinde katılım belgesi almış olanlar veya geçerli bir veri koruma görevlisi sertifikasına sahip olanlar arasından programda belirlenen şartları haiz olanlar veri koruma görevlisi sertifikası sınavına başvurmaya hak kazanırlar.
(2) Personel belgelendirme kuruluşu, bu madde kapsamında gelen başvuruların bu Tebliğde belirtilen ve programda belirlenen şartlara uygun olup olmadığının kontrolü ile sınav başvurusuna ilişkin iş ve işlemleri yürütme hususunda gerekli dikkat ve özeni göstermekle yükümlüdür.
Sınav ve değerlendirme
MADDE 12 - (1) Personel belgelendirme kuruluşunca yapılacak olan sınavlar, en geç sınavdan 15 gün önce personel belgelendirme kuruluşu tarafından ilan edilmelidir.
(2) Personel belgelendirme kuruluşunca yapılan sınavda başarılı olan adaylar, veri koruma görevlisi sertifikasını almaya hak kazanırlar.
Ücretler
MADDE 13 - (1) Personel belgelendirme kuruluşu tarafından program kapsamında alınacak ücretlerin belirlenmesinde ve güncellenmesinde Kurul yetkilidir. Belirlenen ücret her takvim yılı başında Kurum tarafından ilan edilir.
Geçerlilik süreleri
MADDE 14 - (1) Bu Tebliğ kapsamında verilen sertifikaların geçerlilik süreleri sınav sonuçlarının ilanından itibaren 4 yıldır.
(2) Geçerlilik süresi dolmadan sertifikasını yenilemek isteyen veri koruma görevlisi, programda belirlenen şartlar dahilinde yeniden personel belgelendirme kuruluşuna başvurmalıdır.
BEŞİNCİ BÖLÜM
Yükümlülükler
Sertifika Takip ve Doğrulama Bilgi Sistemi (SERTABİS)
MADDE 15 - (1) Kurum, sertifikasyon faaliyetinin tarafsız, şeffaf ve etkin sürdürülmesini sağlamak amacıyla kamuya açık bir biçimde sorgulama imkanı tanıyan Sertifika Takip ve Doğrulama Bilgi Sisteminin kurulmasından ve yönetilmesinden sorumludur.
(2) SERTABİS'te; katılım belgesinde yer alan bilgiler, personel belgelendirme kuruluşunun bilgileri ve statülerinde gerçekleşen değişiklikler ile sertifika sahibi kişilerin bilgileri, program kapsamında yapılan sınavların tarihlerinin yanı sıra sınavda başarılı olan kişilerin; sertifika tarihleri, sertifika numaraları, sertifika geçerlilik süreleri ve sertifika statülerine dair bilgiler yer alır.
Kuruma bilgi ve belge gönderme
MADDE 16 - (1) Sertifikasyon sürecinin takibinin gerçekleştirilmesi, aksaklıkların giderilmesi ve sürece ilişkin uygulama birliğinin sağlanması konusunda gerekli düzenlemelerin yapılmasını teminen Kurum, ilgili taraflardan program kapsamında tüm bilgi ve belgeleri isteyebilir. Taraflar, istenen bilgi ve belgeleri 15 gün içinde Kuruma göndermek zorundadır. Kuruma gönderilmiş olan bilgi ve belgelerde herhangi bir değişiklik olması halinde, söz konusu değişiklik öğrenilmesinden itibaren 15 gün içinde Kuruma bildirilir.
(2) Personel belgelendirme kuruluşu, sertifika verdiği kişilerin kimlik ve iletişim bilgilerini, sertifika tarihini, numarasını ve statüsünü sertifikasyon tarihinden itibaren 15 gün içinde SERTABİS'e yükler. Bu bilgilerde herhangi bir değişiklik olması halinde, söz konusu değişiklik öğrenilmesinden itibaren 15 gün içinde SERTABİS'e yüklenir.
ALTINCI BÖLÜM
Şikayet ve İtirazlar
Şikayet, itiraz ve Kuruma başvuru
MADDE 17 - (1) Program kapsamında şikayet veya itiraz başvuruları personel belgelendirme kuruluşuna yapılır. Başvuruların hangi yöntemlerle alınacağı ve sonuçlandırılacağı personel belgelendirme kuruluşu tarafından belirlenir.
(2) Personel belgelendirme kuruluşu tarafından şikayet veya itiraz başvurusunun reddedilmesi ya da başvurudan itibaren 30 gün içinde cevap verilmemesi hallerinde, şikayet veya itiraz sahibi, personel belgelendirme kuruluşunun cevabını öğrendiği tarihten itibaren 30 ve her halde başvuru tarihinden itibaren 60 gün içinde Kuruma başvurabilir.
(3) Personel belgelendirme kuruluşuna şikayet veya itiraz başvuru yolu tüketilmeden Kuruma başvuruda bulunulamaz.
(4) Kurum, bu başvuruları değerlendirirken ilgili taraflardan her türlü bilgi ve belgeyi isteyebilir. İlgili taraflar, istenen bilgi ve belgeleri 15 gün içinde Kuruma göndermek zorundadır.
YEDİNCİ BÖLÜM
Çeşitli ve Son Hükümler
Yaptırımlar
MADDE 18 - (1) Bu Tebliğde belirtilen yükümlülüklere aykırı davranan personel belgelendirme kuruluşunun yetkilendirmesini durdurmaya veya iptal etmeye Kurul yetkilidir.
Düzenleme yetkisi
MADDE 19 - (1) Bu Tebliğde yer almayan ya da açıklık bulunmayan konularda ilgili mevzuat hükümleri çerçevesinde karar vermeye ve düzenleme yapmaya Kurul yetkilidir.
Yürürlük
MADDE 20 - (1) Bu Tebliğ yayımı tarihinde yürürlüğe girer.
Yürütme
MADDE 21 - (1) Bu Tebliğ hükümlerini Kişisel Verileri Koruma Kurumu Başkanı yürütür.