Veri denetleyicisi, verilerin nasıl işlendiğini yöneten ve veri koruma düzenlemelerine uymaktan sorumlu olan bir kişi veya kuruluştur. Denetleyici, ister bir kişi ister tüm bir işletme olsun, bir kuruluşun hangi verileri topladığını, verileri nasıl kullandığını ve verileri nereye gönderdiğini ayrıntılarıyla anlatan bir kuruluşun gizlilik politikasını yazmaktan sorumludur. Veri denetleyicileri, kuruluşun iletişim bilgileri, adresler ve kimlik numaraları gibi kişisel verileri nasıl analiz ettiğini ve kullandığını belirleyerek veri işlemcilerini yönetir.
Veri denetleyicisi terimi tipik olarak Genel Veri Koruma Yönetmeliğine (GDPR) ve veri koruma gereksinimlerine atıfta bulunur; bu rol Avrupa veri koruma kanunlarından kaynaklanmıştır. GDPR, 2018'de kişisel veri kullanımı için katı gereksinimleri ortaya koyduğunda veri denetleyicilerini gerekli kıldı.
GDPR kapsamında veri denetleyicileri için gereksinimler
Yalnızca Avrupa Birliği'nin tamamı için değil, aynı zamanda Avrupa'da işletmeleri veya müşterileri olan tüm ülkeler için geçerli olan GDPR, bireyleri ve kişisel bilgilerini korumak için özel olarak tasarlanmıştır. Bu nedenle, kuruluşlar için son derece katıdır. İşletmeler, birçok Amerika Birleşik Devletleri işletmesi de dahil olmak üzere gereksinimlere uymak için mücadele etmek zorunda kaldı. Veri denetleyicilerinin birçok sorumluluğu vardır; bunlar sadece birkaçı.
GDPR, işletmelerin bir kişinin kişisel verilerini toplamak için en az bir iyi nedene sahip olmasını gerektirir. İşletmenin veri kontrolörü bu iyi nedeni gösterebilmelidir. Kişisel verileri toplamanın altı nedeni veya "yasal dayanağı" şunlardır:
- Kişi tarafından şirkete verilen rıza
- Bir kuruluş ile birey arasında yapılan ve kişisel veri gerektiren sözleşme
- Yasal bir yükümlülüğe uyma (birisinin verilerini yasalar gereği hükümete sağlamak zorunda)
- Bir bireyin hayati çıkarlarının korunması
- Kişisel verilerin işlenmesini gerektiren genel görevler (bir kuruluş, belirli bir hizmetle ilgili olarak müşteriyi takip etmek için bir e-posta adresine ihtiyaç duyar)
- Kuruluşun meşru menfaatinin tipik olarak yasal amaçlarla korunması
Veri denetleyicileri ayrıca topladıkları verilerin, bunları nereye gönderdiklerinin ve nasıl kullandıklarının ayrıntılı kayıtlarını tutmalıdır. Bu kayıtlara yazılı olarak ulaşmaları gerekmektedir. Herhangi bir üçüncü şahsa veri satıyorlarsa, tam olarak kimin ve ne amaçla olduğunu belgelemelidirler. Bireyler (veya GDPR'nin dediği gibi, veri konuları) da bu bilgilere erişebilmelidir.
Veri denetleyicileri ayrıca iletişim bilgilerini veri sahiplerinin kullanımına sunmalıdır; bu kişiler daha sonra kişisel verileri ve bunların nasıl kullanıldığına ilişkin sorular için veri denetleyicisiyle iletişime geçebilir.
GDPR, kuruluşların bir Veri Koruma Görevlisi (DPO) ataması için gereksinimleri belirler: bu, bir veri denetleyicisinin sorumluluğunda olabilir. Bir kuruluş, büyük miktarlarda hassas verileri işliyorsa (büyük bir tıbbi tesis veya finans kurumu gibi) veya sık izleme veya gözetim dahil olmak üzere düzenli olarak bol miktarda veri topluyorsa bir DPO atamalıdır.
ABD şirketleri için GDPR gereksinimleri
Amerika Birleşik Devletleri'ndeki işletmeler için önemli bir not: ABD şirketlerinin AB müşterileri, AB iş kolları, AB çalışanları veya hatta AB ülkelerinde varlığı varsa, GDPR düzenlemeleri gerçekten onlar için de geçerlidir. California'nın CCPA'sının benzer gereksinimleri vardır. Bu, veri denetleyicileri ve muhtemelen veri koruma görevlileri için yukarıdaki gereksinimlerin ABD'deki işletmelerin yanı sıra AB müşterileri olan tüm işletmeler için geçerli olduğu anlamına gelir. Büyük bir çevrimiçi varlığa veya e-posta pazarlama kampanyasına sahip Amerika Birleşik Devletleri'ndeki bir şirket bile, büyük bir mağaza gibi, muhtemelen GDPR'ye tabidir, çünkü muhtemelen çevrimiçi AB müşterileri olabilir.